W ostatnich miesiącach byliśmy świadkami dwóch poważnych w skutkach ataków cybernetycznych. W maju szkodliwe oprogramowanie o nazwie Wannacry zostało wykorzystane do przeprowadzenia zmasowanego ataku na ponad 200 tysięcy komputerów w ponad 150 krajach w celu wyłudzenia pieniędzy za odzyskanie zaszyfrowanych danych (tzw. atak ransomware). Kilka tygodni później wirus NotPetya rozprzestrzenił się w ponad 60 krajach, doprowadziwszy w efekcie do utraty części danych przez wiele organizacji (tzw. wiper). Ataki tego typu były już przeprowadzane, jednak tym, co wyróżnia ostatnie od wcześniejszych, jest z pewnością szybkość rozprzestrzeniania się wirusa, międzynarodowy zakres jego oddziaływania, jak i skala strat finansowych i wizerunkowych firm na całym świecie.
Rozmiar i skutki obu ataków przełożyły się niewątpliwie na zwiększenie świadomości wielu organizacji w zakresie rosnącego ryzyka związanego z atakami cybernetycznymi. Efekt ten widoczny jest również wśród kancelarii prawnych, na co wpływ miał przede wszystkim atak wirusa NotPetya na jedną z wiodących międzynarodowych kancelarii prawnych. Ofiarą padły filie tej kancelarii na całym świecie, a w celu uniemożliwienia dalszego rozprzestrzeniania się złośliwego oprogramowania konieczne było odłączenie od sieci na dłuższy czas wszystkich telefonów oraz komputerów.
Zwiększone zagrożenie dla kancelarii
Powyższy atak nie był pierwszym tego rodzaju przeprowadzonym na kancelarie prawne. W rzeczywistości na całym świecie kancelarie regularnie padają ofiarą ataków cybernetycznych na podobną i dużo mniejszą skalę. W ostatnich latach liczba ataków systematycznie wzrasta. Często kancelarie nie mają nawet świadomości, że padły ich ofiarą. Przeważającą większość ataków stanowi tzw. phishing. Przestępcy wysyłają więc do kancelarii wiadomości mailowe ze złośliwym oprogramowaniem ukrytym w załącznikach lub linkach, licząc na otworzenie ich przez nieświadomych odbiorców i uzyskanie w ten sposób dostępu do poufnych informacji o dużej wartości rynkowej lub na wyłudzenie okupu za zwrócenie danych. Równie często pojawiają się fałszywe wiadomości zmierzające do wyłudzenia informacji lub podające nieprawdziwe dane do przelewu.
Nie należy spodziewać się odwrócenia powyższego trendu, lecz raczej jego umacniania. Kancelarie prawne stanowią bowiem bardzo atrakcyjny cel ataków dla przestępców ze względu na charakter oraz ilość przetwarzanych przez nie danych klientów. Przestępcy mogą w szczególności dążyć do uzyskania dostępu do informacji objętych tajemnicą przedsiębiorstwa, poufnych informacji z zakresu własności intelektualnej, dokumentacji z prowadzonych transakcji M&A czy też innych informacji niejawnych. W tym kontekście ryzyko ujawnienia lub utracenia takich informacji jest szczególnie duże ze względu na odpowiedzialność wynikającą z umów o zachowaniu poufności, a także przepisów przewidujących obowiązek zachowania w tajemnicy różnego rodzaju informacji (np. tajemnica adwokacka, radcowska, bankowa czy telekomunikacyjna).
Szczególne ryzyko wiąże się także z przetwarzaniem przez wiele kancelarii danych osobowych o charakterze wrażliwym, a więc podlegających wzmożonej ochronie, oraz których ujawnienie może rodzić szczególnie duże ryzyko dla praw i wolności osób fizycznych. Tytułem przykładu można wskazać na informacje o skazaniach, orzeczeniach wydawanych w postępowaniu sądowym lub administracyjnym czy też dane zawarte w dokumentacji medycznej klienta.
