A számítógépeken, hálózatokon és felhőszolgáltatásokban kezelt adatok biztonsága egyre nagyobb veszélynek van kitéve, ami komoly kihívás elé állítja az ügyvédi irodákat. Ha nincs megfelelő kiberbiztonság a lényeges információk bőséges tárházának védelméhez, egyáltalán nem meglepő, ha vonzó célponttá válnak a hackerek és a kiberbűnözők számára. Hogyan előzhetik meg, hogy az otthoni, illetve hibrid munkavégzés esetén sebezhetővé váljon a rendszerük? Ismerje meg a legjobb tippeket!
A jogászok rengeteg bizalmas információhoz férnek hozzá az ügyfeleikről és azok üzleti ügyeiről, az üzleti titkoktól és a szellemi alkotásoktól kezdve egészen a vagyoni, jövedelmi és pénzügyi helyzetükre vonatkozó részletes adatokig. Ideális esetben az ügyvédi irodának kifinomult kiberbiztonsági stratégiával kell rendelkeznie e mások által megszerezni kívánt adatok titkosságának megóvása érdekében. Számos ügyvédi iroda számára azonban még mindig elérhetetlen az ilyen stratégia – akár a korlátozott pénzügyi lehetőségek miatt, akár egyszerűen azért, mert nem tekintik kiemelten fontosnak a kiberbiztonságot.
A számítógépen való tárolás, illetve a dokumentumok e-mailben való továbbítása még mindig gyakori jelenség az ügyvédi irodák körében, ami sajnos nem a legbiztonságosabb megoldások közé sorolható. Sokszor találkozhatunk azzal a problémával is, hogy több évtizednyi rögzített adat vész kárba valamilyen számítógépes vírus, vagy egyszerűen a számítógép fizikai meghibásodása miatt.
11 tipp az ügyvédi iroda kiberbiztonságáért
Az IT rendszerek biztonságát szem előtt tartó hazai ügyvédi irodák is bármikor áldozatul eshetnek a kibertámadásoknak. Úgy gondolhatják, hogy gondoskodtak a megfelelő védelemről, ám a kifinomult módszerekkel rendelkező hackerek már jóval előrébb járhatnak. A külső elkövetők mellett ugyanakkor egy rosszul képzett, vagy tisztességtelen alkalmazott is könnyen bajba sodorhatja a szervezetet. Mit tehetnek a hazai ügyvédi irodák a kiberkockázat csökkentése érdekében? Ezzel a 11 tanáccsal kellőképpen csökkenthetik a kockázatokat.
1. A kiberbiztonság előtérbe helyezése
A kiberbiztonsági terv bevezetése magától értetődőnek tűnik. Azonban legalább ennyire fontos rendszeresen kiértékelni ezt a tervet a benne foglalt szabályzatokkal együtt, és végrehajtani a megerősítésükhöz szükséges módosításokat. A kiberbiztonsággal kapcsolatos megközelítésnek proaktívnak, NEM pedig reaktívnak kell lennie!
2. Eredményes kiberbiztonsági képzés az alkalmazottaknak
Mivel a kibertámadások/adatvédelmi incidensek 95%-ának emberi tévedés áll a hátterében, mindannyiunknak be kell látnunk, hogy a tájékozott, jól képzett alkalmazottak képezik az ügyvédi iroda legerősebb védelmi vonalát a kiberbűnözéssel szemben. Ha rendelkezésre áll jól működő tanulásmenedzsment-rendszer, az ügyvédi iroda könnyebben megtervezheti, figyelemmel kísérheti és igazolhatja a képzést, és az alkalmazottai számára megfelelő e-oktatási tanfolyamokat javasolhat, egyúttal megerősítheti az ügyvédi iroda szabályszerűség melletti kiállását.
3. A biztonságos adattárolás fontosságának hangsúlyozása
Mivel a jogászok, ügyvédek a rugalmas munkavégzést részesítik előnyben, az általuk kezelt ügyvédi irodai adatok több eszközről – asztali számítógépről, laptopról, táblagépről és mobiltelefonról is – hozzáférhetők. Fontos felhívni a figyelmet a több eszköz használatával, a külső rendszerekben történő adattárolással, valamint az iroda és az ügyfelek kiszolgáltatott helyzetbe hozásával járó kockázatokra. Meg kell győződni arról, hogy az alkalmazottak nem használnak elavult, nem engedélyezett szoftvereket, és tudják, hogyan gondoskodjanak eszközeik biztonságáról, amikor az irodán kívül dolgoznak.
