قام المركز الوطني للأمن السيبراني البريطاني (NCSC) بمراقبة توجيهات أمنية الكمبيوتر العامة المفصلة سرا المقدمة للمحامين والمحامين والشركات القانونية دون توضيح أو إعلان.
تمت إزالة الإرشادات وصفحة الويب وتقرير PDF المكون من سبع صفحات بعنوان “نصائح الأمن السيبراني للمحامين والمحامين والمهنيين القانونيين” ، من موقع المركز العام قبل أسبوعين في 24 فبراير.
رفض NCSC الرد على أسئلة من CW يسأل عما إذا كانوا يعلمون أن المحذوفة صفحة على الإنترنت و كتيب تم ترشيحه تلقائيًا المحفوظات الوطنية، عدة مرات ، وهكذا ما زالوا على الإنترنت.
على موقع NCSC على الويب ، يتم الآن إعادة توجيه طلبات الويب الخاصة بـ Legal Cirls على صفحة غير صحيحة على نفس الموقع. إرجاع رابط الكتيب المحذوف “404” HTTP لم يتم العثور على صفحة خطأ ذكرت “آسف – الصفحة التي تبحث عنها ليست هنا”. بشكل محرج بالنسبة لـ NCSC ، تقترح صفحة الخطأ غير الموجودة بعد ذلك أن الأرشيف الوطني قد يكون قد أرشفة الإصدارات من الملف الذي تمت إزالته. يفعل.
“إن مجرمي الإنترنت ليسوا متعصبين بشأن من يهاجمون” ، حذر كتيب NCSC الخاضع للرقابة ، “مما يعني أن الممارسات القانونية لجميع الأحجام معرضة للخطر”. يسرد الكتيب 37 خطوة يجب على المحامين والشركات القانونية أن يأخذوا “لمساعدتهم على تقليل احتمال أن يصبحوا ضحايا للهجوم الإلكترونية”.
تم نشر الكتيب في 11 أكتوبر 2024 ، بعد 2023 خاص تقرير التهديد السيبراني NSCS للقطاع القانوني في المملكة المتحدة. أشار تقرير تهديدات الإنترنت ، الذي نُشر بمساعدة مجلس المحامين ، إلى أنه بحلول عام 2020 ، أبلغت ثلاثة أرباع الشركات القانونية في المملكة المتحدة عن الهجمات الإلكترونية.
وفقًا لمجلس المحامين ، فإن “المحامين في إنجلترا وويلز يواجهون تهديدات ومضايقة وتخويف على أيدي الممثلين في الدولة وغير الدول من جميع أنحاء العالم. يشعر مجلس المحامين بالقلق من التقارير الصاعدة من الأعضاء الذين واجهوا أشكالًا مختلفة من الهجوم والتهديدات بسبب عملهم القانوني الدولي. “
أبلغت الهجمات المستهدفة إلى مجلس المحامين وقد شملت المراقبة البدنية والسيبرانية ، والتحرش السيبراني بما في ذلك تهديد أو انتحال شخصية رسائل البريد الإلكتروني ، ومحاولات الاختراق المتكررة والمستمرة ، وتهديدات الموت ، وتهديدات الاغتصاب ، والتهديدات لأفراد الأسرة عبر البريد الإلكتروني أو وسائل التواصل الاجتماعي ، و “امتياز التصيد” الذي يحاول السعي لإقناع أولئك الذين يستهدفون لفصل المعلومات الحساسة.
وقالت: “هذه التهديدات ليست مجرد هجوم على مهنة المحاماة ، بل لها أيضًا تأثير تقشعر لها الأبدان على الوصول إلى العدالة وسيادة القانون”.
“الرقابة السياسية”
تمت إزالة نصيحة NCSC للمحامين بعد شهر واحد من هذه التحذيرات الخطيرة من مجلس المحامين ، وفي عطلة نهاية الأسبوع بعد أن أشارت Apple إلى أنها سترفض الامتثال لنظام “القدرة الفنية” (TCN) من مكتب المنازل في المملكة المتحدة (TCN) يتطلب الأمر تعطيل نظامها المرتفع في نهاية الشوط الأول إلى النهاية. يتسبب نظام ADP في تخزين مفاتيح التشفير لملفات icloud للمستخدمين فقط على الأجهزة ، وبالتالي تحسين الأمان للبيانات القانونية من المهاجمين الخارجيين.
“هذا يبدو وكأنه الرقابة السياسية في وزارة الداخلية الخرقاء” ، وفقًا لخبير الأمن السيبراني الدكتور إيان براون. “هذا النوع من التسييس بواسطة GCHQ [which runs NCSC] هو خطر على الأمن ، بسبب خطر تبعية الأمن الوقائي للمراقبة “. حذر براون وغيرهم من خبراء الأمن عندما تم إنشاء NCSC ، يجب تشغيله بشكل منفصل من GCHQ لتجنب الصراع والإحراج.
وقال أستاذ أنظمة الاتصالات بجامعة كامبريدج ، جون كراوكروفت ، الذي علق على هذه الخطوة ضد أبل ، “المملكة المتحدة الآن في حالة حماية أضعف. يتم زيادة جاذبية الأشرار هنا بشكل كبير فوق البلدان الأخرى … لقد رسمت حكومتنا هدفًا علينا ، وبشكل صريح على كل “نحن” غير المشاركين في أي شيء آخر غير التجارة والخطاب اليومي “.
NCSC يسقط الإشارات إلى التشفير
فشل الآن في المملكة المتحدة التي أوصت بها NCSC الآن في الإشارة إلى الحاجة إلى التشفير الشامل ، باستثناء وثيقة معزولة وغامضة. الصفحة غير الصحيحة التي يرتبط بها المحامون الآن لا تشير إلى التشفير على الإطلاق.
