Kancelarie prawne są atrakcyjnym obiektem dla cyberprzestępców. Każdego dnia przetwarzają one duże ilości danych osobowych, akt prowadzonych spraw, protokołów, dokumentacji finansowych. Informacje te bardzo często są niejawne, objęte tajemnicą przedsiębiorstwa lub innymi przepisami, które obligują do zachowania tajemnicy - jak choćby tajemnica adwokacka. W kontekście cyberzagrożeń, kancelarie stoją przed ogromnym wyzwaniem, jakim jest obowiązek właściwego zabezpieczenia danych.
Podmioty te nieustannie narażone są na cyberataki i idące za nimi poważne straty finansowe oraz wizerunkowe. Zaniechanie odpowiednich wdrożeń na gruncie proceduralnym i technologicznym, w połączeniu z chwilą nieuwagi, może na długi czas sparaliżować pracę kancelarii lub - w najgorszym wypadku - doprowadzić do jej upadku.
Trudno jest przewidzieć wszystkie możliwe scenariusze, aby zapewnić odpowiednie postępowanie wobec ryzyka. Należy jednak przyjrzeć się badaniom dotyczącym cyberzagrożeń, aby zminimalizować kluczowe z nich i spełnić obowiązek względem osób, których dane są przetwarzane przez podmiot. Niezwykle istotne jest bezpieczeństwo organizacyjne, a o jego przestrzeganie należy zadbać poprzez szkolenia kadr czy ujednolicony kodeks i standardy postępowania.
Ponadto istotną rolę odgrywa także zaplecze techniczne, którego zadaniem jest uszczelnianie procedur, a tym samym minimalizowanie ryzyka wystąpienia incydentu bezpieczeństwa. Z perspektywy kancelarii prawnych jest to szczególnie ważne: paragraf 19 w punkcie 5. Zbioru Zasad Etyki Adwokackiej i Godności Zawodu mówi: “Adwokat posługujący się w pracy zawodowej komputerem lub innymi środkami elektronicznego utrwalania danych obowiązany jest stosować oprogramowanie i inne środki zabezpieczające dane przed ich niepowołanym ujawnieniem”.
Jednym ze sposobów jest uwierzytelnienie wielopoziomowe (2FA), czyli mechanizm pozwalający wykorzystać jeszcze jeden element uwierzytelnienia, oprócz loginu i hasła. Może być nim np. certyfikat wgrany na autoryzowany komputer, telefon lub brelok z przyciskiem wyświetlającym losowy ciąg cyfr wymagany do wpisania w czasie logowania. Jest to wyrazem wysokiej dbałości o bezpieczeństwo dostępu do danych.
Zdecydowanie najpopularniejszą formą ochrony przedsiębiorstwa jest zastosowanie urządzenia typu UTM. Zapory sieciowe pozwalają na zabezpieczenie komunikacji wszystkich komputerów, serwerów, urządzeń mobilnych w sieci firmowej, zarówno na płaszczyźnie cyberzagrożeń, niebezpiecznych stron i portali, korzystania z chmur publicznych czy prywatnych, oraz przekazywania dokumentów poufnych lub tajemnicy przedsiębiorstwa. W tym miejscu często wykorzystywane jest uwierzytelnienie wielopoziomowe, w szczególności gdy użytkownik spoza bezpieczniej sieci sięga do jej zasobów zdalnie.
Uważaj na złośliwe maile
Raport Verizon Data Breach Investigations Report z 2018 roku wskazuje, że 96 proc. cyberataków pochodzi z kampanii phishingowych, a niemal połowa prowadzi do infekcji złośliwym oprogramowaniem. Wystarczy jeden mail, pozornie podobny do setek innych i załącznik, którego pobranie skutkować może zainfekowaniem komputera, a w konsekwencji utratą poufnych danych, nierzadko o dużej wartości.
- Korespondencja e-mail towarzyszy nam codziennie, co zwiększa ryzyko popełnienia błędu. Z uwagi na nasilone użytkowanie oraz możliwość łatwego rozesłania setek tysięcy wiadomości, ten problem zdaje się być bardzo duży. Administrator danych powinien oszacować oraz ocenić, czy zastosowane środki minimalizują ryzyko - mówi Artur Madejski, Product Manager w Dziale Systemów Sieciowych w firmie Veracomp.
Właściwe zabezpieczenie korespondencji mailowej pozwala znacznie zniwelować ryzyko cyberataków. By tego dokonać, warto postawić na rozwiązanie, które kompleksowo odpowie na każdy rodzaj ryzyka wynikający z użytkowania elektronicznej skrzynki pocztowej.
- Ochrona korespondencji e-mail, wykorzystująca mechanizmy DLP, znakowanie dokumentów zawierających dane osobowe, czy polityka weryfikacji wysyłania wiadomości do wielu odbiorców - to cechy rozwiązań takich jak FortiMail, które oprócz standardowych mechanizmów wykrywania wirusów, spamu jak również wiadomości podszywających się (phisingowych), zwiększy bezpieczeństwo każdego przedsiębiorstwa i pozwoli wykazać dbałość o bezpieczeństwo danych swoich klientów. Co ciekawe, FortiMail zintegrować można również z usługą Office 365 - rekomenduje Artur Madejski.
