- Musimy podjąć wszelkie kroki, by nikt – czy to zgodnie, czy niezgodnie z prawem – nie miał dostępu do danych klientów - uważa Michał Szpakowski, członek Naczelnej Rady Adwokackiej, przewodniczący Komisji Informatyzacji NRA.
Co udało się już osiągnąć w zakresie informatyzacji adwokatury?
Jesteśmy dopiero na początku bardzo długiej drogi i w tym momencie rozeznajemy temat. Przejmujemy też kwestie z poprzedniej kadencji. Obecnie dzięki staraniom kolegi Bartłomieja Trętowskiego udało nam się uzyskać status równy organizacjom pozarządowym – zresztą zgodnie z charakterem samorządu adwokackiego. To o tyle ważne, że dzięki temu przysługują nam duże zniżki na konta pocztowe, sieciowe, czy usługi typu Microsoft 365, albo usługi firmy Google. Pozwoli to na tańsze funkcjonowanie i być może nawet zaproponowanie adwokatom, przynajmniej tym aktywnym na polu samorządu, a może docelowo wszystkim, takie usług w domenie adwokatury. Czekamy jeszcze na oferty, dlatego nie chciałbym tu wyprzedzać faktów, ale mamy szanse na uzyskanie dobrych, konkurencyjnych cen.
Jakie planowane są następne kroki w tej sprawie?
Mamy kilka bardzo ważnych priorytetów. Jednym z nich jest zaoferowanie adwokatom dostępu do chmury cyfrowej zgodnej z międzynarodowymi standardami ochrony informacji oraz z tymi, które chce popularyzować CCBE (Rada Adwokatów i Stowarzyszeń Prawniczych w Europie). Druga sprawa to zbliżające się doręczenia elektroniczne. Tutaj też mierzymy się z zagrożeniami dla tajemnicy adwokackiej, które są spowodowane tym, że cała poczta adwokacka będzie przechodzić przez jeden publiczny serwer. Wszystkie pisma procesowe i zawarte w nich fakty, często intymne, z życia stron, będą przez ten centralny serwer przesyłane i tam też będą przechowywane aż do 12 miesięcy od likwidacji konta. A to naraża tajemnice naszych klientów na niepowołany dostęp. I to niekoniecznie nielegalny. Znamy praktykę organów ścigania, które wchodzą „na legitymację”, twierdzą, że podejrzewają popełnienie przestępstwa. Strzeżonego Pan Bóg strzeże. Musimy podjąć wszelkie kroki, by nikt – czy to zgodnie, czy niezgodnie z prawem (np. przez pracownika firmy administrującej chmurą) nie mógł mieć dostępu do tych danych. Bo dla adwokata tajemnica jest świętością i pierwszą linią obrony klientów.
I co można zrobić w tej sprawie?
Chcemy zaproponować jeszcze jedną warstwę szyfrowania. Z jednej strony wiadomość elektroniczna zawierająca pismo procesowe byłaby zakodowana przez adwokata za pomocą oprogramowania, które pozwoli szyfrować wszelkie przekazy wysyłane za pomocą systemu rejestrowanego elektronicznego doręczenia. Z drugiej zaś strony wiadomość byłaby odszyfrowywana przez pracownika sądu. Enkrypcja i dekrypcja byłyby dokonywane na podstawie pary kluczy (publicznego i prywatnego), które byłyby generowane dla poszczególnych spraw. Następnie klucz publiczny zostanie udostępniony stronom czy uczestnikom postępowania oraz ich pełnomocnikom, a ten prywatny będzie tylko w dyspozycji sądu. Pismo byłoby więc szyfrowane kluczem publicznym, doręczane za pomocą usługi doręczenia elektronicznego...
Czyli przez portal informacyjny?
Portal, zgodnie z zamysłem Ministerstwa Sprawiedliwości, ma również służyć do doręczania pism, więc w ramach tego programu chcielibyśmy to rozwiązanie wdrożyć. Za pomocą Portalu Informacyjnego pismo procesowe będzie w sposób całkowicie niezauważalny konwertowane w momencie, gdy osoba uprawniona się zaloguje i zechce otworzyć pismo. Jego treść zostanie dla takiej uprawnionej osoby odkodowana. Tak sobie to wyobrażamy. Wówczas ten plik na serwerze sądowym, który też w pewnym sensie jest w chmurze, będzie chroniony przed dostępem osób niepowołanych. A o tym, kto jest powołany, będzie decydował sąd, przewodniczący wydziału, prezes – w zależności od przyjętego rozwiązania. Będziemy jako adwokatura brać udział w grupie roboczej dotyczącej funkcjonalności portalu informacyjnego i tę kwestię chcemy podnieść na pierwszym miejscu. To też najpilniejsza rzecz, ze względu na to, że wymóg posiadania skrzynek do doręczeń elektronicznych przez adwokatów wchodzi w życie pierwszego października (sama ustawa wchodzi w życie podczas wakacji). Nie mamy więc dużo czasu, a chcemy to zrobić jak najszybciej.
