Cyberhoten Advokatbyråer allt mer utsatta för intrång

En biträdande jurist med ovanligt mycket att göra är först på kontoret på morgonen. Med en kopp nymalt kaffe på bordet startar hon sin dator, där Windows hälsar henne välkommen. En klunk kaffe och så klickar hon sig in på byråns ärendehanteringssystem för att fortsätta arbetet med den där besvärliga företagsöverlåtelsen.

Men inget händer. Systemet vägrat att starta. I stället dyker ett blinkande meddelande upp på skärmen.

”Ooops, your files are encrypted. The only way to decrypt your files is to receive the key and the decryption code.”

En massa text. Och längst ner en instruktion hur byrån ska betala i bitcoin.

Historien är påhittad. Men den är inte orealistisk. Under de senaste åren har allt fler företag, organisationer och myndigheter fått uppleva olika former av intrång i informationssystem, med stora kostnader och mycket arbete som följd. Vem minns till exempel inte attacken mot en av livsmedelskedjan Coops underleverantörer, som tvingade Coop att hålla butikerna stängda i omkring en vecka.

Enligt IT-säkerhetsföretaget Truesec tar det i genomsnitt 23 dagar att få igång en drabbad IT-miljö igen efter en attack, och över 287 dagar innan ordningen från tidpunkten före incidenten är återställd. Andra konsekvenser, som förlorat förtroende från kunder och allmänhet, är svåra att mäta, men för ett företag i den så kallade förtroendebranschen är de förstås betydande.

Dit hör advokatbyråerna. Och branschen är inte förskonad från cyberhot. Exempelvis utsattes den globala advokatbyrån DLA Piper år 2017 för en ransomwareattack, som påverkade datorer, mobiler och IT-system. Byråns IT-ansvarige har senare uppgett att deras IT-team arbetade 15 000 övertidstimmar för att återställa verksamheten. Byrån tvingades dessutom att radera hela sin Windows-miljö och ”börja om från början” eftersom det visade sig att den befintliga miljön var bortom räddning.

Hoten från cyberbrottslingarna har knappast minskat sedan 2017. Snarare tvärtom, menar många experter. Ett av de senaste exemplen är ett nätverk som kallar sig Black Cat, som under våren och försommaren slog till mot flera australiensiska advokatbyråer. I juni bekräftade till exempel en av landets största advokatbyråer, HWL Ebsworth, med över 2 000 anställda och nio kontor runt om i landet, att de utsatts för ett angrepp från en grupp som sa sig ha tillgång till mer än en miljon dokument från byråns system.

Företagare i cyberbrott

Mats Hultgren vid cybersäkerhetsföretaget Truesec vill egentligen inte prata särskilt om hoten mot advokatbyråer. Hans poäng är snarare att alla företag är hotade – oavsett verksamhet och storlek.

– Så länge du har IT så har du utmaningar med försök att lura eller hota människor genom nätfiskemejl till exempel. Kanske har du gammal IT-utrustning som inte hanteras på ett bra sätt, gamla system som inte uppdateras kontinuerligt och så vidare. Det lämnar hål, säger han.

Många gånger får Mats Hultgren höra av kunder att de är ointressanta för cyberbrottslingarna. Hans svar är att brottsligheten initialt inte alls gör något urval av vilka företag som kan vara intressanta att utpressa eller stjäla information ifrån.

– Det är inte något harpunfiske som pågår. Vi pratar om stora internettrålare som går rakt över internet och som fångar allt i sin väg. Så länge du har en IP-adress, en mejladress, en hemsida, ett socialt mediakonto. Så länge du finns på något sätt aktiv i det digitala så kommer du att kunna fastna i de här näten, säger han.

Anthony Herring, ansvarig för cyberförsäkringar på försäkringsbolaget Riskpoint, delar Mats Hultgrens bild. Advokatbyråer angrips, på samma sätt som andra företag, små, mellanstora och stora. Alla företag använder någon form av IT och det betyder att de kan bli angripna.

– Angriparna följer så att säga minsta motståndets lag. De letar efter sårbarheter och har verktyg för att utnyttja dessa sårbarheter. Då spelar det ingen roll om det är ett bolag som omsätter flera miljarder kronor eller en advokatbyrå med två personer, fastslår han.

Cyberbrottslingarna beskrivs av Mats Hultgren och Anthony Herring som opportunister, som noggrant bedömer affärsmöjligheterna i de intrång som är möjliga. Många gånger kan det vara en bättre affär att angripa ett mindre företag, med svaga skydd, än ett storföretag med hela avdelningar som sysslar med IT-säkerhet. Tio angrepp på småföretag blir helt enkelt mer lönsamt än ett angrepp på storbolaget.

