Hakerski atak na prawniczą tajemnicę

Na początku września środowisko prawnicze, ale także media, obiegła informacja, że znana kancelaria prawna padła ofiarą hakerów. Nie był to zwykły atak na system teleinformatyczny kancelarii, ale działanie powiązane z szantażem, dlatego zostało ujawnione. Według informacji medialnych za nieujawnienie danych haker żądał 500 tys. euro. Opublikował 500 MB danych, twierdząc, że ma ich w sumie ok. 100 GB, w tym umowy z klientami, zbiory dokumentów, treści e-maili (zarówno klientów, jak i prawników kancelarii) i będzie te informacje ujawniał. Należy się spodziewać, że nie są to tylko pogróżki.

Wszystko zaczęło się od tego, że na adresy poczty elektronicznej kancelarii lub poszczególnych pracowników trafił e-mail rzekomego klienta, który prosi o wycenę i możliwość uzyskania usługi prawnej odnoszącej się do przedstawianej w e-mailu sprawy. Był w nim link do rzekomych pozostałych dokumentów, koniecznych do rozeznania stanu faktycznego. Efektem kliknięcia w link było przekierowanie do znajdujących się w chmurze dokumentów z równoczesnym zainstalowaniem w tle wirusa. Pozwalał on szpiegować i pozyskiwać dane z systemu teleinformatycznego kancelarii.

Najwyższe dobro zagrożone

Zaatakowane zostało w ten sposób dobro o niebagatelnym znaczeniu dla zawodów prawniczych: tajemnica zawodowa. Do jej strzeżenia zobowiązują zarówno ustawy regulujące wykonywanie poszczególnych zawodów, jak i zasady etyki. Zachowanie tajemnicy zawodowej stanowi równocześnie podstawę kształtowania relacji z klientem, w szczególności budowania jego zaufania.

Ten atak nie był też odosobniony. Podobne, choć mniej spektakularne i mało udolne próby związane były z rozsyłaniem wiadomości elektronicznych rzekomo zawierających wezwania do zapłaty, zgłoszenia roszczeń odszkodowawczych czy też pisma komornicze zawierające zainfekowane pliki.

Kilka dni temu Naczelna Rada Adwokacka umieściła na swoich stronach internetowych kolejne ostrzeżenie związane z podszywaniem się hakerów pod adresy e-mailowe z domeny adwokatura.pl. Cel: rozsyłanie również zainfekowanego pliku umożliwiającego inwigilację systemów teleinformatycznych nieostrożnego odbiorcy.

To znak czasów. Jeszcze kilka lat temu większość czynności w kancelariach prawnicy wykonywali tradycyjnie, na papierze (praktycznie do perfekcji opanowali procedury zabezpieczania dokumentacji papierowej), a komputer był najwyżej elektroniczną maszyną do pisania. Dziś trudno sobie wyobrazić działanie małej, a już tym bardziej dużej kancelarii, bez nowoczesnych systemów teleinformatycznych, narzędzi telekomunikacyjnych, wideokonferencji, elektronicznego obiegu dokumentów, korzystania z poczty elektronicznej czy przechowywania danych w chmurze.

Niestety, za bardzo szybkim zinformatyzowaniem prawników nie poszło systemowe przygotowanie ich do zagrożeń związanych z korzystaniem z nowoczesnych środków komunikacji. Ani na studiach prawniczych, ani na aplikacjach, sporadycznie na szkoleniach korporacyjnych z fatalną frekwencją nie ma szkoleń czy wykładów uczących prawników dbania o bezpieczeństwo danych i wykorzystywania systemów teleinformatycznych. Nie wystarczy kupić na rynku oprogramowanie do czynności kancelaryjnych czy też wykupić miejsce w chmurze renomowanej firmy.

Najwyższy czas to zmienić

Mimo wagi dobra chronionego, jakim jest dla zawodów prawniczych tajemnica zawodowa, stan świadomości zagrożeń i konieczności odpowiedniego zabezpieczenia danych, zwłaszcza przetwarzanych elektronicznie, oględnie mówiąc, nie jest w środowisku wystarczający. Wskazywał na to już ponad dwa lata temu dr Wojciech Wiewiórowski, ówczesny generalny inspektor ochrony danych osobowych, stwierdzając, że prawnicy są jedną z grup o najsłabszej świadomości sposobów zabezpieczeń danych przed nielegalnym dostępem.

Należy to koniecznie i pilnie zmienić, wprowadzając odpowiednie procedury bezpieczeństwa, szkolenia zarówno samych prawników, jak i ich personelu, a także odpowiednio przetwarzać i przechowywać dane, w szczególności w środowisku cyfrowym. Rozwiązań można poszukiwać choćby w obowiązujących również prawników procedurach zabezpieczania danych osobowych wynikających z przepisów regulujących tę materię. Rozwiązania korporacyjne, nie tylko rangi ustawowej, nie wyczerpują bowiem problematyki ochrony takich danych.

Trochę mniej beztroski

Obecnie natomiast nagminne wśród prawników jest wykorzystywanie nieszyfrowanych nośników czy komputerów przenośnych zawierających objęte tajemnicą dane, czy też przysłanie ich pocztą elektroniczną, w wielu przypadkach z użyciem niespełniających wymogów bezpieczeństwa darmowych kont e-mailowych. Oczywiście nie można w pełni zabezpieczyć się przed atakami hakerskimi. Nie są przecież w stanie ustrzec się tego banki, instytucje rządowe, a nawet wojsko. Należy jednak uświadomić środowisku prawniczemu zagrożenia i równocześnie zminimalizować ryzyko. Tym bardziej że w związku z ustawą z 30 maja 2015 r. zmieniającą kodeks cywilny i kodeks postępowania cywilnego dalsza informatyzacja i wykorzystanie nowoczesnych środków komunikowania się, a co za tym idzie zagrożenia związane z przechowywaniem danych w postaci elektronicznej, jeszcze bardziej się zwiększą.

Należy z uznaniem odnieść się do działań Ministerstwa Sprawiedliwości, które w ramach wprowadzanej informatyzacji przejmuje na siebie odpowiedzialność związaną z przechowywaniem danych i dokumentów dotyczących postępowań sądowych, co najwyżej dając stronom lub pełnomocnikom sądowym dostęp do dokumentów sądowych. Nie obarcza ich jednak obowiązkiem samodzielnego przechowywania. Nie zwalnia to jednakże z obowiązku odpowiedniego zabezpieczenia wewnętrznej korespondencji i dokumentacji kancelarii, jako zawierających w szczególności tajemnicę zawodową oraz dane osobowe.