Co jeszcze jest wśród priorytetów komisji?
Trzecia rzecz to spora rozbudowa i integracja zasobów informatycznych Naczelnej Rady Adwokackiej, czyli Systemu Obsługi Adwokatury, stron internetowych w jej posiadaniu itp. Tutaj w tym momencie dokonujemy audytów – co jest, czego nie ma, co należałoby uzupełnić, co jest potrzebne, a co nie do końca. Będziemy takie informacje zbierać zarówno od okręgowych rad adwokackich, jak i od samych adwokatów. Powstaną dwa zespoły robocze do pracy nad tym portalem.
Czy będzie on służył także do przekazywania informacji o postępowaniu dyscyplinarnym?
Postępowania dyscyplinarne to jeden z obszarów, które chcemy cyfryzować. I to nie tylko bazy orzeczeń, lecz także akta tych postępowań, by nie trzeba ich było przesyłać z sądu do sądu w formie papierowej. Chcemy też stworzyć elektroniczny spis tych wyroków. To coś, co w ramach rozbudowy aktualnych zasobów będziemy chcieli zrobić po zakończeniu inwentaryzacji.
Niedawno przeprowadzono wśród radców prawnych badania, które wykazały, że korzystają oni jedynie z poczty elektronicznej, programów biurowych i ewentualnie teraz z programów do komunikowania się na odległość. Wśród adwokatów jest zapewne podobnie. Czy jest więc w ogóle potrzeba tak dużej informatyzacji? Czy będzie zainteresowanie nowymi rozwiązaniami?
Zapotrzebowanie na nie wyniknie z rzeczywistości normatywnej, która nas otacza. Jako NRA będziemy chcieli przede wszystkim zaoferować te usługi, które będą niezbędne w procesie komunikacji z wymiarem sprawiedliwości, z urzędami, czy też pomiędzy adwokatami. Adwokaci będą się więc musieli przyzwyczaić do nowych rozwiązań. A za tym pójdzie prawdopodobnie nawyk używania ich czy kontaktów z klientami online. Także rozprawy coraz częściej odbywają się w tej formie. Jeśli będziemy wnosić pisma za pośrednictwem portalu informacyjnego, to będziemy zmuszeni do używania takich czy innych narzędzi. Chcemy też wypracować pewne standardy. Jeśli adwokat będzie korzystać z usług online, to takie usługi muszą spełniać pewne minimalne standardy niezależnie od tego, kto je dostarcza. My chcemy te standardy ustalić, ale nie będą zbyt wygórowane. Wręcz przeciwnie – chcemy pewne rzeczy uporządkować, bo obecnie adwokaci boją się umieszczać informacje w chmurze, ze względu na to, że mogą być posądzeni o to, że tracą nad tymi przekazanymi przez klientów informacjami kontrolę. My chcemy pokazać, że jeśli taka chmura spełnia pewne wymogi, to adwokat może być spokojny, że nikt nie posądzi go, że nie dochował należytej staranności w ochronie tajemnicy adwokackiej.
Co jest najtrudniejsze w informatyzowaniu adwokatury? Kwestie techniczne? Przekonanie decydentów rządowych? A może znalezienie pieniędzy na te zmiany?
Myślę, że newralgicznym punktem będzie właśnie przekonanie rządzących, by położyli większy nacisk na ochronę tajemnicy adwokackiej. Ale jestem dobrej myśli, bo na poziomie roboczym dotychczasowe rozmowy z ministerstwem pokazały, że współpraca może się układać dobrze. Wydaje mi się, że pieniądze nie powinny być dużym problemem, bo Portal Informacyjny i tak będzie rozbudowywany i dodanie jednej funkcjonalności jest w zasięgu ręki – to nie jest jakiś duży koszt. NRA też jest przygotowana na poniesienie kosztów „adwokackiej” części infrastruktury. Równie trudne będzie przekonanie i przyzwyczajenie do nowych rozwiązań samych adwokatów. Tak jak pan wspomniał, wśród radców prawnych dominują e-mail i Skype bądź Zoom. Myślę, że wśród adwokatów jest podobnie – większość nie korzysta z zaawansowanych narzędzi informatycznych. Ale nie zmienia to faktu, że my będziemy musieli to zrobić, cały świat od półtora roku przestawia się na te narzędzia i najwyższy czas także na adwokaturę.
Ale jak adwokatów do tego przekonać?