4. Az ügyvédi irodai adatok titkosítása
Az ügyvédek által használt laptopok elvesztésének vagy ellopásának veszélye nagyobb, ha az alkalmazottak az irodán kívül dolgoznak. Fontos, hogy az ügyvédi irodák gondoskodjanak arról, hogy az eszközeik úgy legyenek konfigurálva, hogy használaton kívül titkosítsa az adatokat.
5. VPN beállítása
A virtuális magánhálózat (VPN) további védelmi vonalat biztosít az ügyvédi iroda megoldásaihoz és eszközeihez hozzáférő alkalmazottak számára, legyen szó például praxismenedzsment-szoftverről, levelezőrendszerről. Minden alkalmazottat utasítani kell arra, hogy kerülje az ingyenes WiFi-hotspotok VPN nélküli használatát. Így biztosítható, hogy az eszközeiken bonyolított forgalom titkosított legyen, a hackerek pedig nehezebben tudják azt kifürkészni.
6. Erős jelszavak és kétfaktoros hitelesítés
Nem lehet eléggé hangsúlyozni az erős jelszavak beállításának, a jogászok rendszeres jelszómódosításra kötelezésének és a kétfaktoros hitelesítés (2FA) bekapcsolásának fontosságát.
7. A kiberbiztonsági incidensek bejelentése
Egyértelmű jelentési mechanizmusról kell gondoskodni, amelynek használatával az alkalmazottak bejelenthetik és naplózhatják a biztonsági aggályokat vagy problémákat, így az informatikai rendszer karbantartását végző szakemberek mindig teljes körű tájékoztatást kaphatnak az irodát esetlegesen fenyegető veszélyekről. Az ügyvédi irodának jelentési rendszer kell bevezetnie, amelyen keresztül a jogászok könnyebben és a lehető leghamarabb bejelenthetik az elveszített vagy ellopott eszközöket, hogy megőrizhető legyen az ügyvédi iroda biztonsága.
8. Kiberbiztonsági költségvetés meghatározása
Érdemes külön költségvetést meghatározni az egyes kiberbiztonsági kockázati területekhez, ezzel egyértelműen jelezve, hogy az iroda komolyan veszi a kiberbiztonságot.
9. Az új belépők és a kilépők kockázatainak mérséklése
A munkatársak be- és kiléptetésekor szigorúan kell eljárni. Mindkét folyamat jelentős kockázatokat hordoz. Kellő figyelmet kell fordítani ezekre az ügyekre.
10. Megfelelő biztonsági másolatok készítése
Gondoskodni kell arról, hogy a biztonsági mentési eljárások megfeleljenek a rendeltetésüknek, legyen szó akár helyszíni vagy külső, felhőalapú vagy szerveres, kiemelten biztonságos vagy gyors helyreállítást lehetővé tevő biztonsági másolatokról.
11. Megfelelő biztosítás kötése a kiberkockázatokkal szemben
Mérlegelni kell, mit kínálhat a kifejezetten a kiberkockázatokra kötött biztosítás. E célból megbízható biztosítási alkuszhoz vagy ágazati szakértőhöz érdemes fordulni. Ha már van kiberkockázatokra kötött biztosítás, érdemes újra és újra átgondolni a tartalmát és a feltételeit, és rendszeresen egyeztetni a biztosítóval. Így szükség esetén kiterjeszthető a biztosítás, hogy a fedezet és a feltételek folyamatosan igazodjanak az iroda változó kiberbiztonsági igényeihez.
Milyen szempontok szerint érdemes kiválasztani a technológiai fejlesztésekhez a megfelelő partnert?
Érdemes beruházni olyan dedikált, biztonságos, felhőalapú praxismenedzsment-szoftverbe, amellyel biztonságban tudható az ügyvédi iroda minden alkalmazottjának munkája, bárhol is dolgozzon. Ideális esetben olyan szoftvert kell vásárolni, amely lehetővé teszi, hogy az ügyvédi iroda tárolja, kezelje és megossza az ügyekkel kapcsolatos információkat, és fontos az is, hogy a szoftverhez csak a megfelelő engedéllyel rendelkező munkatársak férjenek hozzá.
Összegyűjtöttünk 10 kérdést, amelyet az ügyvédi irodáknak érdemes feltenniük, mielőtt kiválasztják informatikai fejlesztéseikhez a beszállítót.
