A adoção de soluções tecnológicas no setor jurídico (ou legaltech) é feita com o objetivo de otimizar a prestação de serviços, bem como elevar o valor da proposta oferecida pelos escritórios de advocacia aos seus clientes. Essas soluções funcionam capturando e armazenando grandes quantidades de dados, tornando os escritórios um alvo atraente para hackers.
Com o rápido avanço da tecnologia, é natural que as legaltech se tornem cada vez mais sofisticadas. No entanto, o cibercrime avança no mesmo ritmo, gerando um conflito difícil de ignorar.
Em um negócio baseado na confiança do cliente, como o setor de serviços jurídicos, o que representa o comprometimento de informações confidenciais do cliente (dados pessoais, informações bancárias, estratégias, etc.) por um ataque de hackers? Os ataques cibernéticos podem colocar todo o setor jurídico em risco? Como ser eficiente sem colocar em risco as informações do cliente?
As respostas a essas perguntas são um verdadeiro desafio, conforme afirmou José Antonio Toriello, fundador da Red de Firmas & co-anfitrião, do Podcast Heróis do Contrato:
“O cenário de ameaças cibernéticas está em constante evolução e surgem novas ameaças e vulnerabilidades. Portanto, os escritórios de advocacia devem desenvolver continuamente medidas de segurança cibernética para se manterem atualizados e se protegerem contra as ameaças mais recentes.”
Toriello, junto com Francisco Roldán, CEO/Diretor Administrativo da Cyber-T e Juan Carlos Bonilla, NOLA & SOLA Channel & Alliance Sales Manager da Commvault México, falará sobre os principais desafios da tecnologia jurídica, em termos de segurança cibernética, durante o debate: Como proteger seus dados no mundo LegalTech?
Este debate, organizado pela LexLatin, com a colaboração da Commvault, Cyber-T e TD Synnex, acontecerá no próximo 20 de julho de 2023, das 12h às 11h30 (horário de Brasília) via Zoom.
O evento é gratuito, inscreva-se aqui!
Leia também: Design de marca para escritório de advocacia: como definir logo e cores?
Vulnerabilidade do setor jurídico
De acordo com um artigo publicado em dezembro de 2022 pela American Bar Association (ABA) intitulado Cybersecurity for Law Firms: What Legal Professionals Should Know, os escritórios de advocacia tendem a ser muito mais vulneráveis do que as grandes empresas (clientes).
A razão por trás dessa afirmação é que os escritórios de advocacia gerenciam informações confidenciais e valiosas de várias empresas pertencentes a diferentes setores (construção, bancos, energia, farmacêutico).
Geralmente, essas informações são armazenadas em um único banco de dados, o que significa que os cibercriminosos podem obter informações de uma única fonte. Ou seja, não há necessidade de hackear cada empresa separadamente.
Outras razões apontadas no artigo para explicar porque os escritórios são mais vulneráveis é que muitas empresas possuem sistemas de cibersegurança mais sofisticados do que os escritórios de advocacia, o que torna o trabalho dos cibercriminosos ainda mais fácil.
Em junho de 2023, três dos maiores escritórios norte-americanos, Kirkland & Ellis, K&L Gates e Proskauer Rose, foram submetidas a um ataque cibernético maciço por um grupo de ransomware chamado CLOP, que comprometeu os dados de milhares de pessoas. A informação foi divulgada pela agência de notícias Reuters em 29 de junho.
Se três das maiores empresas jurídicas foram vítimas de um ataque de hackers, isso significa que todos os escritórios, independentemente de seus recursos, estão vulneráveis.
Desafios da região
Brasil, Colômbia, México, Peru e Chile foram os países da região que mais sofreram ciberataques em 2022, de acordo com o relatório anual X-Force Threat Intelligence Index, elaborado pela IBM.
De acordo com o relatório, o ransomware, que sequestra arquivos e restringe seu acesso em troca de quantias em dinheiro, foi a modalidade na qual se concentraram 32% dos ataques. Outros ataques que se destacaram na região foram os via backdoors, um método secreto de contornar a autenticação ou criptografia normal em um computador ou outro dispositivo, em 16%, o comprometimento de e-mails comerciais ou BEC, em 11%, e o sequestro de conversas de e-mail, também em 11%.
O relatório também revela que extorsão e roubo de dados foram os impactos mais frequentes na região, com 27% dos casos, além de prejuízos econômicos, com 20%, enquanto destruição e vazamento de dados empataram em terceiro lugar, com 13% dos casos cada.
