20.11.2017

Bezpieczeństwo poczty elektronicznej w kancelariach prawnych

opublikowano: 2017-04-06 przez: Wiśniewska Anna

Obecnie wszyscy korzystamy z maili w życiu prywatnym, jak i zawodowym. Wpisało się to w standardy naszego życia. Zastąpiło pisanie tradycyjnych listów, a często też osobiste spotkania. Tą drogą załatwiamy sprawy zawodowe, np. negocjujemy umowy. Często nasz kontakt z drugą osobą zaczyna się od maila. Czy w związku z tym zabezpieczamy prawidłowo wysyłane mailem dane? Czy nasza skrzynka mailowa jest bezpieczna? Czy pracownicy wysyłający dane są dobrze przeszkoleni? Jakie mamy procedury korzystania z poczty elektronicznej? Te pytania są istotne, biorąc pod uwagę cyberataki, które mogą być przeprowadzone zarówno z zewnątrz, jak i wewnątrz kancelarii, a także straty, jakie możemy w związku z tym ponieść. W świetle ostatnich, opisanych poniżej, wydarzeń skutkujących zdobyciem danych klientów kancelarii zajęcie się tymi zagadnieniami staje się koniecznością. Bezpieczeństwo naszej poczty jest niezwykle ważne z uwagi na zawód, który wykonujemy. Kancelarie prawne są wyjątkowo atrakcyjne dla cyberprzestępców – z jednej strony ze względu na dane klientów zawarte w skrzynkach mailowych, serwerach plików lub bazach danych, a z drugiej strony z powodu braku odpowiednich zabezpieczeń technicznych i organizacyjnych. Zagrożenie cyberatakami powinno zatem skłaniać w szczególności do zapewnienia bezpieczeństwa naszej poczty elektronicznej poprzez potraktowanie jej jako części danych przetwarzanych w kancelarii. Skoro wszyscy dbamy o powierzone nam akta sądowe i dokumenty klienta, dlaczego nie mielibyśmy równie dobrze chronić informacji przetwarzanej elektronicznie?
 
Pojęcie bezpieczeństwa poczty elektronicznej
W polskim prawie brak jest definicji poczty elektronicznej. Celem ustalenia, co kryje się pod tym pojęciem można posłużyć się pomocniczo pojęciem znajdującym się w art. 2 pkt 5 ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną[1], zgodnie z którym przez „środki komunikacji elektronicznej” rozumie się rozwiązania techniczne, w tym urządzenia teleinformatyczne i współpracujące z nimi narzędzia programowe, umożliwiające indywidualne porozumiewanie się na odległość przy wykorzystaniu transmisji danych między systemami teleinformatycznymi, a w szczególności pocztę elektroniczną. Pojęcie środków komunikacji elektronicznej nawiązuje do sformułowania „poczta elektroniczna lub inny równoważny środek komunikacji indywidualnej”, którym posługuje się dyrektywa 2000/31/WE Parlamentu Europejskiego i Rady z dnia 8 czerwca 2000 r. w sprawie niektórych aspektów prawnych usług społeczeństwa informacyjnego, w szczególności handlu elektronicznego w ramach rynku wewnętrznego (dyrektywa o handlu elektronicznym)[2]. Poczta elektroniczna (e-poczta, e-mail, potocznie mejl, meil) to zatem usługa internetowa służąca do przesyłania wiadomości tekstowych, jak i multimedialnych, tzw. listów elektronicznych. W Polsce określenie e-mail próbowano zastąpić skrótem listel od list elektroniczny. Starano się także upowszechnić określenie el-poczta. Określenia te nie przyjęły się. Za poprawne uznaje się obecnie formy: e-mail, mail i mejl[3]. W polskim prawie z pojęciem „poczty elektronicznej” możemy spotkać się np. w Prawie telekomunikacyjnym[4] (art. 161 ust. 3 – „dostawca publicznie dostępnych usług telekomunikacyjnych może, za zgodą użytkownika będącego osobą fizyczną, przetwarzać inne dane tego użytkownika w związku ze świadczoną usługą, w szczególności numer konta bankowego lub karty płatniczej, a także adres poczty elektronicznej oraz numery telefonów kontaktowych”), Prawie o szkolnictwie wyższym[5] (art. 13b ust. 13 pkt 3 – „uczelnia może przetwarzać dane osobowe absolwentów obejmujące adres poczty elektronicznej”) i Kodeksie postępowania cywilnego[6] (art. 1839 § 3 – „Po skierowaniu stron do mediacji, przewodniczący niezwłocznie przekazuje mediatorowi dane kontaktowe stron oraz ich pełnomocników, w szczególności numery telefonów i adresy poczty elektronicznej, o ile je posiadają.”).