Zabezpieczenie przetwarzanych informacji
Rosnące zagrożenie atakami cybernetycznymi na kancelarie prawne, powiązane z przetwarzaniem przez nie dużej ilości informacji poufnych z wykorzystaniem systemów informatycznych, rodzi konieczność stosowania przez kancelarie środków służących zapobieganiu naruszeniu integralności, poufności oraz autentyczności takich informacji.
Niewątpliwie dla zapewnienia przejrzystości oraz rozliczalności wskazane jest wdrożenie przez kancelarie stosownych polityk, w tym polityki bezpieczeństwa, oraz instrukcji zarządzania systemem informatycznym, składających się na system bezpieczeństwa informacji w kancelarii. Ponieważ w praktyce nie jest możliwe zagwarantowanie pełnego zabezpieczenia przed atakami informatycznymi, polityki takie powinny uwzględniać nie tylko środki prewencyjne, ale także tzw. procedury zarządzania kryzysowego, przewidujące środki podejmowane w przypadku incydentu bezpieczeństwa danych zmierzające do minimalizacji jego skutków.
W kontekście przetwarzania danych przez kancelarie w systemach informatycznych warto wskazać kilka przykładów dobrych praktyk, których wdrożenie w kancelariach może zwiększyć bezpieczeństwo informacji.
System informatyczny powinien zapewniać kontrolę nad dostępem do danych, w tym poprzez przydzielenie pracownikom indywidualnych kont oraz stosownie haseł dostępowych o odpowiedniej sile. System powinien być również zabezpieczony poprzez stosowanie tzw. zapór sieciowych (firewalli), programów antywirusowych, a w pewnych sytuacjach także wydzielonych sieci. W przypadku umożliwienia pracownikom logowania się do systemu z sieci zewnętrznych powinna być zapewniona komunikacja zabezpieczona poprzez tzw. wirtualną sieć prywatną (VPN). Istotne jest zapewnienie, aby dostęp do danych poufnych następował wyłącznie z urządzeń należycie zabezpieczonych oraz poprzez zaufane sieci (korzystanie w tym celu z publicznych hotspotów jest wysoce ryzykowne).
Elementem bezpiecznego przetwarzania danych w kancelariach powinno być także zapewnienie szyfrowania danych przechowywanych na urządzeniach informatycznych (w tym na laptopach oraz smartfonach), a także szyfrowania korespondencji elektronicznej, w szczególności załączników z informacjami poufnymi. W przypadku umożliwiania klientom kontaktu z kancelarią poprzez stronę internetową standardem powinno być również zastosowanie bezpiecznych połączeń poprzez wykorzystanie protokołów szyfrujących SSL/TLS.
W przypadku korzystania z zewnętrznych usług serwisowych, usługi poczty elektronicznej lub hostingu, z punktu widzenia ochrony danych osobowych konieczne jest zawarcie umowy powierzenia przetwarzania danych osobowych, która określi wymogi stawiane usługodawcy w zakresie zabezpieczenia powierzonych mu danych osobowych oraz może stanowić podstawę dochodzenia wobec niego roszczeń w przypadku niedochowania wymogów w tym zakresie.
Kolejnym kluczowym elementem zabezpieczenia informacji w kancelarii, szczególnie ważnym w przypadku ataków typu ransomware lub wiper, jest posiadanie polityki ciągłości działania, opartej na planie regularnego wykonywania kopii zapasowych wykorzystywanych urządzeń umożliwiających przywrócenie działania systemów oraz danych po ataku. W przypadku kopii zapasowych zawierających dane klientów powinny być one dodatkowo szyfrowane i przechowywane na różnych nośnikach znajdujących się w niezależnych lokalizacjach. Niemniej istotne jest posiadanie planu systematycznego aktualizowania wykorzystywanych aplikacji oraz systemów operacyjnych. Aktualizacje te są niezbędne dla eliminowania wykrytych luk w zabezpieczeniach, które stanowią duże ryzyko dla bezpieczeństwa danych oraz bardzo często wykorzystywane są dla realizacji ataku.