1. A beszállító ügyvédi irodáknak történő technológiai szolgáltatásra szakosodott?
Noha számos beszállító van a piacon, olyat kell választani, amely az ügyvédi irodáknak való technológiai szolgáltatásra szakosodott. Csak az ilyen beszállító van tisztában az ügyvédek igényeivel, az irodáknál szükséges kiberbiztonsággal és a jogi szakemberek számára különösen lényeges szempontokkal.
2. Mennyire biztonságos a beszállító szoftverszolgáltatási (SaaS) adatközpontja?
Felhőalapú megoldás választása esetén a beszállító bizonyítani tudja-e, hogy az ISO 27001 szabvány szerinti tanúsítvánnyal rendelkező adatközpontban üzemelteti SaaS-megoldását (például felhőszolgáltatás céljára)? Az ISO 27001 ugyanis olyan nemzetközi szabvány, amely bevált módszereket határoz meg az információbiztonság-menedzsment terén használt rendszerekhez.
3. Mennyire fontos az információbiztonság a beszállítónak?
A beszállító bizonyítani tudja, hogy maga is rendelkezik az ISO 27001 szabvány szerinti tanúsítvánnyal? Egyes beszállítók azt állítják, hogy rendelkeznek az ISO 27001 szabvány szerinti tanúsítvánnyal, miközben csak a külső adatközpontjuk tanúsított. Az információbiztonság-menedzsment terén a fokozott óvatosság érdekében magának a beszállítónak is rendelkeznie kell ilyen tanúsítvánnyal.
4. A beszállító rendelkezésre tud bocsátani behatolási tesztről készült jegyzőkönyvet?
Érdemes megkérni a beszállítót, hogy bocsásson rendelkezésre a legutóbbi behatolási tesztről készült jegyzőkönyvet. A behatolási tesztelés az adott számítógépes rendszerben, hálózatban vagy webes alkalmazásban a kiberbűnözők által kihasználható esetleges biztonsági rések feltárására irányul.
5. Megtekinthető az auditnapló a beszállító által kínált praxismenedzsment-szoftverben?
Hozzáférhető az iroda számára az auditnapló a praxismenedzsment-szoftverben? Tehát azonosíthatók azok a felhasználók, akik olyan területekhez férnek hozzá, amelyekhez nincs jogosultságuk?
6. Nagy hangsúlyt fektet a biztonsági javítókészletek telepítésére az SaaS-infrastruktúrájában?
Tudja-e bizonyítani a beszállító, hogy megbízható eljárása van a biztonsági javítókészletek telepítésére az SaaS-infrastruktúrájában? Naprakész például a Microsoft adatbázis-biztonsági előírásait illetően?
7. Kínál a beszállító adattitkosítást?
Ha a beszállító komolyan veszi és praxismenedzsment-szoftver szolgáltatásakor előtérbe helyezi az adatbiztonságot, akkor tanúsítvánnyal rendelkező, titkosított adatátvitelről kell gondoskodnia.
8. A beszállító által kínált praxismenedzsment-szoftver integrálható-e más alkalmazásokkal?
Az iroda és személyzete minden valószínűség szerint már használ Microsoft-eszközöket és mobilkészülékeket. Fontos, hogy a leendő beszállító praxismenedzsment-szoftvere integrálható legyen ezekkel az alkalmazásokkal, és hozzáférhető legyen mobilkészülékeken. Így a megoldás bevezetése után az iroda továbbra is a megszokott módon dolgozhat: helytől függetlenül biztonságosan és megszakítások nélkül.
9. Megbízható a beszállító?
Mióta van a piacon a beszállító? Kik az ügyfelei? Ezek az ügyfelek milyen véleménnyel vannak róla? Érintett volt bármilyen visszaélésben vagy botrányban? Bátran lehet érdeklődni a szakmabelieknél is a beszállító kiválasztásakor.
10. A beszállító biztosít-e képzést és értékesítés utáni támogatást?
Érdemes megkérdezni a beszállítót, milyen képzést biztosít a technológia bevezetésével összefüggésben és azt követően. Együtt tud-e működni az alkalmazottakkal és az ügyvédi iroda informatikusaival a praxismenedzsment szoftver konfigurálásában? Mennyire fontos neki az ügyfélszolgálat?
Ezek a kérdések önmagukban nem feltétlenül bizonyulnak elegendőnek a beszállító kiválasztásának véglegesítésekor, de ha igenlő válasz érkezik rájuk, akkor az ügyvédi iroda minden valószínűség szerint jó kezekbe kerül.