Tahun 2023 merupakan tahun terburuk yang pernah tercatat bagi keamanan siber di industri hukum sejauh ini.
Hanya satu bukti: Sejak 2018, 2,9 juta catatan telah dicuri terkait dengan pelanggaran firma hukum yang dilaporkan ke publik. Sekitar 1,56 juta catatan dicuri tahun lalu saja, meningkat 615% dibandingkan dengan tahun 2022 yang buruk (218.473 catatan).
A postingan blog baru dari Comparitech menggambarkan sebuah industri yang tengah berjuang mengatasi masalah ransomware. Firma hukum besar telah membayar jutaan dolar untuk melindungi data klien mereka yang sangat sensitif, dan gagal dalam upaya mereka untuk melawan.
Keadaan Keamanan Siber Industri Hukum
Sejak tahun 2018, 138 firma hukum telah mengakui secara terbuka bahwa mereka terkena serangan ransomware.
Dari jumlah tersebut, 107 serangan terjadi di AS, dengan sekitar 2,9 juta catatan terpengaruh. Seperti yang dicatat Comparitech, jarak antara AS dan tetangga terdekatnya — Inggris, dengan 9 serangan yang memengaruhi 9.703 catatan, dan Jerman, dengan 5 serangan yang memengaruhi jumlah yang tidak diketahui — mungkin lebih berkaitan dengan persyaratan pelaporan daripada apa pun lainnya.
Sumber: Comparitech
Tuntutan tebusan sangat beragam. Pada tahun 2021, firma hukum Prancis Cabinet Remy Le Bonnois membayar kelompok Everest hanya $30.000 untuk menyelesaikan serangannya. Di sisi lain, REvil menuntut $21 juta dari Grubman Shire Meiselas & Sacks di New York pada tahun 2020. Para penyerang menggandakan jumlah tersebut menjadi $42 juta ketika kelompok tersebut menemukan bahwa catatan Grubman mencakup beberapa milik Donald Trump. (Firma tersebut tidak membayar.)
Rata-rata tebusan di antara kasus-kasus yang dilaporkan ke publik adalah $2,47 juta, dan jumlah rata-rata yang sebenarnya dibayarkan setelah negosiasi adalah $1,65 juta. Namun, angka-angka ini merupakan perkiraan kasar dari kenyataan, karena hanya 11 insiden yang dilaporkan juga melaporkan tuntutan tebusan, dengan hanya delapan tebusan yang dilaporkan dibayarkan.
Konsekuensi bagi Firma Hukum
Jika serangan ransomware terhadap firma hukum sedang menjadi tren, itu karena firma hukum menjadi target yang sempurna.
“Firma hukum merupakan kasus yang menarik,” jelas Paul Bischoff, advokat privasi di Comparitech, “karena pada kebanyakan perusahaan lain, peretas hanya mencari peluang yang mudah. Mereka mungkin menginginkan sebanyak mungkin, misalnya, nomor Jaminan Sosial atau kata sandi yang dapat mereka curi. Dan jumlah catatan yang lebih banyak merupakan tujuannya. Namun, pada firma hukum, Anda memiliki data yang sangat berharga bagi orang-orang tertentu. Dokumen yang terkait dengan litigasi yang sedang berlangsung akan sangat berharga bagi pihak lawan dalam kasus tersebut. Jadi, yang terpenting bukanlah jumlah data, melainkan isinya.”
Sensitivitas data hukum yang sangat tinggi menempatkan firma dalam posisi negosiasi yang sulit: membayar jutaan dolar, dan berisiko tidak mencapai apa punatau tidak, dan menghadapi risiko kemarahan tambahan dari klien. 12% serangan ransomware di industri hukum berujung pada tuntutan hukum, dan sedikitnya 75% di antaranya berhasil.
Alasan lain untuk membayar? Comparitech memperkirakan bahwa 138 serangan yang tercatat mungkin telah merugikan korban sekitar $18,8 miliar dolar, semata-mata karena waktu henti yang mereka alami. Salah satu korban LockBit — Ince Group, yang berkantor pusat di London — mengajukan kebangkrutan tahun lalu setelah gagal membayar £5 juta ($6,5 juta USD) yang dihabiskan untuk memulihkan sistemnya.
Sementara itu, ketika para korban mencoba menggunakan hukum untuk membantu mereka, mereka biasanya gagal. Ward Hadaway dari Inggris dan HWL Ebsworth Lawyers dari Australia mengeluarkan perintah pengadilan terhadap para penyerang mereka yang tidak banyak berpengaruh, karena peretas anonim tidak mudah dibawa ke pengadilan. Firma hukum Kanada Robson Carpenter LLP senang melihat penyerangnya diadili, tetapi pada akhirnya hanya menerima ganti rugi sebesar $2.500.
Di sisi positifnya, serangan ransomware terhadap firma hukum pada tahun 2024 jauh tertinggal dibandingkan tahun lalu. Sejauh ini, hanya 11 serangan yang dilaporkan, yang memengaruhi sejumlah data klien yang tidak diketahui jumlahnya.
“Secara keseluruhan, serangan ransomware terjadi dalam frekuensi serangan di semua sektor yang telah kami liput,” Bischoff mencatat. Mungkin, ia berspekulasi, penyerang lebih memilih kualitas daripada kuantitas. Atau, lebih optimis, “Saya pikir itu tindakan keras penegak hukum, dan perusahaan serta organisasi menjadi lebih baik secara umum dalam mengetahui apa saja ancaman ini dan bersiap.”