على النقيض من ذلك ، وفي مواجهة هجوم من الهجمات الصينية المشتبه بها ضد أهداف متعددة ذات قيمة عالية ، فإن وكالة الدفاع الإلكترونية المكافئة للولايات المتحدة ، CISA ، لديها منصوص عليه مؤخرًا أن “الأفراد المستهدفين للغاية [should] مراجعة وتطبيق أفضل الممارسات المقدمة على الفور … بما في ذلك الاستخدام المتسق للتشفير من طرف إلى طرف. ”
“يجب أن يفترض الأفراد المستهدفون للغاية أن جميع الاتصالات بين الأجهزة المحمولة – بما في ذلك الأجهزة الحكومية والأجهزة الشخصية – وخدمات الإنترنت معرضة لخطر الاعتراض أو التلاعب” ، كما تقول نصيحة CISA.
رفضت NCSC هذا الأسبوع الإجابة على أي أسئلة من CW وإحالة الاستفسارات إلى وزارة الداخلية ، التي ترفض أيضًا الرد. وشملت الأسئلة التي لم تتم الإجابة عليها من الذي طلب الإزالة ، ولماذا ، ولماذا لم يتم إخطار المنظمات القانونية الشريكة أو الاستشارة قبل العبث. رفضت NCSC أيضًا أن تقول ما إذا كان سيسعى الآن إلى محو نسخ أرشيف حكومية ومُحسّن إلى “ثقب الذاكرة” – إشارة إلى التقنية التي تبنتها وزارة الحقيقة في أورويل عام 1984 ؛ أو ما إذا كانوا سيعودون الصفحات الخاضعة للرقابة.
حتى الإزالة السري ، تضمن كتيب NCSC تعليمات للمحامين “لتشغيل التشفير”.
وقد نصحت ، “قم بتشغيل منتجات التشفير المجانية المضمنة مع أجهزة Windows أو Apple ، لذلك لا يمكن للمهاجمين السيبرانيين الوصول إلى بياناتك الحساسة إذا فقد جهازك أو سرقته. تأكد من تمكين التشفير على جهازك المحمول (يتم ذلك تلقائيًا على أجهزة Android/Apple الحديثة) “.
بالنسبة لأجهزة iOS ، قيل للمستخدمين لتمكينهم حماية البيانات المتقدمة لـ iCloud. أصبحت هذه النصيحة مستحيلة لمستخدمي المملكة المتحدة بسبب رد فعل Apple على إشعار مكتب المنزل. بقيت جميع إرشادات الأمن السيبراني الأخرى في الكتيب صالحة
مخاوف جديدة بشأن إشعارات الأمن القومي
كما قام الصف المتصاعد بين Apple ومكتب المنازل بطرد مخاوف أكثر خطورة بشأن استخدام صلاحيات بعيدة المدى لفرض ضوابط على شركات الاتصالات ، من خلال إصدار “إشعارات الأمن القومي”.
تتطلب الشروط الغامضة لإشعارات الأمن القومي مشغلي الاتصالات السلكية واللاسلكية “اتخاذ خطوات محددة يعتبرها وزير الخارجية ضرورية في مصالح الأمن القومي.
وقد أدى البرلمان إلى الاعتقاد بأن هذه القوة تنطبق فقط على المرافق الفنية مثل ترتيبات الاعتراض. تقول مصادر صناعية متعددة أنه منذ عام 2016 ، تم استخدام NSNs لطلب لوحات شركات الاتصالات ، بما في ذلك Apple ، إلى تفويض هيئة مجلس الإدارة للموافقة على لجان الأمن القومي الداخلي الخاضعة للرقابة واختيارها ، وكلها من أعضاءها وموظفيها وأي محامين يقومون بتوظيفها شيكات الفحص (DV) المطورة. يعني هذا الترتيب أنه قد يتم طلب الشركات إلى تنفيذ انتهاكات الأمن التي يعرفها الآن أعضاء مجلس الإدارة والموظفين الهندسيين.
سوء استخدام الفحص المتقدم
سيء السمعة ، بعد أن دخل قانون سلطات التحقيق لعام 2016 حيز التنفيذ ، استخدمت وزارة الداخلية ووكالات الاستخبارات عملية التدقيق المتقدمة ل حظر مفوض القوى التحقيق المعينة حديثًا ، اللورد القاضي أدريان فولفورد ، من تعيين اللجان التي اختارها رئيس التحقيقات المختار، محاضر في قانون المراقبة إريك كين.
على الرغم من الموافقة عليه في البداية من قبل مكاتب فحص ، تم إخبار النوع أنه تم رفض تصريح أمنية DV بعد تدخل خدمة الأمن ، MI5.
كما ذكرت سابقا ، استأنفت شركة Apple الآن تعليمات ADP إلى محكمة القوى التحقائية. الجميع أحد عشر عضوًا من IPT هم كبار المحامين الذين يعملون كقضاة.
بعد التدقيق ، أخبر مجلس المحامين Computer Week أنه “لم يتم إخطاره بإزالة هذه الوثيقة من قبل NCSC. سوف نتصل بـ NCSC وإجراء استفسارات حول حالة المستند وإزالتها. ”
وأضاف متحدث باسم محامي المحامين أن المجلس سينظر في الارتباط بنسخة أرشيف وطنية من الصفحة التي تمت إزالتها وتوثيق “بعد التحدث إلى لوحة تكنولوجيا المعلومات الخاصة بنا ورفعها مع NCSC”.
