Registrato rilevante incremento degli attacchi cyber e dei databreach al settore degli studi legali

Le minacce cyber sono diventate un rischio molto rilevante per il settore legale: il cyber crime ritiene tali target molto attrattivi data la vastità di informazioni riservate, personali, sensibili e private che trattano quotidianamente. Un sondaggio di Price Waterhouse Coopers ha rilevato che tre/quarti dei top 100 studi legali inglesi è stato colpito da attacchi cyber negli ultimi due anni mentre la percentuale di crescita è del 20%.

Nonostante questa tendenza e questo interesse del mondo hacker, solo il 35% degli studi ha affermato di avere un response plan per reagire ad attacchi cyber. Questo riscontro, è assai preoccupante soprattutto in relazione al fatto che a maggio 2018 entreranno in vigore le sanzioni economiche relative al GDPR.

Considerando il fatto che il GDPR definisce come databreach una distruzione, perdita, alterazione, pubblicazione non autorizzata o accesso non autorizzato ai dati personali e particolari trattati da un'organizzazione, sarebbe bene correre in fretta ai ripari e considerare di intraprendere un serio percorso di compliant a quanto previsto. Se non altro per le forti multe previste e che possono arrivare fino al 4% del fatturato globale.

Come descrive molto bene l'articolo, il GDPR ha ampliato la definizione di dato personale, includendo qualsiasi tipologia di informazione relativa ad una persona fisica identificata o identificabile, direttamente o indirettamente. Questo amplia di parecchio la categoria dei dati sensibili.

Gli studi legali sono spesso maggiormente soggetti a questo tipo di violazione durante ad esempio un'attività di fusione/acquisizione (mergers & acquisitions). La mancata di adeguati controlli interni rende tali studi estremamente vulnerabili, esponendoli ad enormi rischi. Chi accede a questi dati? Come li tratta? A chi li spedisce? Come vengono conservati? Come sono protetti da databreach?

Per aumentare il livello di rischio, sono aumentati anche gli insiders, ovvero impiegati scontenti o assoldati che vendono deliberatamente le informazioni.

La mancanza di sensibilità sull'argomento cyber da parte degli studi legali aumenta considerevolmente il rischio di un attacco cyber. Questo perchè la scarsa consapevolezza contribuisce all'aumento dei comportamenti pericolosi compiuti ingenuamente dal personale: scambio di password, conservazione di credenziali in luoghi non consoni, trasmissione inconsapevole di dati riservati via mail o via post, scambio ingenuo di dati con terze parti non trusted, conservazione non sicura di dati in cloud o in backup non protetti, etc etc ...

Articolo: Lexology Website