Jeśli chodzi z kolei o pojęcie „bezpieczeństwa”, to wyraz ten w języku łacińskim (securitas) składa się z dwóch członów: sine (bez) i cura (zmartwienie, strach, obawa). Bezpieczeństwo oznaczało więc stan braku zmartwień i strachu[7], co przekłada się na jego współczesne pojmowanie. Bezpieczeństwo oznacza bowiem stan dający poczucie pewności i gwarancję jego zachowania oraz szansę na doskonalenie tego stanu. Jest to jedna z podstawowych i naczelnych potrzeb człowieka, państw i systemów międzynarodowych. Odznacza się akceptowalnym poziomem ryzyka utraty czegoś dla podmiotu szczególnie cennego – życia, zdrowia, pracy, szacunku, uczuć, dóbr materialnych i dóbr niematerialnych. Brak jego zapewnienia wywołuje niepokój i poczucie zagrożenia. Człowiek, grupa społeczna, państwo i organizacja międzynarodowa starają się oddziaływać na swoje otoczenie zewnętrzne i sferę wewnętrzną, żeby usuwać, a przynajmniej oddalać zagrożenia, eliminując własny lęk, obawy, niepokój i niepewność. Zagrożenia mogą być skierowane na zewnątrz i do wewnątrz; tak samo powinny być skierowane działania w celu ich likwidowania[8]. Z pojęciem bezpieczeństwa możemy również spotkać się w Konstytucji RP, a także w takich ustawach jak ustawa z dnia 21 czerwca 2002 r. o stanie wyjątkowym[9] oraz ustawa z dnia 20 marca 2009 r. o bezpieczeństwie imprez masowych[10], jednak nie wyjaśniono w nich, co rozumie się pod tym pojęciem.
Podsumowując, przedstawioną powyżej definicję „bezpieczeństwa” można przełożyć na bezpieczeństwo teleinformatyczne, w tym bezpieczeństwo poczty elektronicznej i danych przez nią przesyłanych, które zostanie zagwarantowane przez zapewnienie danym przesyłanym przez użytkownika poczty elektronicznej trzech elementów: integralności, poufności i dostępności. W zależności od sytuacji elementy te mogą występować łącznie albo rozdzielnie, o czym szczegółowo poniżej.
 
Przypadki naruszenia bezpieczeństwa informatycznego w polskich kancelariach prawniczych z użyciem poczty elektronicznej
W ostatnim czasie nastąpiło kilka ataków na kancelarie prawne, właśnie za pomocą maili.
W 2015 r. doszło np. do wycieku danych klientów jednej z warszawskich kancelarii prawnych. Do tej kancelarii wpłynął mail z informacją, że firma chce założyć oddział i potrzebuje do tego kancelarii prawnej. Kancelaria odpowiedziała na tego maila i otrzymała na skrzynkę pocztową dokumentację konieczną do wypełnienia w celu nawiązania współpracy, co łączyło się z pobraniem dokumentów z określonego linka zawierającego najnowszą wersję wtyczki do pakietu MS Office. Zainstalowanie wtyczki powodowało zainstalowanie złośliwego oprogramowania, które pozwoliło podmieniać odwiedzane strony internetowe na spreparowane m.in. w celu wyłudzenia haseł i loginów do prawdziwych serwisów oraz pobrania danych z zainfekowanych komputerów[11]. Co ciekawe, w toku ataku sama wtyczka Microsoftu rzeczywiście się instalowała, a złośliwe oprogramowanie instalowało się dodatkowo. Tym sposobem cyberprzestępcy przejęli kontrolę nad całą infrastrukturą IT kancelarii oraz uzyskali dostęp do zawartości skrzynek mailowych pracowników kancelarii (korespondencji służbowej i prywatnej), serwerów przechowujących akta spraw prowadzonych dla klientów oraz prywatnych danych prawników kancelarii. Kolejnym krokiem było wystąpienie przez cyberprzestępców z żądaniem okupu pod groźbą publicznego udostępnienia danych klientów. Kancelaria nie uległa szantażowi, co spowodowało opublikowanie części posiadanych przez przestępców danych.
Trzeba przyznać, że atak ten był wyjątkowo dopracowany i z pewnością mógł zwieść przeciętnego użytkownika poczty elektronicznej. W ataku tym rolę odegrały zarówno czynniki techniczne, jak i ludzkie. Bez próby zainstalowania przez człowieka podrzuconego przez cyberprzestępców pliku cała techniczna strona ataku nie miałaby racji bytu[12]. Jest to tzw. atak socjotechniczny. Cyberprzestępca namawia swoją ofiarę do wykonania pewnej czynności, w wyniku czego będzie mógł osiągnąć swój cel. Najczęściej poprzez otwarcie właśnie załącznika poczty elektronicznej. Taki załącznik zawiera w sobie złośliwe oprogramowanie, które jest uruchamiane wraz z jego otwarciem, tak jak miało to miejsce w opisanej powyżej sprawie. Skutkiem takiego ataku jest przejęcie kontroli przez cyberprzestępcę nad komputerem ofiary. Cyberprzestępca może wtedy wykraść używane przez użytkownika komputera hasła, dane zawarte w plikach znajdujących się na komputerze lub innym zaatakowanym urządzeniu, a także użyć przejętego komputera w ataku na inne komputery[13].