Ofta kan också konsekvenserna bli värre för ett litet bolag än för ett stort, konstaterar Mats Hultgren, som berättar att det minsta bolag han hjälpt var ett tvåmannabolag med allt material i en bärbar dator.

– Om det är företagets hela IT-verksamhet, och den är krypterad, och det dessutom saknas backuper … Lycka till. Ofta är det då lättare att bara sätta byrån i konkurs och börja om från början.

Så hur medvetna är de svenska advokatbyråerna om hoten? Mer medvetna än genomsnittsföretagaren, men inte bäst, svarar Anthony Herring, som upplever att medvetenheten är allra störst hos de hårt reglerade finansiella institutionerna.

Att utlokalisera IT-driften till proffs kan skapa en känsla av säkerhet på byrån. Men som några omskrivna fall har visat är outsourcing inte en garanti för att företag inte lider av konsekvenserna av ett cyberangrepp. 

– En del av de skador som vi sett beror på att en fristående IT-leverantör till vår kund har blivit angripen. Det leder till avbrott hos den försäkrade, konstaterar ­Anthony Herring.

Många gånger litar advokatbyråer på att de har kontrakt med sina leverantörer som skyddar dem om något oförutsett händer. Anthony Herring varnar för denna övertro.

– Jag har inte sett ett kontrakt som ersätter hela kostnaden för att inte kunna driva sin verksamhet i kanske en månad, säger han.

Trålar hela internet

Anthony Herring och Mats Hultgren beskriver en brottslighet som är internationell, högeffektiv och specialiserad. Först ut i kedjan finns så kallade initial access brokers, alltså själva inbrottstjuvarna i informationssystemen.

– Det enda de gör är att bryta sig in och liksom skaffa huvudnyckeln till huset. Sedan går de ut, men de ser till att ha några bakdörrar uppsatta, berättar Mats Hultgren.

De digitala inbrottstjuvarna bjuder sedan ut nyckeln på auktion på darknet. Därefter tar det ungefär en månad innan det verkliga angreppet kommer. Ofta tar sig angreppet formen av ransomware som låser hela IT-systemet, som på den fiktiva advokatbyrån i början av artikeln.

Tyvärr är det inte säkert att den ransomware-attack som drabbade den stackars biträdande juristen är det enda intrång som sker. Data från systemet kan mycket väl redan vara på avvägar, eller så säljs en bakväg in i systemet vidare på den svarta marknaden, berättar Mats Hultgren.

Vissa aktörer i cyberbrottsvärlden sysslar överhuvudtaget inte med intrång utan inriktar sig enbart på att skapa verktyg, i form av skadlig kod, malware, som säljs till de grupper som vill göra intrång, berättar Mats Hultgren. Andra grupper är så att säga storföretag i brott och sköter själva hela processen, från omvärldsbevakning via verktyg för intrång till förhandlingar med de drabbade. Det förekommer till och med att de stora aktörerna lägger ut sina verktyg på andra i ett slags brottslig franchising.

– Poängen är att det enda som krävs i dag för att du ska vara en riktigt avancerad aktör är att du saknar moral och etik, säger Mats Hultgren och tillägger att de kriminella ofta inte ens behöver ett startkapital, utan kan betala för de tjänster de köper med en andel av brottsvinsterna.

Högeffektiva brottslingar som trålar av internet och följer minsta motståndets lag alltså. Och även om alla typer av företag har skäl att försöka skydda sig mot hotet så finns det tecken på att advokatbyråer just nu hamnat i blickfånget för vissa brottsliga grupper.

Levi Bergstedt är jurist på Truesec och tidigare advokat. Han berättar att Truesecs underrättelseavdelning ser ökad aktivitet riktad mot nordiska advokatbyråer från syndikatet Black Cat, som tidigare agerat i Latinamerika och i Australien.

– Deras modus operandi är att kryptera datan efter att de stulit den. Det innebär att de kan återkomma med mer utpressningshot, eftersom de har kvar datan, säger han.

Syndikatet är väl medvetet om att advokatbyråer har mycket känsliga klientdata i sina system. Just därför kan de också utöva utpressning mot två olika offer, berättar Levi Bergstedt.

– Det är både byrån som vill dölja att de har blivit bestulna på data och det är klienten som vill förhindra att känsliga data läcker ut. Det är verkligen ett steg till på ondskans väg, summerar han.