Będziemy współpracować z komisjami doskonalenia zawodowego i organizować szkolenia, które pokażą, co może dać korzystanie z takich usług, oraz pokażą, jak to zrobić i że jest to w miarę bezbolesne. Ale to będzie kolejny krok po tym, jak te usługi zostaną stworzone.
Czy portal adwokatury będzie centralny czy oddzielny dla każdej izby?
W tym momencie ma on charakter centralny, co nie oznacza, że jest prowadzony przez centralny organ. Prowadzą go wszystkie okręgowe rady i to one decydują, jakie funkcjonalności są włączane dla adwokatów w danej izbie, a jakie nie są. Jedyną obligatoryjną dla wszystkich funkcją jest rejestr adwokatów. Musimy go prowadzić centralnie i używać jednego interfejsu. W pozostałych przypadkach to rady zdecydują, jakich modułów używać, a jakich nie.
A czy jakiś moduł jest już gotowy?
Możemy się za pomocą portalu komunikować, składać wnioski, współdzielić pliki, robić ankiety. Modułów jest kilka, ale używanie ich zależy od chęci danej ORA. Mamy nadzieję na popularyzację również innych modułów wśród większej liczby raz adwokackich.
O jakim czasie tu mówimy?
Zostaliśmy wybrani na całą kadencję. Ciężko teraz powiedzieć, czy uruchomienie portalu zajmie nam całe cztery lata czy może tylko rok. Priorytetem jest jednak teraz usługa doręczenia elektronicznego z zachowaniem tajemnicy adwokackiej.
Chciałbym też prosić o odniesienie się do niedawnych informacji o rzekomym wycieku danych ze skrzynek adwokatury. Tym razem według komunikatu NRA do niego nie doszło, ale czy należy się go obawiać w przyszłości? Czy dane są tu odpowiednio zabezpieczone?
Do wycieku nie doszło, na co wskazuje nie tylko nasz audyt, lecz również wypowiedź ogłoszeniodawcy, który skontaktował się z portalem Niebezpiecznik. NRA otrzymała informację o możliwym wycieku nieco wcześniej niż opinia publiczna i ze źródła, którego nie powinno się lekceważyć. Od początku potraktowaliśmy sprawę poważnie, zakładając, że taki wyciek faktycznie miał miejsce. Przeprowadziliśmy wszystkie wewnętrzne procedury systemowe, które w takich sytuacjach powinny mieć miejsce. Rozpoczęliśmy następnie audyt logów (rejestrów zdarzeń poszczególnych systemów), aby stwierdzić, co się właściwie stało. Zbieraliśmy również coraz więcej informacji o samym ogłoszeniu i ogłoszeniodawcy. W obu sytuacjach pomogli nam nasi aktualni dostawcy oraz doradcy stricte od bezpieczeństwa systemów informatycznych. W toku prac wzmocniliśmy systemy i zasady bezpieczeństwa chroniące systemy wykorzystywane przez NRA i poszczególne okręgowe rady adwokackie. Dokonaliśmy również wstępnego zgłoszenia naruszenia ochrony danych osobowych do prezesa Urzędu Ochrony Danych Osobowych. Nasz audyt, kontynuowany również w ostatnich dniach (w tym czynności z zakresu informatyki śledczej) nie wskazuje na to, że nastąpił wyciek jakichkolwiek danych. Na koniec dnia uznaliśmy, również ze względu na treść ogłoszenia i zachowanie ogłoszeniodawcy, że do wycieku nie doszło. Gdyby poważnie potraktować ogłoszenie (jego treść jest znana publicznie), to okazałoby się, że ogłoszeniodawca dokonał wręcz niebywałego ataku hakerskiego na wiele systemów skrzynek pocztowych przeróżnych providerów internetowych (w tym światowych gigantów). Każdy z nich posiada własne zabezpieczenia, które ogłoszeniodawca musiałby przełamać, aby posiadać dostęp do „skrzynki pocztowej każdego adwokata”. Szczęśliwie nic z tego nie było prawdą.
Skąd mogło się wziąć ogłoszenie o sprzedaży dostępów do kont adwokatów, skoro do ich wycieku nie doszło?
Nie chcę dociekać motywacji ogłoszeniodawcy, mogę jedynie spekulować, że zrobił to dla rozgłosu, może z chęci zysku za wszelką cenę. Ważne dla nas jest to, że dane zarówno adwokatów, jak i okręgowych rad adwokackich, którymi dysponuje NRA, są bezpieczne.
Adwokaci będą się musieli przyzwyczaić do cyfryzacji narzuconej przez prawodawcę. A za tym pójdzie prawdopodobnie nawyk używania nowych rozwiązań czy kontaktów z klientami online
