Advokatfirmaet trodde de var sikret.

ISO27001-revisjonen viste noe annet.

CYBERSIKKERHET · ADVOKATBRANSJEN

Advokatfirmaer sitter på noe av den mest sensitive informasjonen som finnes: forhandlingsstrategier, fusjonsplaner, klientlister, tvistestrategier. De vet det selv. Likevel har mange investert i ett eller to sikkerhetsverktøy, og regner seg som trygge med dette. Det er sjelden at dette faktisk stemmer.

Verktøyet er ikke det samme som beredskapen

Mange firmaer har i dag en EDR-løsning, kanskje en NDR, kanskje et e-postsikkerhetsverktøy. Det er bra. Men verktøy som ikke overvåkes kontinuerlig, tolkes av eksperter og handles på i sanntid, er verktøy som oftest gir en falsk trygghet.

Et deteksjonssystem som sender varsler til en innboks ingen ser på klokken 02.30 på en søndag, er i praksis ikke et deteksjonssystem. Det er dokumentasjon for etterpåklokskap.

Motparten vet allerede hva dere planlegger

Risikoen kan se slik ut:

Tenk deg at motpartens advokat kjenner til klientens forhandlingsstrategi før første møte. Ikke fordi noen lekket informasjon med vilje, men fordi en kompromittert konto ga tilgang til dokumenter flere måneder tidligere. Ingen varslet. Ingen oppdaget det. Ikke før det var for sent.

Dette er ikke et hypotetisk scenario konstruert for å skremme. Det er mønsteret vi ser i sikkerhetshendelser mot kunnskapsbransjen: kompromitterte kontoer, uoppdaget tilgang over tid, og konsekvenser som rammer klientforhold og omdømme mer enn IT-systemer.

Den største risikoen er ikke hackerne

De fleste advokatfirmaer ser for seg avanserte cyberkriminelle når de tenker sikkerhet. I praksis starter mange hendelser langt enklere: et passord som er gjenbrukt, en kompromittert konto fra en tredjepartstjeneste, eller et varsel ingen fulgte opp.

Problemet er ikke nødvendigvis at angrepet skjer. Problemet er hvor lenge det får utvikle seg uten at det blir oppdaget.

For en virksomhet som lever av fortrolighet, kan uker eller måneder med uoppdaget tilgang være nok til å skade både klientforhold og omdømme, uten at noen noen gang trykket på en knapp med vilje.

Ifølge IBMs Cost of a Data Breach Report er kompromitterte legitimasjoner fortsatt blant de vanligste inngangspunktene ved sikkerhetsbrudd, og gjennomsnittlig tid fra kompromittering til oppdagelse måles i måneder, ikke dager.

Hva ISO27001 egentlig avslører

ISO27001-sertifisering er blitt et krav fra stadig flere klienter, særlig store selskaper og offentlige oppdragsgivere. Men sertifiseringsprosessen gjør noe viktigere enn å gi et diplom på veggen: den tvinger frem en ærlig vurdering av faktiske gap.

Når advokatfirmaer går gjennom sin første ISO27001-revisjon, er det sjelden brannmuren som får anmerkninger. Det er prosessene rundt overvåkning, logging og hendelseshåndtering. Gapanalysen ser typisk slik ut:

• LOGGING Hendelser logges ikke lenge nok til å rekonstruere et angrep — 30 dager holder ikke der compliance krever 90.
• DEKNINGSGRAD Endepunkter er delvis dekket, men nettverk, identitet, servere og skytjenester har blinde flekker.
• RESPONS Det finnes ingen definert prosess for hvem som gjør hva når et varsel utløses utenfor kontortid.
• DARK WEB Ingen overvåkning av om firmadata eller ansattkontoer er eksponert i lekkasjer fra tredjepartstjenester.

Disse gapene kan isolert sett virke håndterbare. Samlet utgjør de en vesentlig risiko, og en konkret sårbarhet overfor kunder som stiller stadig strengere krav.

Dark web: der dataene dukker opp først

Innloggingsdetaljer til ansatte dukker jevnlig opp i lekkede databaser, ofte fra tredjepartstjenester de ansatte har brukt med jobb-e-posten sin. Angripere kjøper disse listene og prøver dem systematisk mot VPN, e-post og interne systemer.

Hvis ingen overvåker om firmaets domener eller ansattkontoer er eksponert, oppdages det ikke før skaden er et faktum. Dark web-overvåkning er ikke sciencefiction, det er en konkret tjeneste som gir tidlig varsel og tid til å handle proaktivt, før noen rekker å utnytte det.

Hva en SOC-tjeneste faktisk dekker

En SOC-tjeneste (Security Operations Center) er ikke et produkt. Det er kontinuerlig overvåkning der sikkerhetseksperter detekterer og håndterer hendelser på vegne av firmaet — døgnet rundt, alle dager. Og den bygger på det dere allerede har investert i.

• Endepunkt og identitet
• Overvåkning av enheter og brukerkontoer — inkludert privilegerte tilganger
• E-post og cloud
• Deteksjon i Microsoft 365, skytjenester og hybrid-miljøer
• Nettverk og servere
• Dekning on-prem og hybrid, ikke bare endepunkter
• Logging og compliance
• 90 dagers loggoppbevaring tilpasset ISO27001 og revisjonskrav
• Integrasjon
• Fungerer med eksisterende verktøy — inkludert NDR-løsninger dere allerede bruker
• Dark web-overvåkning
• Varsling ved eksponering av firmadata og ansattkontoer

Tillitsbransjen tåler ikke tillitsbrudd

Advokatfirmaer selger tillit. Klienter deler det de ikke kan dele med noen andre. Et sikkerhetsbrudd er ikke bare en IT-hendelse — det er et klientforhold som ryker, et omdømmeproblem og i verste fall brudd på taushetsplikt med juridiske konsekvenser for partnerne selv.

Partneransvar er reelt. Og for klienter som stiller ISO27001-krav, er det ikke lenger nok å ha gode verktøy. Man må kunne dokumentere at de faktisk overvåkes.

Spørsmål å stille i dag

• Hvem ser på sikkerhetsvarsler utenfor kontortid, og er det definert hvem som handler?
• Hvor lenge lagres logger, og er det tilstrekkelig for revisjon og etterforskning?
• Overvåker vi om ansattkontoer er eksponert i lekkede databaser?
• Dekker vår løsning identitet, e-post, nettverk og sky, eller bare endepunkter?
• Har vi dokumentert hendelseshåndtering som holder for ISO27001-revisjon?
• Vet vi hva vi gjør de første timene etter et sikkerhetsbrudd?

Hvis svaret på ett eller flere av disse er «usikkert,» har dere et gap. Og i advokatbransjen er gap ikke bare en IT-sak.

Vil dere vite hvor gapene er?

NetNordic tilbyr en uforpliktende gjennomgang av sikkerhetsbildet, med utgangspunkt i de kravene advokatbransjen faktisk møter fra klienter og revisorer.