Kradzież danych kancelarii Drzewiecki, Tomaszek & Wspólnicy wstrząsnęła środowiskiem. To pierwszy taki atak wymierzony bezpośrednio w prawniczą firmę.
Kodeks etyki adwokackiej / Dziennik Gazeta Prawna
Hacker zażądał pół mln euro za nieujawnianie danych, a gdy wspólnicy nie ulegli szantażowi, zaczął publikować ukradzione dokumenty w zapewniającej anonimowość sieci Tor. Na forum chwalił się, że dysponuje zawartością skrzynek e-mailowych wszystkich prawników kancelarii, dokumentacją prowadzonych spraw, poufnymi informacjami klientów.
Kancelaria zapewnia, że od lat zapewnia bardzo wysoki poziom bezpieczeństwa danych, a skuteczne ataki na serwery Pentagonu czy wielu banków pokazują, że nikt nie może czuć się w pełni bezpieczny.
– Pełną skuteczność ochrony przed atakiem na komputery może gwarantować jedynie przejście na papierową dokumentację. Programy stosowane do ataków są w momencie ich użycia niewykrywalne dla antywirusów. Serwery, z którymi się łączą, by przesyłać tam skradzione dane, nie były wcześniej używane w atakach – przyznaje Adam (nie chce ujawniać nazwiska), redaktor serwisu ZaufanaTrzeciaStrona.pl, który pierwszy poinformował o wycieku. Zaznacza jednak, że wiele kancelarii nie zapewnia wystarczającej ochrony.
– Biorąc pod uwagę stopień złożoności zagrożeń obecnych w sieci w zestawieniu z poziomem dojrzałości zabezpieczeń nawet dużych polskich kancelarii, oceniam, że polskie firmy prawnicze nie są i jeszcze długo nie będą gotowe do obrony swoich danych – twierdzi.
Darmowe skrzynki
Niestety, część profesjonalnych pełnomocników wciąż nie zrozumiała, jak ważna jest ochrona danych, i swobodnie traktuje posiadane przez siebie informacje.
– W branży usług prawnych panuje pewna nieświadomość istniejących zagrożeń lub są one bagatelizowane – przyznaje Rafał Kasterski, radca prawny z kancelarii Kasterski i Wspólnicy.
– Dawniej miejscem pracy była kancelaria i jej biblioteka, dziś często jest to laptop i smartfon z dostępem do internetu. A na dysku w laptopie znaleźć można pisma procesowe, korespondencję z klientami, ich dokumenty – wskazuje.
Opisuje, że pisma skopiowane na dysk kancelaryjnego serwera coraz częściej przesyłane są do internetowej chmury, czyli tak naprawdę nie wiadomo dokąd. – Gwarancją bezpieczeństwa jest zatrudniony na zlecenie informatyk, czasem wynajęta firma, proste hasło przylepione na żółtej karteczce do klawiatury – opowiada Kasterski.
Wciąż zdarza się, że prawnicy kontaktują się z klientami i przesyłają poufne dokumenty z darmowych skrzynek pocztowych oferowanych przez popularne serwisy internetowe. Wielu nawet nie słyszało o szyfrowaniu danych.
– Nie zawsze zdają sobie sprawę z tego, jakie zagrożenia wiążą się z korzystaniem ze środków komunikacji elektronicznej – zauważa dr Paweł Litwiński z Instytutu Allerhanda
– Wystarczy prosty test: czy korzystamy z poczty elektronicznej do komunikacji z klientami? Zapewne tak: ale czy wiemy, kto jest dostawcą usług pocztowych? Jak zabezpieczone są dane na serwerach? Gdzie znajdują się te serwery i kto ma do nich dostęp – wylicza.
Zasady etyki
Nie wszyscy zdają sobie nawet sprawę, że wykorzystanie elektronicznych środków przekazu wymaga uprzedzenia klienta o związanym z tym ryzyku. Tymczasem jest to zapisane wprost w kodeksie etyki adwokackiej. Podobnie jak obowiązek stosowania oprogramowania i innych środków zabezpieczających przed niepowołanym ujawnieniem informacji objętych tajemnicą adwokacką – czyli wszystkich związanych z wykonywaniem obowiązków zawodowych. Podobne postanowienia można znaleźć w kodeksie etyki radcy prawnego. Co ciekawe, dla niektórych prawników tajemnica zawodowa jest wytłumaczeniem do tego, by nie przestrzegać ustawy o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.). Gdy dwa lata temu na łamach DGP ówczesny generalny inspektor ochrony danych osobowych dr Wojciech Wiewiórowski zapowiadał kontrole w kancelariach, niektórzy przekonywali, że nie ma do tego prawa.
