La cybersecurity negli studi legali

A valle dell’incontro tenutosi ieri con l’AIGA (Associazione Italiana Giovani Avvocati) di Perugia, viene pubblicato questo articolo come estratto dell’incontro.

L’avvocato digitale

Negli ultimi 6-7 anni la professione dell’avvocato ha subito una trasformazione dovuta all’aumento della digitalizzazione. Parte di questo cambiamento è dovuto ad una necessità di adeguarsi ai cambiamenti imposti dal Ministero, ma un’altra parte è determinato dall’aumento dei reati informatici e dal fatto che la professione è sempre più a contatto con le problematiche digitali.

L’avvocato, come molte altre professioni, è stato quindi costretto a fare un salto di qualità introducendo livelli sempre più avanzati di digitalizzazione che, talvolta, si scontrano contro inefficienze istituzionali frustranti e di difficile accettazione (il deposito telematico e le sue complessità ne sono un esempio).

Problemi comuni

Durante l’incontro si è parlato di quattro dimensioni particolari:

  • Infrastrutture
  • Dati
  • Servizi
  • Risorse umane

Ognuna di queste dimensioni è potenzialmente oggetto di specifici criticità che vanno analizzate secondo due criteri specifici:

  • La causa della criticità: che può esere colposa o dolosa;
  • L’origine della criticità: che può essere esogena (un attacco hacker esterno) o endogena (un atto di sabotaggio).

Lo scopo di queste differenze è tenere in considerazione anche gli aspetti colposi degli incidenti informatici, nonchè le origini endogene meno attenzionate rispetto a quelle esogene.

Infrastrutture

I sistemi informativi, nati con l’idea di minimizzare i costi, prevedono spesso la condivisione di infrastrutture server e la mancanza di procedure di controllo avanzate quali log di sistema per la movimentazione di file e per le attività degli utenti. Vi sono poi problemi legati ad un’errata configurazione dei privilegi di accesso alle cartelle contenenti i fascicoli: l’interdizione dovrebbe essere estesa anche agli amministratori di sistema. Di base i tecnici non dovrebbero accedere a questi e, qualora ne avessero la necessità, dovrebbero abilitarsi i privilegi rimanendo quindi tracciati dai log dall’inizio alla fine dell’intervento di manutenzione.

La mancanza di sistemi come la cifratura fisica, può rischiare di rendere i furti di notebook, hard disk, server, più dannosi di quanto non siano. Per chiarirsi le idee sulla cifratura e sulle sue differenze si raccomanda la lettura del seguente articolo “GDPR e cifratura: incomprensioni e consigli“.

Dati

Aspetti rilevanti riguardano anche dati presenti negli studi legali non opportunamente protette. In particolare i file Excel sono spesso utilizzati per contenere dati particolari, se non addirittura credenziali, e i file in oggetto spesso non hanno alcuna forma di “blocco” (attivare la password per l’apertura/modifica del file è gratuito, immediato e offre una buona linea di difesa iniziale). Esistono infine molte banche dati scritte con tecnologie ormai deprecate: bisogna comprendere che si tratta di strumenti potenzialmente inadatti a contenere dati delicati come quelli riguardanti clienti, sentenze su casi trattati dallo studio, soprattutto se corredati informazioni di natura particolare.

Servizi

La professione dell’avvocato ruota intorno ai servizi: PEC, firma digitale, posta elettronica, cloud system, tutto ruota intorno ai servizi e talvolta questi sono inadeguati a contenere il tipo di file gestito dal legale. È pur vero che al momento il Ministero non offre valide alternative ai player internazionali obbligando, in un certo senso , l’avvocato a selezionare servizi che siano un connubio tra sostenibilità economica ed ergonomia d’uso, ossia la comodità. Questa condizione in futuro dovrà necessariamente cambiare, soprattutto quando esistono servizi cloud che consentono al gestore e ai partner commerciali del gestore, di accedere nei repository degli utenti e leggerne i contenuti.

Risorse umane

Sono potenzialmente l’anello più debole, ma anche il più forte, delle quattro aree di interesse fin qui analizzate. Certamente la maggior parte degli attacchi denota un’inconsapevolezza e un’impreparazione da parte degli utenti che apre il fianco a molti rischi. Tuttavia il personale formato risulta essere più utile di qualsiasi antivirus, o software deputato alla protezione. Questo, prevalentemente, grazie all’intuito che, se opportunamente addestrato, permette all’essere umano di evitare contagi da parte di virus che i sistemi di protezione ignorerebbero certamente. La formazione assume quindi un ruolo fondamentale nello scenario di mantenimento della sicurezza informatica.

Conclusioni

La figura dell’avvocato sarà sempre più orientata al digitale, sempre più esposta all’informatizzazione e sempre meno statica. Sarà necessario che l’avvocato acquisisca competenze innovative e conoscenza approfondita delle tematiche informatiche e sviluppi una multi-disciplinarietà di cui far uso a seconda del panorama tecnologico che dovrà affrontare. Iniziative come quelle dell’AIGA di Perugia risultano nevralgiche per garantire uno sviluppo armonico di una delle più belle e diffuse professioni d’Italia.