Fixar längre stege

Hotet från cyberbrottslingarna är alltså en realitet som företag knappast har råd att blunda för, enligt experterna. De får stöd av statistik i en internationell undersökning genomförd av IT-säkerhetsföretaget Thales. Nästan hälften av de tillfrågade IT-proffsen – och i Sverige mer än hälften – ansåg där att säkerhetshoten ökar i volym och allvar. Ungefär lika många rapporterade en ökning av ransomware-attacker, och 37 procent hade upplevt dataintrång under de senaste 12 månaderna. I Sverige var motsvarande siffra hela 49 procent.

Men hur ska då en advokatbyrå kunna skydda sig mot cyberangrepp? Räcker det kanske att utbilda medarbetarna så att de inte släpper in skadlig programvara genom att klicka på de där nätfiskemejlen som kommer titt som tätt? Både ja och nej, säger Mats Hultgren.

– Det är viktigt och bra att utbilda medarbetarna om att man inte ska klicka på länkar och inte lämna ut sitt lösenord. Problemet är bara att de ändå kommer att klicka på länkar och lämna ut lösenord, säger han och fortsätter:

– Ingen av de anställda är utbildad i att inte bli lurad. För det är inte deras kärnverksamhet. Människorna bakom attackerna, de har som sin enda verksamhet just att lura folk. Vi kan inte förvänta oss att människor ska klara av det här.

Något hundraprocentigt skydd finns inte, konstaterar alla experterna. Däremot är det viktigt att få igång ett ständigt pågående säkerhetsarbete för att hejda så många intrång som möjligt och inte minst minska skadeverkningarna av ett intrång.

Mats Hultgren drar en historisk parallell till Karlsborgs fästning. 1830 bestämdes det att Karlsborg skulle bli Sveriges andra huvudstad och centrum för landets försvar. Men det fanns ett problem: murarna var inte tjocka nog för den tidens kanonkulor. Murarna fick förstärkas, ett arbete som tog 90 år.

– När arbetet var färdigt hade man uppfunnit trotylen. Fästningen invigdes under pompa och ståt och pensionerades i samma sekund, säger Mats Hultgren.

Hans poäng är förstås att gårdagens skydd aldrig kan möta dagens hot. Och teknikutvecklingen i cyberbrottsvärlden går rasande fort. Det finns, kort sagt, inga helt säkra sätt att skydda sin och klienternas känsliga information.

– Om du bygger en högre mur sätter någon dit en högre stege. De kommer att ta sig förbi det skydd vi har, konstaterar Mats Hultgren.

Samtidigt gäller det förstås att försöka stoppa så många angrepp som möjligt. En synnerligen viktig åtgärd är då att säkerställa att inga gamla och förlegade system eller lösningar används.

– De är tyvärr en av de vanligaste intrångsvektorerna i IT-miljöer som blir angripna. IT-system behöver hållas ajour med den senaste tekniken, annars erbjuder de onödigt stora sårbarheter som går att utnyttja, fastslår Mats Hultgren.

Behöver ringa en vän

Bilden kan kännas nattsvart. En växande och tekniskt avancerad internationell brottslighet som arbetar heltid med att lura och bryta sig in i tekniska system står mot advokater och andra företagare utan särskild teknikkompetens som vill sköta sitt arbete på ett effektivt sätt.

Och visst är det mörkt på det sättet att ingen går helt säker. Men det finns ändå en hel del att göra, enligt IT-säkerhetsexperterna. Egen kunskap, och kunskap hos byråledningarna, är en framgångsfaktor, liksom insikten att IT-säkerhet kostar pengar och måste få göra det.

Levi Bergstedt och Mats Hultgren listar en rad olika insatser som kan öka säkerheten (se listan med tips från experterna). Men det gäller också att hitta rätt experter att samarbeta med – inte minst om det värsta händer.

– Om du drabbas av en ransomware-attack där du får din miljö helt krypterad behöver du ringa en vän. Den vännen ska kunna hantera incidenten från ett tekniskt perspektiv. Den ska kunna utreda forensiskt vad som har hänt, vilken skada som har skett och vad som behöver göras för att uppta verksamheten, säger Levi Bergstedt, och tillägger att vännen helst också ska kunna bistå med att återskapa IT-miljön, liksom kriskommunikation och krishantering.

Det är dock inte helt lätt att i förväg identifiera vilka experter som har all kunskap som behövs. Många kallar sig nämligen för experter, utan att egentligen vara inriktade på just cyberangrepp.

