O braço longo do escritório de advocacia e o futuro da segurança cibernética

Alguns dias parece que o mundo inteiro está sendo hackeado. A China roubou dados militares dos EUA por meio do ciberespaço, primeiro para o Joint Strike Fighter e agora para tecnologias submarinas sensíveis. Milhões de americanos tiveram suas informações de cartão de crédito roubadas quando hackers invadiram empresas de varejo. Até os navios no mar são vulneráveis, pois os hackers aprenderam a manipular o Sistema Automatizado de Informações (AIS) e o Sistema de Posicionamento Global (GPS) para alterar o curso de navegação de um navio sem que seus capitães necessariamente saibam.

Esses hacks são alarmantes em seu escopo e risco e imediatamente ganham as manchetes. Mas e o truque silencioso e sutil de um escritório de advocacia de luvas brancas? Os escritórios de advocacia baseiam sua reputação (e, portanto, seus negócios) na confidencialidade e discrição — por um bom motivo.

O negócio jurídico é obviamente delicado; os advogados geralmente interagem com seus clientes em estados vulneráveis ou em transição, onde muito está em risco. Os registros de clientes, portanto, apresentam um tesouro de dados interessantes para qualquer hacker: informações de identificação pessoal, dados bancários e correspondência. Todos os dados que poderiam justificar ou resolver o problema de uma cliente e de sua empresa.

Algumas violações de escritórios de advocacia foram desastrosas para as vítimas. Lembre-se da impressionante invasão do escritório de advocacia panamenho Mossack Fonseca e da divulgação de terabytes de dados na divulgação dos “Panama Papers” que se seguiu. (A Mossack Fonseca fechou em março de 2018 devido às práticas ilegais reveladas pelo hack.) Muitas empresas corporativas cumpridoras da lei foram hackeadas e abusadas on-line, e cada hack envolve a empresa e seus clientes.

Equipes de segurança no ambiente de segurança emergente

Para um profissional de segurança em um escritório de advocacia, você deve fazer duas coisas: (1) proteger os dados do seu escritório e (2) fazer isso sem interromper o trabalho diário dos sócios e associados do escritório. Do que você está se defendendo e onde deve investir em pessoas, processos e tecnologia para ter melhor sucesso?

O roubo e a divulgação de dados são preocupações óbvias para escritórios de advocacia. Se a última década foi a década da divulgação de dados, no entanto, seria sensato que as empresas se preocupassem com a manipulação de dados daqui para frente. Sim, os e-mails do seu cliente (e os seus) podem vazar. Mas e se um ator hostil pudesse penetrar nas redes da sua empresa, obter acesso ao seu ambiente de nuvem e manipular dados para mudar os fatos do caso no papel?

E se um hacker acessasse um arquivo e alterasse a data, alterando a linha do tempo da trajetória do crime em sua discussão? Essas manipulações de dados podem transformar as operações no ciberespaço em uma arma perfeita contra um escritório de advocacia. Os advogados não podem construir um caso e os juízes não podem julgar um caso se não puderem confiar ou verificar as informações nas quais o caso se baseia.

Então, quais são os ativos mais importantes para uma empresa garantir? Em primeiro lugar, estão as ferramentas digitais que a empresa usa para armazenar e rastrear os documentos de seus clientes. Os advogados armazenam muitos dados sobre seus clientes e precisam de sistemas intuitivos para fazer isso; um Sistema de Gerenciamento de Documentos (DMS) é a força vital das operações de armazenamento e recuperação de um escritório de advocacia, e a segurança do aplicativo é vital para a confidencialidade. Frequentemente fornecidos por desenvolvedores de aplicativos terceirizados, alguns aplicativos DMS são mais seguros do que outros e as empresas geralmente trabalham com os desenvolvedores de aplicativos para melhorar a segurança. 

Equilibrando segurança e facilidade de fazer negócios

As equipes de segurança querem uma segurança cibernética forte para a empresa, mas também enfrentam a pressão de parceiros e outras pessoas para minimizar os impactos no usuário final. Em escritórios de advocacia ocupados, as equipes de segurança geralmente enfrentam uma longa e árdua batalha para vender soluções de segurança sólidas aos parceiros, caso essa capacidade possa desacelerar os negócios diários do escritório. Os escritórios de advocacia não querem que os produtos de segurança causem atrito ou latência.

No entanto, na era das violações constantes, qualquer ferramenta eficaz de segurança cibernética exigirá algum elemento de gerenciamento de mudanças. As empresas precisam equilibrar sua vantagem competitiva de longo prazo (incluindo confidencialidade e discrição, ambas conquistadas com dificuldade, mas facilmente perdidas) com a necessidade de ganhar casos para clientes.

Como os escritórios de advocacia devem proceder?

Como qualquer empresa, as empresas precisam entender suas missões mais importantes e dependentes de dados, obter visibilidade de seus ativos e comportamentos e investir em sistemas para proteger seus data centers e ambientes de nuvem, além da segurança de aplicativos .

A boa notícia é que, nesta primavera, as equipes de segurança de todo o mundo receberam um grande impulso por meio do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia. As equipes de segurança agora podem usar os requisitos e taxas de notificação de violação do GDPR para impulsionar mudanças em suas empresas. Isso é especialmente verdadeiro para empresas que representam ou tocam cidadãos europeus, mas o impacto do GDPR está sendo sentido em todo o mundo, à medida que as empresas consideram seu futuro digital e o mundo que desejam construir.

Estamos em uma nova era de operações no ciberespaço e manipulação de dados. Na última década, hackers estatais e não estatais aprimoraram suas táticas, sempre buscando novos métodos para explorar lacunas e oportunidades para obter uma vantagem. O mundo já se concentrou na prevenção do roubo de propriedade intelectual e na prevenção de ataques disruptivos à infraestrutura crítica; agora acrescentamos a prevenção de ataques manipulativos a organizações políticas, mídias sociais e eleitorado nacional, e o acesso à Internet está aumentando rapidamente na Ásia e em outros lugares.

O ataque russo às eleições presidenciais dos EUA em 2016 pode ter marcado o fim do Ato I de nossa história de segurança cibernética. Agora estamos em um ponto de inflexão entre dois futuros. Em um futuro, os ataques cibernéticos continuarão a aumentar em ritmo, diversidade e gravidade. As violações podem ter impactos que ainda não podemos imaginar, mas sabemos que grupos estatais e não estatais procurarão usar a longa cauda da tecnologia digital da maneira que puderem para progredir.

Em um segundo futuro, organizações de todo o mundo investem em medidas de segurança cibernética e resiliência para reduzir os riscos e proteger os data centers e a nuvem internamente. Se os setores financeiro e de energia lideraram o desenvolvimento de suas capacidades de segurança cibernética na última década, no Ato II de nossa história de segurança cibernética, esperamos ver uma segunda onda de investimentos à medida que mais e mais organizações enfrentam a vida na era digital.

As violações acontecerão, mas é muito melhor se você puder limitar as violações a três servidores em vez de 3.000 servidores. As empresas podem investir agora em sistemas cibernéticos resilientes para evitar que as violações se espalhem.

Os escritórios de advocacia estão cheios de pensadores e líderes inteligentes, motivados e estratégicos. Muitos atuaram em cargos governamentais nos Estados Unidos. Hoje, as empresas têm a oportunidade de construir uma base sólida de segurança cibernética para si mesmas e para seus clientes e ajudar a impulsionar o mundo em direção a um segundo futuro mais resiliente.