Inny atak na kancelarie prawnicze polegał na rozesłaniu do wielu kancelarii i firm w całej Polsce maila sygnowanego „adw. Tomasz Grabowski”. Przed otwieraniem załączników do tego maila ostrzegała adwokatura oraz sam mecenas o tym imieniu i nazwisku, zapewniając, że nie ma z tym nic wspólnego[14].
Podobny atak miał miejsce również w 2015 r. i polegał na rozesłaniu maili z zainfekowanym załącznikiem zawierającym konia trojańskiego, czyli oprogramowaniem dającym intruzowi nieuprawnioną kontrolę nad przejętym komputerem, spoza serwerów domeny adwokatura.pl, ze sfałszowanym polem nadawcy, w które wstawiono adres „dominik.kusnierz@adwokatura.pl”. Zgodnie z oświadczeniem Naczelnej Rady Adwokackiej w domenie adwokatura.pl nie istnieje takie konto, a żadna osoba o takim imieniu i nazwisku nie jest wpisana na listę adwokatów ani aplikantów adwokackich. Zdaniem adwokatury atak ten wykorzystał podatność protokołu pocztowego (SMTP – Simple Mail Transfer Protocol). Protokół ten nie posiada wbudowanych narzędzi do weryfikacji pola oznaczonego jako „nadawca”. Serwery pocztowe w domenie adwokatura.pl implementują od dłuższego czasu dodatkowy mechanizm ochronny (SPF – Sender Policy Framework). Jednak zastosowanie tego mechanizmu zależy tylko i wyłącznie od tego, czy serwer pocztowy drugiej strony (odbiorcy) poprawnie dokona weryfikacji nadawcy przychodzącej wiadomości za pomocą takiego mechanizmu[15].
Zapewnienie bezpieczeństwa poczty elektronicznej, a tym samym danych osobowych przesyłanych za jej pośrednictwem, spoczywa na każdym użytkowniku poczty w kancelarii, zaś w szczególności na radcach prawnych, którzy mają często dostęp do dokumentów i informacji opatrzonych klauzulą „tajemnicą przedsiębiorstwa”. Trzeba podkreślić, że obowiązek właściwego zabezpieczenia przez radców prawnych danych osobowych klientów nie tylko tych posiadanych w wersji papierowej, ale i przetwarzanych elektronicznie, wynika z art. 23 Kodeksu Etyki Radcy Prawnego (dalej: „KERP”), zgodnie z którym: „Radca prawny obowiązany jest zabezpieczyć przed niepowołanym ujawnieniem wszelkie informacje objęte tajemnicą zawodową, niezależnie od ich formy i sposobu utrwalenia. Dokumenty i nośniki zawierające informacje poufne należy przechowywać w sposób chroniący je przed zniszczeniem, zniekształceniem lub zaginięciem. Dokumenty i nośniki przechowywane w formie elektronicznej powinny być objęte odpowiednią kontrolą dostępu oraz zabezpieczeniem systemu przed zakłóceniem działania, uzyskaniem nieuprawnionego dostępu lub utratą danych. Radca prawny powinien kontrolować dostęp osób współpracujących do takich dokumentów i nośników”[16]. Przytoczone postanowienie jest bardziej szczegółowe i rygorystyczne w porównaniu z art. 14 KERP z 2007 r.[17], który stanowił jedynie, iż radca prawny ma zabezpieczyć jak najlepiej jest to możliwe przed niepowołanym ujawnieniem informacje uzyskane od klienta w związku ze świadczeniem pomocy prawnej. Natomiast w przypadku, gdy wykorzystanie środków przekazu nie gwarantuje zachowania poufności w przekazaniu informacji objętych tajemnicą zawodową wymagano od radcy uprzedniego powiadomienia o tym klienta. Obecnie obowiązujący art. 23 KERP w zakresie zabezpieczenia danych uzyskanych od klienta nie przewiduje już takiej możliwości. Na radcę prawnego został nałożony bowiem obowiązek zabezpieczenia tych informacji przed nieuprawnionym do nich dostępem.
Ponadto art. 35 KERP określa warunki, jakie musi spełniać radca prawny w związku z informowaniem i wykonywaniem czynności zawodowych drogą elektroniczną. Do tych warunków zalicza się w szczególności: jednoznacznie identyfikowanie radcy prawnego przy wysyłaniu wiadomości za pomocą poczty elektronicznej jako nadawcy lub odbiorcy, w szczególności poprzez adresy poczty elektronicznej lub inne identyfikatory; niekorzystanie z drogi elektronicznej w sposób anonimowy lub na rzecz osób, których nie można jednoznacznie zidentyfikować jako konkretnych klientów lub odbiorców, czy nadawców w komunikacji, w szczególności w Internecie. W praktyce oznacza to, że radcowie prawni w związku z wykonywaniem zawodu mają posługiwać się w kontaktach z klientem imiennym adresem e-mail oraz nie mogą udzielać porad anonimowo ani anonimowym klientom.
