El Centro Nacional de Seguridad Cibernética de Gran Bretaña (NCSC) ha censurado en secreto la orientación detallada de seguridad informática pública proporcionada a los abogados, abogados y firmas legales sin explicación ni anuncio.
La guía, una página web y un informe PDF de siete páginas llamado “Consejos de seguridad cibernética para abogados, abogados y profesionales legales”, se eliminaron del sitio web público del Centro hace dos semanas el 24 de febrero.
NCSC se negó a responder a las preguntas de CW preguntando si sabían que la página web y el folleto eliminados habían sido archivados automáticamente por los Archivos Nacionales, varias veces, y así todavía estaban en línea.
En el sitio web de NCSC, las solicitudes de la página web de asesoramiento legal ahora se redirigen a una página incorrecta en el mismo sitio. El enlace del folleto eliminado devuelve una página de error HTTP “404” no encontrada que indica “Lo siento, la página que está buscando no está aquí”. Varginantemente para NCSC, la página de error no encontrado sugiere que el archivo nacional podría haber archivado versiones del archivo eliminado. Lo hace.
“Los ciberdelincuentes no son quisquillosos con a quién atacan”, advirtió el folleto censurado de NCSC, “lo que significa que las prácticas legales de todos los tamaños están en riesgo”. El folleto enumera 37 pasos que los abogados y las firmas legales deben tomar “para ayudarlos a reducir la probabilidad de convertirse en víctimas de un ciberataque”.
El folleto se publicó el 11 de octubre de 2024, luego de un informe especial de amenaza cibernética de 2023 NSCS para el sector legal del Reino Unido. El Informe de Amenaza Cibernética, publicado con la asistencia del Consejo de Abogados, señaló que para 2020 las tres trimestres de las firmas legales del Reino Unido habían informado de ataques cibernéticos.
Según el Consejo de Abogados, “los abogados en Inglaterra y Gales enfrentan amenazas, acoso e intimidación a manos de actores estatales y no estatales de todo el mundo. El Consejo de Abogados está preocupado por los crecientes informes de los miembros que han enfrentado diferentes formas de ataque y amenazas debido a su trabajo legal internacional “.
Los ataques específicos reportados al Consejo de Abogados han incluido la vigilancia física y cibernética, el acoso cibernético, que incluyen correos electrónicos amenazantes o suplantadores, intentos de piratería repetidos y sostenidos, amenazas de muerte y amenazas de violación, amenazas a los miembros de la familia por correo electrónico o redes sociales, y ‘privilegiar el phishing’ que intentan buscar para buscar a aquellos que están dirigidos a divulgar la información sensible.
“Estas amenazas no son solo un ataque a la profesión legal, sino que también tienen un efecto escalofriante en el acceso a la justicia y al estado de derecho”, dijo.
‘Censura política’
El consejo de NCSC para los abogados se eliminó un mes después de estas graves advertencias del Consejo de Abogados y el fin de semana después de que Apple indicara que se negaría a cumplir con un “Aviso de capacidad técnica” (ADP) de la oficina técnica (TCN) del Reino Unido que le exigiría que desactive su alta seguridad de “avance de protección de datos” (ADP) utilizado en ICLOUD. El sistema ADP hace que las claves de cifrado para los archivos iCloud de los usuarios se almacenen solo en dispositivos, por lo que mejorar la seguridad de los datos legales de los atacantes externos.
“Esto parece una torpe censura política del Ministerio del Interior”, según el experto en ciberseguridad Dr. Ian Brown. “Este tipo de politización de GCHQ [which runs NCSC] es un peligro para la seguridad, debido al riesgo de subordinar la seguridad protectora a la vigilancia ”, dijo. Brown y otros expertos en seguridad advirtieron cuando se creó NCSC, debe ejecutarse por separado de GCHQ para evitar conflictos y vergüenza.
El profesor de sistemas de comunicaciones de la Universidad de Cambridge, John Crowcroft, comentando sobre el movimiento contra Apple, dijo: “El Reino Unido ahora está en un estado de protección más débil. La atracción de los malos se incrementa aquí masivamente por encima de otros países … Nuestro gobierno ha pintado un objetivo sobre nosotros y explícitamente en todos los “nosotros” que no participan en nada más que comercio y discurso cotidianos “.
NCSC elimina las referencias al cifrado
La posición debilitada del Reino Unido ahora recomendada por NCSC ahora no se refiere a la necesidad crítica de cifrado de extremo a extremo, excepto un documento aislado y oscuro. La página incorrecta a la que ahora están vinculados los abogados no se refiere al cifrado en absoluto.