Statystyki pokazują, że duża część incydentów bezpieczeństwa jest spowodowana czynnikiem ludzkim. Wobec tego nawet najbardziej wyrafinowane systemy zabezpieczeń będą miały niewielką wartość, jeśli nie zostaną wsparte budowaniem wiedzy i świadomości wśród pracowników kancelarii. Pracownicy powinni przede wszystkim być przygotowywani na różnego rodzaju ataki socjotechniczne, a także wiedzieć, jak w bezpieczny sposób korzystać z sieci oraz urządzeń, na których przetwarzane są dane klientów.
Niezależnie od przyjętych środków zabezpieczenia informacji, rozwiązaniem, które również może pomóc kancelariom ograniczyć ryzyko wynikające z ataków na systemy informatyczne, jest wykupienie specjalnego ubezpieczenia od tego rodzaju incydentów. Należy pamiętać, że część obecnie oferowanych warunków ubezpieczenia odpowiedzialności dla firm lub ubezpieczenia mienia posiada wyraźne wyłączenia w zakresie szkód spowodowanych atakami hakerskimi lub działaniem wirusów komputerowych. Zakup tego rodzaju polisy powinien zostać poprzedzony dokładną analizą warunków umowy. Ubezpieczenie w tym zakresie powinno przede wszystkim umożliwiać kancelarii pokrycie kosztów związanych z odzyskiwaniem danych, koszty profesjonalnych usług związanych z usuwaniem skutków ataku, a także koszty naprawienia szkód poniesionych przez klientów kancelarii.
Bezpieczeństwo danych a reforma ochrony danych osobowych
Zasadniczo każda kancelaria prawna przetwarza dane osobowe, a jak już wskazano, często dane te będą ponadto miały charakter danych wrażliwych. Implementowanie kompleksowej polityki zarządzania bezpieczeństwem informacji w kancelarii powinno uwzględniać również tego rodzaju dane, szczególnie w kontekście nowych wymogów, jakie będą stosowane od 25 maja 2018 roku. Wynikają one z nowego unijnego rozporządzenia (Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z 27 kwietnia 2016 roku, powszechnie znane jako RODO), które będzie nakładało na kancelarie (administratorów danych osobowych) nowe obowiązki w zakresie zabezpieczania danych osobowych.
Nowa regulacja opiera się na zasadzie dostosowania przez administratorów stosowanych zabezpieczeń technicznych oraz organizacyjnych do charakteru, zakresu, kontekstu, celów przetwarzania, a także ryzyka naruszenia praw i wolności osób fizycznych oraz do prawdopodobieństwa wystąpienia zagrożenia i jego wagi. Jak już wskazano, w przypadku działalności kancelarii ryzyko to jest niewątpliwie wysokie, podobnie jak poważne mogą być skutki naruszenia poufności lub integralności danych przetwarzanych przez kancelarię. W praktyce oznacza to, że na kancelariach będzie spoczywał niejako obowiązek zachowania szczególnej staranności przy zabezpieczaniu danych oraz stosowania w tym celu wysokich standardów technicznych i organizacyjnych.
Rozporządzenie nałoży również na kancelarie nowy obowiązek zgłaszania organowi nadzorczemu (w Polsce będzie to Urząd Ochrony Danych Osobowych) wszelkich przypadków występowania incydentów naruszania ochrony danych osobowych, jeśli mogą one skutkować ryzykiem naruszenia praw lub wolności osób fizycznych. Przykładem takich incydentów mogą być wszelkie formy włamań do systemów informatycznych kancelarii zapewniające przestępcom dostęp do zgromadzonych danych osobowych, a także przypadki zagubienia służbowego telefonu, laptopa lub dysku przenośnego, na których dane nie były zaszyfrowane. W pewnych sytuacjach kancelaria będzie miała również obowiązek informować o incydencie także osoby, których dane zostały narażone na niebezpieczeństwo. Również z tego punktu widzenia szczególnie istotne będzie wdrożenie przez kancelarie wspomnianych już planów zarządzania kryzysowego przewidujących scenariusze, w których takie zgłoszenie będzie konieczne, a także środki zaradcze, których opis również powinien być uwzględniony w zgłoszeniu. Niezależnie od powyższego kancelarię będą także musiały prowadzić rejestr takich incydentów, zawierający opis działań naprawczych podejmowanych po wystąpieniu każdego z nich.