Próbując odpowiedzieć na pytanie, czy radcowie prawni wypełniają obowiązek zabezpieczenia danych przesyłanych drogą elektroniczną, warto przytoczyć wyniki badań ankietowych przeprowadzonych w 2014 r. m.in. wśród radców prawnych przez Centrum Ochrony Danych Osobowych i Zarządzania Informacją utworzone przy Wydziale Prawa i Administracji Uniwersytetu Łódzkiego. Na pytanie: „Czy w Państwa kancelarii wdrożona jest dokumentacja ochrony danych osobowych?” tylko 30% radców prawnych odpowiedziało, że wdrożyło jakiekolwiek rozwiązania zabezpieczające przetwarzane dane. Mimo, że administratora bezpieczeństwa informacji powołano w 80% kancelarii radcowskich, to odpowiednio w 40% i 57% zbadanych przypadków imienne upoważnienia do przetwarzania danych nie zostały udzielone. Natomiast na pytanie: „Czy system informatyczny, za pośrednictwem którego przetwarzane są dane spełnia wymogi przepisów prawa?” 70% radców prawnych odpowiedziało twierdząco. Należy jednak pamiętać, że oceny tej dokonali sami ankietowani. Autor przeprowadzonego badania zastanawia się, czy przyczyna braku lub niewielkiego zabezpieczenia poczty elektronicznej tkwi w braku egzekwowania tego przez samorząd radców prawnych[18]. Naszym zdaniem właściwe zabezpieczenie nie musi wynikać z nakazów i zakazów, gdyż należyta staranność powinna skutkować właściwym zabezpieczeniem danych, które nam powierzono i które wytworzyliśmy w ramach codziennej pracy.
Powyższe sytuacje powinny zatem przypomnieć prawnikom, jak ważne jest zabezpieczenie komputerów i sieci kancelarii oraz zmobilizować do zastanowienia się, w jaki sposób i gdzie są przechowywane dane klientów oraz czy wystarczający jest poziom stosowanych zabezpieczeń. Poza tym należy ciągle podnosić świadomość ochrony danych, również wśród naszych pracowników i osób z nami współpracujących. Opisane ataki nie zaczęły się od zdalnego zaatakowania systemu informatycznego, ale od kontaktu z człowiekiem, który wpuścił (nieświadomie) intruzów do systemów kancelarii. Nie od dziś wiadomo, że najsłabszym ogniwem bezpieczeństwa danych jest człowiek. Dlatego cały proces budowania bezpieczeństwa poczty należy zacząć od wdrożenia architektury bezpieczeństwa rozumianej jako spójny wewnętrznie system obejmujący ludzi, procesy realizowane w kancelarii i technologię. Nie bez znaczenia jest również ciągłe podnoszenie świadomości osób mających dostęp do danych przetwarzanych w kancelarii. Z pomocą w budowie dojrzałej architektury bezpieczeństwa informacji mogą przyjść normy i standardy z obszaru cyberbezpieczeństwa, takie jak COBIT5[19] i norma PN-ISO/IEC 27001:2014-12.
Cechy bezpieczeństwa poczty elektronicznej według PN-ISO/IEC 27001:2014-12
Zgodnie z normą PN-ISO/IEC 27001:2014-12 atrybutami bezpieczeństwa są :
  1. integralność,
  2. poufność,
  3. dostępność.
Integralność polega na dostarczeniu odbiorcy wiadomości w niezmienionej formie bez ingerencji w nią osób trzecich. Poufność polega na tym, że wiadomość została dostarczona tylko do adresata, a zatem nie doszło do jej upublicznienia wbrew woli osób biorących udział w jej wymianie. Dostępność polega na tym, że informacja jest dostępna wtedy, gdy zainteresowani mają potrzebę z niej skorzystać. Niezapewnienie któregokolwiek z tych elementów może nieść za sobą negatywne skutki w naszej pracy i relacji z klientem. Przeanalizujmy teraz skutki niezachowania atrybutów bezpieczeństwa w kontekście poczty elektronicznej, omawiając scenariusze, w których nie są one zapewnione.

Scenariusz nr 1 – dostępność
W kancelarii wszyscy pracownicy i radcowie prawni korzystają z darmowego serwera pocztowego. Z uwagi na powszechność i dostępność usługi, grupy pracujące wspólnie nad konkretną sprawą przesyłają sobie kolejne wersje umowy za pomocą poczty elektronicznej. Współpraca pomiędzy grupami idzie sprawnie. Został wyznaczony termin podpisania umowy w siedzibie klienta. Jest sezon urlopowy i radca prawny odpowiedzialny za przygotowanie ostatecznej wersji dokumentu przebywa na urlopie, bez dostępu do poczty, ale przed wyjazdem wysyła mailem ostateczną wersję dokumentu osobie, która jest wyznaczona do dostarczenia dokumentu klientowi. W tym momencie dochodzi do awarii komputera, na którym została odebrana poczta, i nie ma dostępu do finalnej wersji umowy. Ostatecznie udaje się odtworzyć treść dokumentu z dostępnych notatek, ale podpisanie umowy musi być przełożone o jeden dzień. W tym czasie kontrahent rozmyśla się i nie podpisuje stosownych dokumentów, co skłania klienta do rezygnacji ze współpracy z kancelarią.