En contraste, y frente a una avalancha de presuntos ataques liderados por los chinos contra múltiples objetivos de alto valor, la agencia de defensa cibernética equivalente de EE. UU., CISA, ha estipulado recientemente que “individuos altamente dirigidos [should] Revise y aplique inmediatamente las mejores prácticas proporcionadas … incluido el uso constante del cifrado de extremo a extremo “.
“Las personas altamente específicas deben suponer que todas las comunicaciones entre dispositivos móviles, incluidos los dispositivos gubernamentales y personales, y los servicios de Internet corren el riesgo de intercepción o manipulación”, afirma el consejo de CISA.
NCSC se negó esta semana a responder cualquier pregunta de CW y remitió consultas al Ministerio del Interior, quien también se niega a responder. Las preguntas aún sin respuesta incluyeron quién ordenó el derribo, por qué y por qué las organizaciones legales asociadas no fueron notificadas ni consultadas antes de la manipulación. NCSC también se negó a decir si ahora trataría de que las copias de archivo del gobierno borren y consignen a un “agujero de memoria”, una referencia a la técnica adoptada por el Ministerio de la Verdad en Orwell’s 1984; o si volverían a poner las páginas censuradas.
Hasta el derribo secreto, el folleto de NCSC incluía la instrucción a los abogados para “encender el cifrado”.
Aconsejó: “Enciende los productos de cifrado gratuitos incluidos con sus dispositivos Windows o Apple, para que los atacantes cibernéticos no puedan acceder a sus datos confidenciales si su dispositivo está perdido o robado. Asegúrese de que el cifrado esté habilitado en su dispositivo móvil (esto se hace automáticamente en dispositivos modernos de Android/Apple) “.
Para los dispositivos iOS, se les dijo a los usuarios que habilitaran la protección de datos avanzada para iCloud. Este consejo se había vuelto imposible para los usuarios del Reino Unido debido a la reacción de Apple al aviso de la oficina en casa. Toda la otra guía de ciberseguridad en el folleto se mantuvo válida
Nuevas preocupaciones sobre los avisos de seguridad nacional
La creciente fila entre Apple y el Ministerio del Interior también ha eliminado las preocupaciones más serias sobre el uso de poderes de largo alcance para imponer controles a las compañías de telecomunicaciones, emitiendo “avisos de seguridad nacional”.
Los términos vagos de los avisos de seguridad nacional requieren que los operadores de telecomunicaciones “tomen medidas específicas que el Secretario de Estado considere necesario en interés de la seguridad nacional.
El parlamento fue llevado a creer que este poder se aplicaba solo a las instalaciones técnicas, como los acuerdos de intercepción. Múltiples fuentes de la industria dicen que desde 2016, los NSN se han utilizado para exigir que las juntas de la compañía de telecomunicaciones, incluida Apple, delegan la autoridad de la junta para secretos comités de seguridad nacional controlados y seleccionados de la oficina nacional, todos cuyos miembros y personal, y cualquier abogado que contratan, deben estar aprobados para los controles de investigación (DV) desarrollados. El acuerdo significa que se puede ordenar a las empresas que implementen violaciones de seguridad que los directores y el personal de ingeniería ahora conocen.
Uso indebido de la investigación desarrollada
Notoriamente, después de que la Ley de Poderes de Investigación de 2016 entró en vigencia, el Ministerio del Interior y las agencias de inteligencia utilizaron el proceso de investigación desarrollado para bloquear al recién nombrado Comisionado de Poderes de Investigación, Lord Justice Adrian Fulford, de nombrar al Jefe de Investigaciones de Comisiones elegidas, profesor de derecho de vigilancia Eric Kind.
Aunque inicialmente aprobado por una oficina de investigación, se le dijo que la autorización de seguridad de DV había sido rechazada después de la intervención del servicio de seguridad, MI5.
Como se informó anteriormente, Apple ahora ha apelado contra la instrucción del ADP al Tribunal de poderes de investigación. Todos los once miembros del IPT son abogados senior que se han desempeñado como jueces.
Después de verificar, el Consejo de Abogados le dijo a Computer Weekly que “el NCSC no fue notificado por el derribo de este documento. Nos pondremos en contacto con el NCSC y realizaremos consultas sobre el estado del documento y su eliminación “.
Un portavoz del abogado de bar agregó que el consejo consideraría vincular a una copia de archivo nacional de la página eliminada y documento “Después de hablar con nuestro panel de TI y criarlo con el NCSC”.