Dotkliwą zmianą dla podmiotów przetwarzających dane osobowe, w tym kancelarie, będzie z pewnością możliwość nakładania wysokich kar pieniężnych za przypadki naruszania przepisów nowego rozporządzenia. Warto pamiętać, że wyższe kary (których górna granica została określona na poziomie 20 mln euro lub 4 proc. rocznego obrotu) są przewidziane za naruszenie podstawowych zasad przetwarzania, w tym niezapewnienie odpowiednich środków technicznych lub organizacyjnych gwarantujących bezpieczeństwo danych osobowych, w tym ich ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Przy decydowaniu o zasadności nałożenia kary oraz jej wysokości organ nadzorczy będzie uwzględniał nie tylko charakter, wagę i czas trwania naruszenia, ale także jakie techniczne i organizacyjne środki bezpieczeństwa zostały zastosowane przez administratora, czy naruszenie było umyślne, czy też wynikało z zaniedbania oraz jakie podjęto działania zmierzające do zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
Dlatego wydaje się, że niekorzystnym dla kancelarii rozwiązaniem byłoby ignorowanie rosnących ryzyk w obszarze cyberbezpieczeństwa oraz niepodejmowanie jakichkolwiek działań zmierzających do zabezpieczenia przetwarzanych danych przed tego rodzaju niebezpieczeństwami. W przypadku bowiem wystąpienia incydentu naruszenia bezpieczeństwa danych w związku z atakiem hakerskim, w trakcie postępowania przed organem nadzorczym kancelaria będzie miała niewielkie szanse na uniknięcie kary, jeśli okaże się, że nie wdrożyła nawet najbardziej podstawowych środków technicznych lub organizacyjnych zapewniających bezpieczeństwo systemów informatycznych. Uwzględniając wrażliwy charakteru przetwarzanych przez kancelarie prawne danych, takie działanie mogłoby nawet zostać uznane za rażące niedbalstwo, co ostatecznie również przełożyłoby się na wyższą karę pieniężną. Z drugiej strony, obowiązek zabezpieczenia danych ma charakter zobowiązania starannego działania, co oznacza, że nawet w przypadku wystąpienia incydentu bezpieczeństwa danych niekoniecznie będzie to równoznaczne z odpowiedzialnością kancelarii na podstawie nowych przepisów. Będzie tak w przypadku, w którym kancelaria – przy założeniu, że nie doszło do naruszenia innych przepisów – będzie w stanie wykazać, że incydent nastąpił pomimo zastosowania adekwatnych środków zabezpieczenia danych.
Nowe technologie niewątpliwie ułatwiają kancelariom prawnym pracę oraz stwarzają szersze możliwości dotarcia do klienta. Z drugiej strony, ich rozwój doprowadził do wzrostu ryzyka ataków hakerskich mogących skutkować ujawnieniem lub utratą cennych danych przetwarzanych przez kancelarie. Okoliczności te, łącznie z coraz bardziej wymagającymi regulacjami prawnymi, wymuszają na kancelariach, podobnie jak i na innych uczestnikach rynku, konieczność dostosowania się poprzez wdrożenie niezbędnych środków bezpieczeństwa informacji. Chociaż może to się wydawać dodatkowym obciążeniem, ostatecznie chodzi jednak o zapewnienie klientowi najwyższej jakości usług oraz gwarancji bezpieczeństwa przekazywanych przez niego informacji, a także uchronienie kancelarii przed naruszeniem jej reputacji lub konsekwencjami prawnymi w przypadku niezabezpieczenia informacji przed atakiem.