Scenariusz nr 2 – poufność
Kancelaria nauczona doświadczeniem utraty ważnego klienta postanawia, aby programy do odbioru poczty były skonfigurowane tak, by po ściągnięciu poczty na twardy dysk pozostawała jego kopia na serwerze. Rozwiązanie sprawdza się doskonale. Nie występują już żadne problemy związane z awariami komputerów. Każdy ma dostęp do całości swojej poczty. Niestety dochodzi do włamania na serwery firmy, która darmowo świadczy usługi pocztowe, i zostają upublicznione maile zawierające dane stanowiące tajemnicę radcowską. W rezultacie kolejny klient traci zaufanie do kancelarii i odchodzi.

Scenariusz nr 3 – integralność
Właściciel kancelarii wyciąga wnioski z poprzedniego incydentu i szyfruje dane ważne z biznesowego punktu widzenia. Dane te są przesyłane za pomocą serwera pocztowego i przechowywane na nim. Zmienia też firmę dostarczającą usługę na profesjonalnego dostawcę i uzgadnia z nim kary umowne za wyciek danych. Jednak właściciel kancelarii jest tak pochłonięty obowiązkami związanymi z jej prowadzeniem firmy, że zleca sekretarce obsługę swojej poczty elektronicznej. W tym celu przekazuje jej hasło do poczty z poleceniem regularnego logowania się na serwer pocztowy dostawcy, sprawdzania poczty i dzwonienia, jeśli zauważy pocztę od ważnych klientów. Obciążona nowymi obowiązkami sekretarka zapisuje dane logowania na „żółtej karteczce” i przykleja ją w widocznym miejscu. Do sekretariatu mają dostęp zarówno pracownicy kancelarii, jak i klienci. Po pewnym czasie właściciel kancelarii zauważa, że ktoś przestawia daty w kalendarzu spotkań, wysyłając maile z „nowymi terminami” spotkań do klientów, co ostatecznie skutkuje wypowiedzeniem współpracy przez kolejnych klientów. Sprawcy nie udaje się ustalić.
Powyższe scenariusze wskazują, iż skupienie się tylko na jednym aspekcie bezpieczeństwa nie stanowi rozwiązania problemu, a może go nawet pogłębić. Dopiero rozważenie zasadności stosowania atrybutów bezpieczeństwa informacji dla konkretnych sytuacji zabezpiecza przed incydentami. Należy przy tym mieć na uwadze, że bezpieczeństwo to proces. Nie można uznać, że raz na zawsze osiągnęło się odpowiedni jego poziom i zaprzestać jego udoskonalania, ponieważ ciągle pojawiają się nowe zagrożenia, z którymi trzeba się uporać. W celu zapewnienia odpowiedniego poziomu zabezpieczeń należy postępować zgodnie z cyklem Deminga, w którym ujęte są następujące czynności:
  • planowanie;
  • wykonanie planu;
  • sprawdzenie, czy jest możliwa poprawa tego, co już zostało wykonane;
  • poprawa wykonanych zadań i ponowne planowanie lepszego rozwiązania.

Schemat cyklu Deminga[20]
Jak wynika z powyższego, cykl ten obliguje do ciągłego polepszania istniejących już zabezpieczeń. Nigdy się nie kończy, ale z każdym jego przebiegiem rozwiązania stają się coraz bardziej dojrzałe i kompletne. Opisana w scenariuszach (fikcyjna) kancelaria przechodziła podobny proces, podnosząc z każdym krokiem poziom bezpieczeństwa, ale jej działania były tylko reakcją na pojawiające się incydenty bezpieczeństwa. Brakowało fazy planowania i sprawdzania, czy wdrożone zabezpieczenia chronią przed ryzykami oraz czy ich wprowadzenie nie stwarza nowych zagrożeń.
 
Ryzyko związane z używaniem poczty elektronicznej
Ryzyko jest słowem, którego używa każdy z nas. Rozmawiamy o ryzyku procesowym, zapisów umownych itp. Natomiast analiza ryzyka wydaje się już czymś bardzo skomplikowanym. Jednakże ludzie od zarania dziejów dokonują analizy ryzyka. To poprawne wnioskowanie o zagrożeniach i dobieranie adekwatnych zabezpieczeń pozwoliło nam osiągnąć sukces ewolucyjny. Analizy ryzyka i doboru zabezpieczeń dokonujemy często podświadomie, np. sprawdzając przed wyjściem z domu, czy należy ubrać się cieplej lub upewniając się przed przejściem przez jezdnię, czy nie nadjeżdża pojazd. Skoro większość podejmowanych w codziennym życiu decyzji opieramy na analizie ryzyka, to dlaczego nie mamy analizować ryzyka związanego z pocztą elektroniczną? Nie istnieje wprawdzie organizacja, która posiadałaby dość zasobów, aby obronić się przed wszystkimi grożącymi jej niebezpieczeństwami, jednak z pomocą przychodzi nam zarządzanie ryzykiem, dzięki czemu możemy świadomie decydować, które ryzyka akceptujemy, a przed którymi się bronimy.
