Sicurezza dello studio legale: come tutelare i dati dei clienti
In principio era l’hacker; e gli studi legali, la via d’attacco. Cosa bisogna sapere per evitare le cyber-aggressioni e tutelare i dati dei clienti
Malware (MALicius softWARE) e ransomware in azione in scala planetaria. Com’è possibile difendersi?
In un recente convegno organizzato dall’Osservatorio Information Security & Privacy del Politecnico di Milano, l’anno 2016 è stato definito “l’anno dell’hack” e solo a considerate gli episodi più recenti di data breach nel mondo digital interconnesso è evidente che nessun operatore/istituzione è al sicuro.
Yahoo, per dire, ha subìto la violazione di 500 milioni di account; nell’ottobre scorso l’attacco (di natura DDos, cioè finalizzato alla interruzione di servizi forniti on line) a uno dei principali DNS provider (Dyn) che ha messo ko social come Twitter, o piattaforme come Spotify, PayPal, eBay.
In Italia si pensi alla indagine Eye Pyramid della procura di Roma, che ha fatto emergere un caso di accesso abusivo su account mail istituzionali (dall’ex premier Renzi al presidente della BCE Draghi) attraverso un malware, Eyepyramid appunto. Il veicolo? Una mail partita da account di noti e stimati (e ignari) studi legali, precedentemente trackati.
È evidente che non tutti gli operatori possono mettere in campo misure sofisticate contro il cyber spionaggio. È altrettanto vero, però, che questi episodi ci hanno costretti a prendere contezza del fatto che la cyber sicurezza è un bene comune e a tutti occorre fare la propria parte. Non di meno proprio gli avvocati, perché da una parte detengono nei loro studi molteplici dati dei clienti, anche sensibili; e, in secondo luogo, perché come ha dimostrato l’indagine EyePyramid possono essere utilizzati, senza averne la minima colpevolezza, proprio come “cavalli di Troia”, per aggredire magari i clienti bersaglio sensibile.
Investimenti nella Cybersecurity
D’altra parte, la sicurezza cibernetica sta diventando una “necessità” professionale, solo a considerare le responsabilità penali, civili e professionali che pesano sull’avvocato che non assicura sicurezza e privacy dei dati dei clienti di cui viene in possesso. Per le aziende poi si tratta di proteggere know how e i database.
Con il nuovo regolamento europeo sulla Data protection, che sarà in vigore da aprile 2018, non si potrà più far finta di niente.
Come dunque impostare una corretta strategia di cyber security?
Innanzitutto iniziando ad informarsi su cosa significhi “rivoluzione digitale”; acquisendo consapevolezza su rischi ed opportunità nel nostro uso quotidiano di device, pc, piattaforme, social. Analizzando il proprio profilo di rischio in relazione all’attività professionale svolta e organizzando adeguante misure di prevenzione e/o difesa. Un esempio molto semplice? Verificare di aver installato un antivirus sul proprio pc e aggiornarlo regolarmente.
Ci sono inoltre delle funzioni di software gestionali molto utili per “intercettare” l’eventuale malware. Per esempio, alcuni client di posta permettono di visionare in anteprima gli allegati di una mail, tra cui file .zip o .rar, senza “aprirli”: così è possibile accorgersi se c’è qualcosa di poco chiaro senza “attivare” il contenuto, potenzialmente dannoso.
Altra strada per “mettere in sicurezza” i propri documenti è quello della sincronizzazione automatica dei dati in cloud. Un cryptolocker (malware che cripta i documenti o ne impedisce l’accesso) avrebbe vita più difficile.
Le misure devono essere misurate e proporzionate, ma spesso la soluzione è più facile di quanto si pensi.
Sempre più professionisti hanno capito che le risorse spese in sicurezza non rappresentano un costo ma un investimento.
Quanto alle aziende, la recente ricerca dell’Osservatorio dedicato del Politecnico ha rilevato che la loro attenzione per la sicurezza informatica sta crescendo, soprattutto per quelle di ampia dimensione.
Il mercato delle soluzioni di information security in Italia nel 2016 raggiunge quasi il miliardo di euro, in crescita del 5% rispetto 2015, con una spesa concentrata tra le grandi imprese (74% del totale) suddivisa tra tecnologia (28%), servizi di integrazione IT e consulenza (29%), software (28%) e managed service (15%).
Con specifico riferimento alle PMI, il 93% ha dedicato un budget nel 2016, sebbene questo non corrisponda necessariamente ad un utilizzo maturo e consapevole. Le principali motivazioni agli investimenti infatti sono l’adeguamento normativo (48%) e gli attacchi subiti in passato (35%), ma a volte seguono la necessità di rispondere a nuove esigenze tecnologiche (22%) o di business (31%). La maggior parte delle PMI ha soluzioni di sicurezza di base (76%) come antivirus ed antispam ed il 62% dichiara di disporre anche di soluzioni sofisticate, come ad esempio firewall o sistemi di intrusion detection. Un’organizzazione su quattro (25%) però si fa guidare dal buon senso, senza un approccio tecnologico definito. Il 46% ha policy aziendali ben definite, mentre solo il 10% ha programmi di formazione orientati ad aumentare la consapevolezza.
E gli studi professionali? Non pervenuti, al momento. Anche se quelli più strutturati hanno avviato una riflessione, ormai necessaria. E tra un anno improrogabile.
D’altra parte – ed è sempre il Polimi che ci avvisa – nella sicurezza è fondamentale il fattore X, l’elemento di incertezza legato al comportamento umano, come la distrazione o la mancanza di consapevolezza, utilizzato spesso dai cybercriminali per fare breccia nei sistemi aziendali.
Quindi, prima e accanto alla tecnologia, sono la consapevolezza e la formazione a fare la differenza nei comportamenti security oriented.
Se vuoi, testa la tua consapevolezza in fatto di cyber security leggendo la check list qui sotto.
Testa il livello della cyber security del tuo studio legale |
| Analisi di rischio della tua realtà professionale in relazione alla clientela/dati in tuo possesso |
| Verifica dei pc in Rete |
| Policy restrittiva delle password |
| Verifica installazione e aggiornamento antivirus/firewall |
| Attivare Anteprima e-mail e file |
| Conservazione sostitutiva dei documenti |
| Back up dei dati |
| Analisi costi/vantaggi del cloud |
| Polizza assicurativa contro data-breach |
Scarica la brochure di Cicero
