律师事务所处理的业务性质决定了它们是高度敏感信息的重要储存地。一个律所的案件管理系统中,存储着委托人的个人信息、涉案事实、证据材料、合同条款、交易金额、诉讼策略以及各种法律文书。这些信息一旦泄露,不仅会给委托人带来直接的经济损失和名誉损害,还可能影响正在进行的诉讼和交易的走向。因此,律师行业普遍有较强的保密意识,对纸质卷宗和内部系统的管理也较为注重。
但社会工程学攻击的威胁往往是律师行业的安全盲点。一家中型的综合性律师事务所就遇到了这样一起事件。这家律所为大量企业和个人客户提供法律服务,案件管理系统中有严格的权限控制,合伙人级别的律师可以看到自己负责的案件的全部档案,而初级律师和行政人员只能看到自己所经办部分的信息。
一个工作日,律所的前台接待收到了一个电话。来电人自称是律所一家重要企业客户的负责人张总,语气非常急切。他说自己正在外地出差,马上要出席一个紧急谈判,需要确认律所之前给他的一份法律意见书中的几个关键条款。这份意见书涉及一个正在进行的诉讼案件,里面包含了案件的分析和策略建议。来电人表示他无法登录律所的案件管理系统,因为他人在外面只有手机,希望前台能帮忙联系负责这个案件的合伙人律师来和他通话。
前台查了一下系统,确认张总这个名字确实是这家企业客户的负责人。她按照来电人提供的电话号码说是合伙人律师的分机,尝试转接但没有人接听。她回拨给来电人说明了情况,对方表现得非常着急,说谈判还有一个小时就要开始了,他实在等不及了。他问前台是否能把意见书发到他指定的一个邮箱,还特别补充说这个邮箱是他专门用于接收紧急文件的一个备用邮箱,不是平时和律所通信的那个邮箱。
按照律所的规定,委托人的案件资料必须由对应的律师本人或者经其授权后才能提供给委托人。但前台当时觉得情况特殊,而且来电人的身份看起来是可靠的,就绕过了规定流程。她查看了案件管理系统中的意见书文件,用邮件发给了来电人指定的邮箱地址。
事后证实,这个来电人根本不是客户公司的负责人。真正的张总从来没有打过这个电话。攻击者事先通过网络搜索和社交媒体收集了一些公开信息,构建了可信的身份来实行社会工程学攻击。他利用收集到的信息伪装成张总打电话给律所前台,成功套取了一份内容非常敏感的法律意见书。
虽然律所发现后第一时间采取了止损措施,但由于意见书中的策略分析内容已经被对方获取,律所不得不紧急调整了诉讼策略,并向委托人做了情况通报。委托人对此事件极为不满,虽然没有因此更换律所,但双方的合作关系由此多了一层隔阂。律所在后续也加强了内部管控,对前台和行政人员进行了专门的社会工程学攻击防御培训,并修订了信息核实流程,明确规定任何情况下都不能在没有经过律师本人确认的情况下向外界提供案件资料。
律所作为专业服务机构,保密义务既是职业道德的红线也是法律责任的底线。这起事件提醒法律行业,信息安全不仅是对信息系统本身的保护,也包括对人在社会工程学攻击面前防线脆弱的预防。信息核实机制、权限控制和员工安全意识培训缺一不可。