Aby skutecznie przeprowadzić analizę ryzyka, należy najpierw zdefiniować, czym jest ryzyko. Norma ISO 31000 określa ryzyko jako „wpływ niepewności na cele”, a więc można uznać, że ryzykiem jest zdarzenie przyszłe i niepewne, którego zaistnienie będzie powodowało negatywne skutki dla założonego celu biznesowego. W tym ujęciu ważny jest przymiotnik „niepewne”, ponieważ ryzyko jest ściśle powiązane z prawdopodobieństwem. Przy tym współczynniku najłatwiej popełnić błąd, np. przyjmując, że nic nam nie grozi, ponieważ nasza kancelaria jest mała, nigdy nie padliśmy ofiarą cyberataku i korzystamy z programu antywirusowego. Należałoby natomiast, w celu uniknięcia błędu, posłużyć się analizą otoczenia: skoro występują włamania do innych kancelarii, moja najprawdopodobniej również jest zagrożona. Już chwila zastanowienia się nad zagrożeniami, prawdopodobieństwem ich wystąpienia i pomyślenie o nich w kategorii możliwych do zaistnienia scenariuszy spełnia warunki nieformalnej analizy ryzyka. Trzeba jednak mieć świadomość, że taka analiza może być niekompletna. Rozwiązaniem jest sformalizowany proces, w którym ryzyko jest mierzone równą miarą we wszystkich obszarach działania kancelarii. Bez poznania wszystkich chronionych zasobów i przypisania do nich zagrożeń trudno dobrać odpowiednie środki ochrony. Pomocne może być tutaj zastosowanie wspomnianej normy PN-ISO 31000:2012 razem z podręcznikiem „COBIT 5 for Risk” (dostępnym również w języku polskim). Pamiętając o omówionym powyżej cyklu Deminga, należy mieć na uwadze, że zbudowanie dojrzałego zarządzania ryzykiem wymaga czasu i wysiłku oraz że samo rozpoczęcie procesu świadomego zarządzania ryzykiem stanowi duży krok w zabezpieczeniu chronionych danych. W ramach przeglądów trzeba doskonalić ten proces, zmierzając w stronę formalnego zarządzania ryzykiem, obejmującego całą kancelarię.
 
Architektura bezpieczeństwa poczty elektronicznej
Architekturę bezpieczeństwa poczty elektronicznej (będącej częścią architektury bezpieczeństwa IT) budujemy, komunikując wszystkim jej użytkownikom i administratorom wymóg stosowania uporządkowanego, powtarzalnego sposobu jej zabezpieczenia opartego na zarządzaniu ryzykiem i zatwierdzonego przez właściciela kancelarii. Kluczową rolą jest zapewnienie przywództwa, czyli wskazanie, że właściciel kancelarii daje przykład pracownikom i uważa za konieczne:
  • używanie odpowiednich (wymienionych w procedurach) zabezpieczeń;
  • chronienie danych;
  • wykrywanie zagrożeń;
  • reagowanie na zagrożenia zanim dojdzie do ich materializacji.
Przejdziemy teraz do szczegółowego opisania powyższych praktyk.
Po pierwsze, jeśli chodzi o stosowanie odpowiednich zabezpieczeń, nie należy tego ograniczać tylko do środków technicznych, ale trzeba także pamiętać o:
  • podnoszeniu świadomości bezpieczeństwa nas samych oraz naszych pracowników;
  • stworzeniu i zatwierdzeniu przez właściciela kancelarii polityki bezpieczeństwa i procedur dla personelu oraz zapewnieniu ich przestrzegania na wszystkich poziomach zarządzania kancelarią;
  • ustawieniu silnego (co najmniej opartego na skomplikowanych hasłach) uwierzytelniania w systemach przetwarzających dane;
  • świadomym zarządzaniu infrastrukturą (tj. ustaleniu miejsca serwera pocztowego, audytowaniu bezpieczeństwa poczty i innych zasobów, w których przechowuje się dane).
Po drugie, pod pojęciem chronienia danych należy rozumieć w szczególności:
  • szyfrowanie maili (w oparciu o kategoryzację danych pod kątem wrażliwości i analizy ryzyka, jakie powoduje ich nieuprawnione upublicznienie) oraz dysków w komputerach, laptopach i innych urządzeniach, na których przetwarzamy dane;
  • regularne instalowanie poprawek bezpieczeństwa w komputerach i serwerach;
  • zapobieganie wyciekom danych poprzez ochronę haseł (nieprzechowywanie ich w ogólnodostępnych miejscach, stosowanie odmiennych haseł do różnych systemów, nieprzekazywanie haseł innym osobom);
  • regularne zmienianie hasła według określonego w polityce kalendarza, przy zachowaniu wskazanego przez właściciela kancelarii poziomu skomplikowania hasła (długość, konieczność użycia cyfr, dużych i małych liter, znaków specjalnych itd.).