– Ända sedan GDPR så har alla som jobbar med IT blivit IT-säkerhetsexperter. För nu finns det pengar att tjäna. Så om jag säljer antivirus har jag blivit cybersäkerhetsexpert, konstaterar Mats Hultgren, som förstår att det är svårt för en advokat att veta vilket företag som håller vad det lovar. 

Det är också viktigt att inse att det företag eller den person som sköter den vanliga driften av IT-systemet inte kan svara för säkerhetskontrollerna.

– Det är skillnad på IT-konsulter och IT-säkerhetsexperter. Det ena ger inte det andra. Du behöver en IT-leverantör som hjälper dig med att få allting att funka. Sen kommer du förmodligen att behöva någon som hjälper dig att säkra det, säger Mats Hultgren, och tillägger att om det blir ett intrång behövs dessutom någon som hjälper dig att ”kasta ut buset”, då detta i sig kräver helt annan kompetens än att säkra upp IT-miljön.

Levi Bergstedt jämför uppdelningen mellan IT-leverantör och IT-säkerhetsansvariga med den mellan bokföring och revision.

– Du går ju inte till samma person med din bokföring och din revision, eftersom en ekonomisk funktion inte ska granska sig själv och sitt eget arbete. Men det är det som händer om man låter IT-leverantörerna också sköta säkerheten, säger han.

Både Mats Hultgren och Levi Bergstedt tror också att Advokatsamfundet kan ha en roll att spela för att hjälpa advokatbyråer till bättre IT-skydd, förutom den försäkring som redan tagits fram (se artikeln ”Hög tid att se över skydd och försäkring”). Levi Bergstedt pekar på att Law Society of England and Wales har samarbete med en cybersäkerhetsorganisation. Law Society har dessutom tagit fram en guide och riktlinjer för sina medlemmar om hur man kan arbeta med cybersäkerhet.

Mats Hultgren håller med och tillägger att samfundet också skulle kunna upphandla tekniska lösningar och tjänster att erbjuda advokaterna. På det viset skulle mindre byråer kunna dra nytta av storbyråernas starkare ekonomiska muskler.

Försäkringsbranschen driver på

Risken för cyberangrepp har, som många andra risker, också skapat en marknad för försäkringar. I dag finns en rad olika försäkringsalternativ på marknaden. Ofta innehåller de dels en ekonomisk bit, i form av ersättning för skada, dels ett praktiskt moment där den drabbade kan få hjälp att stoppa ett angrepp och i möjligaste mån reparera den skada som det orsakat.

Anthony Herring arbetar just med cyberförsäkringar, bland annat riktade till advokater (läs mer om Advokatsamfundets och Riskpoints cyberförsäkring för advokater). Han beskriver en försäkringsmarknad som växte fram snabbt och sedan drabbades av ett bakslag.

– Cyberförsäkringsmarknaden har gått igenom en ganska tuff period nu. Dessa försäkringar sågs som en tillväxt­produkt av försäkringsbolag, och såldes väldigt mycket för tre, fyra år sedan till lågt pris och med breda villkor. 2019–2020 började vi se mycket ransomware-skada. Då blev försäkringsbolaget rädda och drog tillbaka kapaciteten, berättar han.

En positiv effekt av det elddop som branschen gått igenom är att bolagen nu allt mer börjat ställa krav på kundernas cybersäkerhet. Den som inte har en grundläggande säkerhet kommer helt enkelt inte att få någon försäkring, vilket driver på säkerhetsmedvetenheten i samhället i stort, påpekar Anthony Herring.

– Vi försöker se till så att kunderna har åtminstone grundläggande hygien på området. Vi förstår att inga kunder kan skydda sig mot hundra procent av angriparna. Det finns inget bolag som sitter säkert. Men vi tittar på grundskyddet och om kunden har goda möjligheter att upptäcka ett intrång i en tidig fas och om kunden har kartlagt hur de ska fortsätta driva verksamheten om det blir ett större intrång, säger han.

Mats Hultgren berömmer försäkringsbranschen för att den driver på för ökad medvetenhet på cyberområdet.

– Försäkringsbranschen drar just nu lasset att släpa samhället in i en bättre hygienform, säger han, och tillägger att han skulle önska sig större medvetenhet också från politiskt håll.

För den närmaste framtiden är Anthony Herring övertygad om att hans bolag och dess konkurrenter kommer att få hantera fler cyberskador.

– Det är flera kunder som köper försäkring i dag. Och både antalet angripare och antalet angrepp ökar hela tiden.

Ulrika Öster
Tom Knutson