Przeciekające kancelarie prawne

Hacker zażądał pół mln euro za nieujawnianie danych, a gdy wspólnicy nie ulegli szantażowi, zaczął publikować ukradzione dokumenty w zapewniającej anonimowość sieci Tor. Na forum chwalił się, że dysponuje zawartością skrzynek e-mailowych wszystkich prawników kancelarii, dokumentacją prowadzonych spraw, poufnymi informacjami klientów.

Kancelaria zapewnia, że od lat zapewnia bardzo wysoki poziom bezpieczeństwa danych, a skuteczne ataki na serwery Pentagonu czy wielu banków pokazują, że nikt nie może czuć się w pełni bezpieczny.

– – przyznaje Adam (nie chce ujawniać nazwiska), redaktor serwisu ZaufanaTrzeciaStrona.pl, który pierwszy poinformował o wycieku. Zaznacza jednak, że wiele kancelarii nie zapewnia wystarczającej ochrony.

– – twierdzi.

Darmowe skrzynki

Niestety, część profesjonalnych pełnomocników wciąż nie zrozumiała, jak ważna jest ochrona danych, i swobodnie traktuje posiadane przez siebie informacje.

– – przyznaje Rafał Kasterski, radca prawny z kancelarii Kasterski i Wspólnicy.

– – wskazuje.

Opisuje, że pisma skopiowane na dysk kancelaryjnego serwera coraz częściej przesyłane są do internetowej chmury, czyli tak naprawdę nie wiadomo dokąd. – – opowiada Kasterski.

Wciąż zdarza się, że prawnicy kontaktują się z klientami i przesyłają poufne dokumenty z darmowych skrzynek pocztowych oferowanych przez popularne serwisy internetowe. Wielu nawet nie słyszało o szyfrowaniu danych.

– – zauważa dr Paweł Litwiński z Instytutu Allerhanda

– – wylicza.

Zasady etyki

Nie wszyscy zdają sobie nawet sprawę, że wykorzystanie elektronicznych środków przekazu wymaga uprzedzenia klienta o związanym z tym ryzyku. Tymczasem jest to zapisane wprost w kodeksie etyki adwokackiej. Podobnie jak obowiązek stosowania oprogramowania i innych środków zabezpieczających przed niepowołanym ujawnieniem informacji objętych tajemnicą adwokacką – czyli wszystkich związanych z wykonywaniem obowiązków zawodowych. Podobne postanowienia można znaleźć w kodeksie etyki radcy prawnego. Co ciekawe, dla niektórych prawników tajemnica zawodowa jest wytłumaczeniem do tego, by nie przestrzegać ustawy o ochronie danych osobowych (t.j. Dz.U. z 2014 r. poz. 1182 ze zm.). Gdy dwa lata temu na łamach DGP ówczesny generalny inspektor ochrony danych osobowych dr Wojciech Wiewiórowski zapowiadał kontrole w kancelariach, niektórzy przekonywali, że nie ma do tego prawa.

– – przyznaje Katarzyna Witkowska, prawnik w kancelarii Lubasz i Wspólnicy.

–– podkreśla.

Wyśrubowane standardy

Ataki podobne do tego, którego ofiarą padła kancelaria Drzewiecki, Tomaszek & Wspólnicy, bez wątpienia będą się powtarzać. Informacje, jakie uzyskują kancelarie po to, by móc skutecznie reprezentować interesy klientów, stanowią olbrzymią wartość. Chodzi nierzadko o tajemnice bankowe, tajemnice przedsiębiorstwa, poufne dane z biznesowych negocjacji.

Ubiegłotygodniowy wyciek jest łączony z atakiem opisywanym tydzień wcześniej. Hacker przygotował list z propozycją współpracy, który rozesłał do wielu kancelarii. Gdy otrzymał odpowiedź, przesyłał kolejnego e-maila, tym razem z linkiem do bardziej szczegółowych informacji. Po kliknięciu na niego pojawiła się strona imitująca otwieranie wtyczki do przeglądarki z czytnikiem plików pdf, a następnie informacja, że coś poszło nie tak, i przycisk „Napraw”. Kliknięcie powodowało instalowanie złośliwego oprogramowania, które pozwalało hackerowi przejąć kontrolę nad komputerem. To pokazuje, że czasem nie wystarczą najlepsze zabezpieczenia, gdyż decyduje czynnik ludzki. Temu jednak też można przeciwdziałać poprzez organizowanie szkoleń.

– – podpowiada Katarzyna Witkowska.

– – dodaje.

Dla wielu kancelarii wdrożenie rygorystycznych zasad bezpieczeństwa może jednak nie być łatwe. – Wiąże się to nie tylko z wydatkami na infrastrukturę informatyczną i jej odpowiednie zabezpieczenie, o co może być trudno w realiach niejednej małej kancelarii, lecz także ze zmianą złych praktyk i przyzwyczajeń. A z tym jest najtrudniej – zauważa Rafał Kasterski.

– – wylicza.