Po trzecie, do wykrywania zagrożeń należy stosować narzędzia techniczne potrzebne do ustalania, czy doszło do nieautoryzowanej aktywności w sieciach i systemach komputerowych. Należy również monitorować nieuprawnione próby dostępu do poczty i innych danych, poprzez sprawdzanie logów dostępu do systemów IT. W przypadku używania zewnętrznego dostawcy poczty i innych usług IT należy okresowo sprawdzać (audytować) poprawność wykonywania usług, w tym jakość zabezpieczenia naszych danych na poziomie technologicznym i organizacyjnym.
Ważny jest też czwarty element – reagowanie, które polega na opracowaniu i przetestowaniu sposobu działania w przypadku zmaterializowane ryzyka, aby ograniczyć jego skutki do minimum, np. poprzez ustalenie:
  • kto kogo powinien poinformować o awarii serwera;
  • jaki czas niedostępności danych jest akceptowalny i kto powinien ten czas określić, co robić, jeśli czas niedostępności przekracza dopuszczalne wartości;
  • jakie czynności należy podjąć po wykryciu próby lub udanego włamania;
  • kto w przypadku ewentualnego włamania i wycieku danych będzie zarządzał kryzysem (kontaktował się z klientami, władzami, udziałowcami i innymi zainteresowanymi stronami) w celu budowania spójnego przekazu o incydencie.
Reasumując, architektura zapewnienia bezpieczeństwa poczty elektronicznej jest elementem całościowej architektury ochrony danych (w aspekcie technologii, organizacji i użytkowników). Powinna zawierać zasady wysyłania i odbierania maili, otwierania załączników od nieznanych adresatów, sposobu zbudowania dobrze zabezpieczonego systemu i przeszkolenia użytkowników. Stworzona raz architektura, której filarami są ludzie, procesy i technologia, nie gwarantuje nam jednak bezpiecznego korzystania z poczty elektronicznej raz na zawsze, ponieważ powinna być ona ciągle dostosowywana zarówno do zmian zachodzących w kancelarii, jak i zmian technologicznych.
 
Zabezpieczenie poczty elektronicznej
Przed przystąpieniem do zabezpieczenia poczty i innych danych należy zdać sobie sprawę z fundamentalnej zasady, iż bezpieczeństwo kosztuje. Nie jest możliwe zbudowanie spójnej, ciągle udoskonalanej architektury bezpieczeństwa bez zaangażowania czasu i środków finansowych. Pomocą w znalezieniu równowagi pomiędzy zapewnieniem bezpieczeństwa naszej poczty a kosztami z tym związanymi jest stosowanie analizy ryzyka i dostosowanie poziomu zabezpieczeń do skutków, jakie wywoła materializacja ryzyka.
W celu zabezpieczenia naszej poczty elektronicznej przed złośliwym oprogramowaniem należy przynajmniej zainstalować dedykowany program komputerowy, którego zadaniem będzie wykrywanie, zwalczanie i usuwanie złośliwego kodu. Często jest to pakiet programów chroniących komputer przed różnego typu zagrożeniami. Wybierając program chroniący przed złośliwym oprogramowaniem, powinniśmy kierować się nie tylko ceną, ale również zakresem ochrony gwarantowanym przez dostawcę. Warto pamiętać, że bardziej zaawansowane rozwiązania są w stanie ochronić użytkownika np. przed niechcianą pocztą (spamem) i sfałszowanymi mailami (phishing), stronami internetowymi infekującymi odwiedzających, dostarczać lokalny firewall i szyfrować dyski twarde. Niezależnie od wybranego oprogramowania ważne jest to, aby tak ono, jak i inne komponenty systemów informatycznych kancelarii były aktualne. Jak wynika z przedstawionych wyżej przykładów, to spreparowane maile (wykorzystujące podatności), niebędące prawdziwą korespondencją biznesową były początkiem ataków na infrastrukturę informatyczną kancelarii.
 
Domena poczty a miejsce przechowywania danych
Wśród profesjonalnych pełnomocników zwiększa się świadomość dotycząca konieczności posiadania własnej domeny i umieszczenia tam firmowego maila. Jednak wielu radców prawnych nadal korzysta z powszechnie dostępnych, darmowych skrzynek poczty elektronicznej.
Należy podkreślić, iż właścicielem konta założonego na darmowych domenach nie jest jego użytkownik, ale właściciel domeny. Oznacza to, że nie decydujemy o zabezpieczeniu konta, terminach napraw i jego aktualizacji. Nie mamy na to żadnego wpływu i nawet często nie jesteśmy informowani o tym, kiedy będą one przeprowadzane, co uniemożliwia nam przygotowanie się do przerwy w korzystaniu z poczty elektronicznej i powiadomienie o tym naszych klientów.