Esses países, os que mais sofreram ataques no ano passado, possuem leis de proteção de dados pessoais que buscam um ambiente mais seguro para o mundo digital: a Argentina tem a Lei 23.326, de 2000, Brasil tem a Lei 13.709, de 2018, a Colômbia a Lei 1.581, de 2012, o México a Lei Federal de Proteção de Dados Pessoais, de 2010, o Peru tem a Lei 29.733, de 2011, e o Chile a Lei 21.254, de 2022, que revogou a Lei 19.223, de 1993.
E mesmo essas regras são complementadas por outras regulamentações sobre segurança cibernética que serviram para criar agências de controle e classificar novos crimes de informática. No entanto, os dados parecem indicar que a América Latina tem que fazer um esforço maior para proteger as atividades do ciberespaço.
Para José Antonio Toriello, embora existam países latino-americanos que tenham implementado leis sobre proteção de dados e crimes cibernéticos, a eficácia dessas regulamentações pode variar.
"Um ponto fraco potencial em qualquer estrutura regulatória pode ser a falta de cumprimento e aplicação efetiva. As leis por si só muitas vezes não são suficientes sem a infraestrutura e os recursos para garantir o cumprimento. Além disso, as leis devem acompanhar o cenário de ameaças cibernéticas em constante mudança e se adaptar às novas tecnologias e táticas de ataque.”
Francisco Roldán concorda com o colega sobre os desafios da implementação de normas e a necessidade de sua atualização constante para responder aos rápidos avanços tecnológicos. No entanto, Roldán alerta para outros desafios: cooperação internacional e conscientização e educação.
“O Cibercrime não conhece fronteiras e exige uma estreita colaboração entre os países para combatê-lo de forma eficaz. Embora tenham sido estabelecidos mecanismos de cooperação, a coordenação entre as jurisdições pode ser fraca, dificultando o julgamento do crime cibernético e a proteção de dados transfronteiriços.”
Roldán também acrescenta que a conscientização e a educação sobre a importância da proteção de dados são fundamentais. Para ele, a falta de conhecimento e a ausência de cultura sobre segurança cibernética podem enfraquecer a aplicação da lei.
Consequentemente, pessoas e organizações ficam vulneráveis a ameaças.
Sugestão: Avanços do cenário e da cultura de proteção de dados no Brasil
Melhores práticas
Dados os desafios presentes na América Latina em termos de segurança cibernética e a vulnerabilidade de escritórios de advocacia ou administração, é importante ecoar quais devem ser as melhores práticas para evitar, na medida do possível, um conflito insolvente entre legaltech e pirataria.
Nesse sentido, Juan Carlos Bonilla adverte que contar com o patrocínio da direção e definir políticas de segurança cibernética são dois pontos-chave para uma estratégia ou programa antipirataria em um escritório de advocacia ou em qualquer outra organização.
Ao definir as políticas de cibersegurança, Bonilla aponta que é necessário determinar vários fatores: o que eu quero proteger? Quem é responsável e pelo quê? Como resolver os problemas? Como usar os recursos? E como relatar preocupações?
Bonilla também destaca três práticas para escritórios de advocacia para prevenir ataques cibernéticos:
- Visibilidade: É necessário saber o estado (semanal, diário ou em horas) da minha cibersegurança. Sem conhecer este “estado ou postura” de segurança, fico cego para responder a qualquer incidente. Para isso, é fundamental contar com ferramentas que emitam alertas e sejam fáceis de usar. Detectar um ataque em 5 a 15 minutos é a chave para tomar ações automáticas e minimizar o impacto.”
- Priorizar: Se o mais valioso para a organização é a informação, então ela deve investir em ferramentas que indiquem como acessar a informação, como protegê-la e como recuperá-la. Por exemplo, após um ataque de ransomware, algumas empresas demoram entre 22 e 60 dias para se recuperar. Para esses casos, sugiro a regra 3-2-1, ou seja, 3 cópias de um arquivo, 2 cópias de backup e 1 fora do meu site principal ou computador.
- Considere o fator humano: As ferramentas de tecnologia do sistema de segurança cibernética não devem ser complexas. Caso contrário, será um pesadelo para todos na organização, inclusive para a equipe de suporte. A tecnologia fácil de operar é o que pode ajudar drasticamente as organizações a obterem um melhor nível de serviço e um acesso mais seguro às suas informações.
Por sua vez, Francisco Roldán acrescenta que a realização periódica de auditorias ou avaliações de segurança em escritórios jurídicos é uma prática cada vez mais comum e necessária para detectar possíveis vulnerabilidades na proteção de dados digitais. Essas avaliações ajudam a garantir a conformidade regulamentar, seguir as práticas recomendadas de segurança e gerenciar os riscos com eficiência.
Add new comment