– Można odnieść wrażenie, że prawnicy nie widzą problemu ochrony danych osobowych. Wynika to w dużej mierze z przekonania, że zobowiązanie do zachowania tajemnicy zawodowej wyklucza konieczność stosowania przepisów o ochronie danych – przyznaje Katarzyna Witkowska, prawnik w kancelarii Lubasz i Wspólnicy.
– Jest jednak odwrotnie. Właśnie ze względu na tajemnicę prawnicy powinni szczególnie dbać nie tylko o bezpieczeństwo fizyczne, lecz także informatyczne. Elektroniczne przetwarzanie danych zawsze oznacza ryzyko i czas najwyższy, by prawnicy nauczyli się, że mogą je minimalizować – podkreśla.
Wyśrubowane standardy
Ataki podobne do tego, którego ofiarą padła kancelaria Drzewiecki, Tomaszek & Wspólnicy, bez wątpienia będą się powtarzać. Informacje, jakie uzyskują kancelarie po to, by móc skutecznie reprezentować interesy klientów, stanowią olbrzymią wartość. Chodzi nierzadko o tajemnice bankowe, tajemnice przedsiębiorstwa, poufne dane z biznesowych negocjacji.
Ubiegłotygodniowy wyciek jest łączony z atakiem opisywanym tydzień wcześniej. Hacker przygotował list z propozycją współpracy, który rozesłał do wielu kancelarii. Gdy otrzymał odpowiedź, przesyłał kolejnego e-maila, tym razem z linkiem do bardziej szczegółowych informacji. Po kliknięciu na niego pojawiła się strona imitująca otwieranie wtyczki do przeglądarki z czytnikiem plików pdf, a następnie informacja, że coś poszło nie tak, i przycisk „Napraw”. Kliknięcie powodowało instalowanie złośliwego oprogramowania, które pozwalało hackerowi przejąć kontrolę nad komputerem. To pokazuje, że czasem nie wystarczą najlepsze zabezpieczenia, gdyż decyduje czynnik ludzki. Temu jednak też można przeciwdziałać poprzez organizowanie szkoleń.
– Na początek trzeba poznać i zrozumieć zasady ochrony danych osobowych. Już sama ustawa o ochronie danych osobowych i rozporządzenia wykonawcze dają przecież gotowy system ochrony, który można wykorzystać – podpowiada Katarzyna Witkowska.
– Prawnicy powinni zrozumieć, że zasady szyfrowania komputerów, zabezpieczenia dostępów hasłami, gradacji uprawnień dotyczą również ich działalności. Rozpocząć powinni od przeglądu stosowanych zabezpieczeń, wdrożonych procedur i weryfikacji obiegu informacji w swoich strukturach – dodaje.
Dla wielu kancelarii wdrożenie rygorystycznych zasad bezpieczeństwa może jednak nie być łatwe. – Wiąże się to nie tylko z wydatkami na infrastrukturę informatyczną i jej odpowiednie zabezpieczenie, o co może być trudno w realiach niejednej małej kancelarii, lecz także ze zmianą złych praktyk i przyzwyczajeń. A z tym jest najtrudniej – zauważa Rafał Kasterski.
– Efekty wdrożenia rygorystycznych polityk bezpieczeństwa nie są zachęcające dla użytkowników przyzwyczajonych do swobody korzystania z nowych technologii. Komputery z zablokowanymi portami, brak możliwości samodzielnego instalowania oprogramowania, a nawet skonfigurowania konta pocztowego, regularne audyty bezpieczeństwa, wymuszona zmiana haseł, zatrudnianie osób odpowiadających za bezpieczeństwo przetwarzania danych, ograniczenia dostępu w strefach, w których przetwarzane są wrażliwe dane, to codzienność w firmach dbających o przestrzeganie tajemnicy – wylicza.