Problematyczne zdaje się być już samo przekazywanie poufnych danych osobowych za pomocą korespondencji e-mail. Oczywiście załączniki czy treść można zaszyfrować hasłem, ale w jakiś sposób trzeba również przekazać samo hasło. Wspomniany przez eksperta FortiMail odpowiada na ten problem za pomocą funkcji Identity Based Encryption, która dostarcza wiadomość do odbiorcy w sposób całkowicie zaszyfrowany. W treści tematu wystarczy wpisać zdefiniowaną frazę lub określić inne okoliczności (np. specyficzny załącznik, słowo-klucz w treści e-mail), aby cały mail został przesłany z wykorzystaniem IBE. - To bardzo profesjonalne podejście szczególnie w kontaktach z klientami kancelarii prawnych, szczególnie dlatego, że IBE wymaga założenia bezpiecznego, zautoryzowanego konta dla klienta bezpośrednio na urządzeniu - zauważa Artur Madejski.
Aby minimalizować ryzyko infekcji w ramach nowej kampanii phishingowej czy nowej strony z cyberzagrożeniami, wysyłanej w linku za pośrednictwem komunikatora internetowego, warto również zwrócić uwagę na takie funkcjonalności jak Virus Outbreak Protection, które za pomocą usługi FortiGuard wymieniają się danymi dotyczącymi nowych, nieznanych dotąd plików. Może to być nowy wzór dokumentu, aplikacja niepodpisana cyfrowo przez autora, czy faktura PDF. Pliki te, wysłane do FortiGuard, przechodzą przez szereg weryfikacji, m.in. przez Sandbox, czyli system, który weryfikuje w różnych środowiskach działanie pliku, upewniając się, czy nie stanowi zagrożenia, zanim ostatecznie trafi do odbiorcy. Nowo rozpoznane zagrożenia niezwłocznie zasilają bazę usługi Virus Outbreak, a ta od razu blokuje je na pozostałych urządzeniach od Fortinet wykorzystywanych na świecie.
Bezpieczeństwo danych w obliczu regulacji prawnych
Kolejnym wyzwaniem dla kancelarii prawnych jest właściwe zabezpieczenie danych w kontekście obowiązków wynikających z rozporządzenia o ochronie danych osobowych (RODO). Przepisy, które weszły w życie w maju 2018 roku, obligują administratorów tych danych do zachowania szczególnej staranności przy ich zabezpieczaniu., a ta staranność powinna być dopasowana do zakresu przetwarzania, celu, a także powinna uwzględniać ryzyko naruszenia praw i wolności osób fizycznych.
Biorąc pod uwagę charakter działalności prowadzonej przez kancelarie, ryzyko naruszenia jest bardzo wysokie. W tym przypadku mowa tu o takich incydentach jak włamanie do systemu informatycznego, które skutkuje wyciekiem danych osobowych. Ponadto obowiązkiem kancelarii jest zgłoszenie każdego takiego zdarzenia do Urzędu Ochrony Danych Osobowych.
Naruszenie przepisów, spowodowane brakiem zapewnienia odpowiednich środków technicznych, może nieść za sobą poważne skutki - górna granica kar została określona na poziomie 20 mln euro lub 4 proc. rocznego obrotu. Użytkownicy rzadko mają możliwość, bez korzystania z kosztownych testów, dokonania oceny skuteczności takich narzędzi. Alternatywą jest wybór rozwiązań, które już zostały poddane testom w niezależnych laboratoriach, jak np. NSS Labs. W przypadku gdy kancelaria nie podjęła podstawowych kroków w celu zapewnienia bezpieczeństwa danych, kara będzie wręcz nieunikniona.
Jak się chronić i uniknąć zmartwień?
Rosnące wymagania dotyczące ochrony danych osobowych sprawiają przedsiębiorstwom sporo trudności. Istotną kwestią jest nie tylko wybór właściwych rozwiązań, które zapewnią wielowarstwowe bezpieczeństwo, ale równie ważna jest wiedza dotycząca tego, jak należy z nich korzystać. Wbrew pozorom nie trzeba w tym celu zatrudniać wykwalifikowanego personelu IT.
Coraz więcej producentów z obszaru cyberbezpieczeństwa dostrzega potrzebę wsparcia swoich klientów w tym zakresie, nie zawsze jednak posiadają oni polskojęzycznych ekspertów. Jednym z prekursorów tego typu świadczeń w rodzimym języku jest Veracomp, dystrybutor z wartością dodaną, który oferuje usługę HEZO Assistance. W praktyce oznacza to, że jeśli kancelaria prawna wybierze rozwiązanie ze wsparciem HEZO, specjaliści pomogą w skonfigurowaniu sprzętu pod środowisko, w którym będzie użytkowany, dokonają aktualizacji ustawień i dostosują je do dynamicznie zmieniających się potrzeb, a także będą dostępni w przypadku problemów czy awarii.