Som advokat, revisor eller specialiseret rådgiver er fortrolighed kernen i det, du leverer. Tavshedspligt, sikkerhedspolitikker og GDPR-procedurer er en del af hverdagen. Men for nylig blev en af verdens største juridiske dataplatforme hacket, og det kaster et ubehageligt lys på en blindvinkel, de fleste rådgivere deler.
Platformen betjener advokater, domstole og myndigheder i 150 lande. Angriberne fandt vej ind via en sårbarhed i en webapplikation, der ikke var blevet opdateret i måneder. Inde i systemet lå master-passwordet i klartekst. Det var genbrugt fem steder i organisationen.
3,9 millioner dokumenter blev hentet ud. 400.000 brugerprofiler med navne, mailadresser og telefonnumre. Over 21.000 virksomhedskonti. Og 118 konti tilhørende dommere, anklagere og myndigheder. Det var platformens andet sikkerhedsbrud på under et år.
Legacy-data er ikke ufarlige data
Platformens ejer kaldte de kompromitterede oplysninger for “legacy data fra før 2020.” Men en advokats klientrelationer og en revisors kundeoversigt ændrer sig ikke grundlæggende på fem år. Kontaktoplysninger, samarbejdsrelationer og faglige netværk er stadig brugbare. Ikke for den, der ejede dem. For den, der stjal dem.
Et mønster, ikke en enkeltstående hændelse
Den konkrete platform er ikke pointen. Pointen er mønsteret. Datatilsynet har gentagne gange udtalt kritik af platformleverandører, der opbevarer følsomme data for hundredvis af organisationer, med grundlæggende sikkerhedsmangler. Passwords gemt i klartekst i databasen. Personoplysninger synlige i kildekoden via et enkelt tryk på en funktionstast. I ingen af sagerne vidste brugerne, at deres data var eksponeret.
De fleste rådgivere har styr på egne systemer, fjernadgang og interne procedurer. Men de platforme, man logger ind på hver dag til research, dokumenthåndtering, sagsstyring eller klientkommunikation, er ofte valgt ud fra funktionalitet. Ikke sikkerhed. Og ingen har stillet krav til dem.
Rådgivere er højværdimål
Advokatsamfundet har advaret om, at trusselsniveauet mod advokatvirksomheder er meget højt, og opfordret alle til at gennemgå deres sikkerhed. Internationalt dokumenterede sikkerhedsforskere over 200 ransomware-angreb mod advokathuse alene i 2025. I marts 2026 blev ti advokathuse ramt inden for 48 timer, sandsynligvis via en fælles teknologileverandør.
Rådgivere opbevarer hundredvis af kunders data ét sted. Det gør branchen til et højværdimål. Ikke fordi rådgivere er letsindige, men fordi koncentrationen af følsomme data gør selv ét enkelt brud til en kaskade, der rammer langt flere end den organisation, der blev ramt.
Tre ting du kan gøre nu
Kortlæg hvilke platforme i jeres praksis der rummer klientdata. Ikke kun jeres egne servere, men de tjenester I logger ind på dagligt. Hvem ejer dem? Hvor ligger data? Hvornår blev de sidst sikkerhedstestet? En uafhængig cybersikkerhedsaudit kan give jer overblikket.
Spørg jeres platformleverandører direkte. Hvornår blev platformen sidst testet af en uafhængig part? Kan I dokumentere jeres sikkerhedsniveau? Har I en procedure for brudnotifikation? Hvis leverandøren ikke kan svare, er det et svar i sig selv. En leverandøraudit kan afdække, om jeres leverandørers sikkerhedsniveau matcher jeres egne krav.
Minimér hvad I opbevarer. Afsluttede sager, gamle kontrakter og udløbne dokumenter behøver ikke at ligge tilgængeligt i årevis. Jo færre data, jo mindre skade ved et brud. Det er dataminimering i praksis, ikke kun i GDPR-politikken.
Hvornår fik du sidst en uafhængig gennemgang af sikkerheden på de platforme, der opbevarer dine kunders data?
Har du brug for en uafhængig vurdering af din praksis’ platformsikkerhed?
Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