Ponadto właściciele naszych kont mają często dostęp do:
  • wysyłanych i odbieranych maili;
  • naszych kontaktów;
  • wydarzeń w kalendarzu;
  • przesłanych zdjęć i filmów;
  • dokumentów, arkuszy i prezentacji[21].
Nasze konta, w tym wiadomości e-mail, są też skanowane w celu oferowania nam spersonalizowanych funkcji usług, tj. wyników wyszukiwania, reklam indywidualnych czy wykrywania spamu oraz złośliwego oprogramowania. Oznacza to, że nasza poczta elektroniczna jest skanowana, żeby m.in. jak najlepiej dopasować reklamy do naszych potrzeb.
Jak wynika z powyższego, poczta umiejscowiona na serwerach publicznych nie podlega takim samym prawom, co poczta firmowa, która zabezpiecza przed niepowołanym do niej dostępem osób trzecich. Trzeba jednak pamiętać, że założenie konta na serwerach specjalnie do tego przygotowanych, wyspecjalizowanych w zachowaniu bezpieczeństwa naszego maila to nie wszystko, co musimy zrobić, aby zabezpieczyć naszą pocztę. Ważne jest również stworzenie polityki zarządzania dostępem do poczty, ustalenie częstotliwości zmiany haseł, zasad przekazywania do niej dostępu osobom trzecim oraz ciągłe szkolenia osób, które korzystają z naszych komputerów, poczty firmowej, uzyskują dostęp do naszej sieci. Dopiero dopracowanie tych wszystkich aspektów skutkuje tym, iż nasze dane będą bezpieczne.
Powyższe potwierdza, jak ważne jest posiadanie poczty elektronicznej we własnej domenie. Zapewnia to nam kontrolę nad nią, a w rezultacie bezpieczeństwo informacji przez nią przesyłanych, a tym samym naszym klientom.
 
Backup poczty elektronicznej a jej archiwizacja
Pojęcie backupu i archiwizacji poczty często w Polsce jest stosowane zamienne. Czy są to jednak tożsame pojęcia? Przez backup poczty rozumie się tworzenie kopii bezpieczeństwa danych, które mają służyć do odtworzenia oryginalnych danych w przypadku uszkodzenia dysku pocztowego lub lokalnego. Natomiast poprzez archiwizację poczty rozumie się przechowywanie poczty w znacznie dłuższym czasie niż ma to miejsce przy backupie. Okres ten często wynika z przepisów prawnych obowiązujących w danym państwie. W takim przypadku maile są zabezpieczone przed modyfikacją i kasowaniem, nierzadko zabezpieczone podpisem elektronicznym, aby potwierdzić datę zapisu i niezmienność treści. Zawartość wiadomości jest indeksowana, co pozwala na łatwe i bardzo szybkie wyszukiwanie słów bądź fraz w poczcie za pomocą wyszukiwarki, a dostęp do treści takiej poczty jest możliwy przez przeglądarkę internetową lub wtyczkę klienta pocztowego pozwalającą na odnalezienie poszukiwanych informacji.
A zatem kopia bezpieczeństwa nie jest tym samym co archiwizacja danych. Backup nie stanowi też alternatywy dla archiwizacji danych. Podstawową różnicą jest fakt, że dane kopii zapasowej są przechowywane w miejscach niedostępnych dla użytkowników i odtwarzane jedynie w przypadku awarii, natomiast dane zarchiwizowane są przechowywane w sposób umożliwiający dostęp do nich. Systemy te nie chronią jednak zarchiwizowanych danych przed ich przypadkowym nadpisaniem w sposób niezamierzony lub celowy (dywersja, wandalizm). Właśnie z tego powodu dobrze jest mieć kopię bezpieczeństwa danych sprzed zmian. Niektóre edytory i procesory tekstu wykonują taką kopię automatycznie, aby umożliwić odtworzenie zawartości pliku w razie awarii komputera lub samego programu, a także umożliwić odtworzenie poprzedniej wersji pliku po stwierdzeniu dokonania niepożądanych zmian. W obu przypadkach kopia jest sporządzana automatycznie. W pierwszym wypadku jest wykonywana co pewien czas, a w drugim – podczas zapisu. Taka krótkotrwała kopia jest najczęściej automatycznie nadpisywana przy wykonywaniu następnej kopii.
Mechanizm kopii bezpieczeństwa jest spotykany najczęściej w środowiskach serwerowych, w których przechowywane są dane udostępniane użytkownikom, gdzie regularne i automatyczne tworzenie kopii ważnych danych jest podstawowym mechanizmem ich ochrony. W ustalonych odstępach czasu specjalne oprogramowanie serwera automatycznie tworzy kopie chronionych danych na zewnętrznych nośnikach, tj. płytach CD/DVD lub dyskach twardych. Istnieją również specjalistyczne systemy pozwalające na zdalne wykonywanie kopii bezpieczeństwa, np. przez sieć lokalną lub Internet. Chronione w ten sposób dane są umieszczane na dyskach serwerów często w odległych od siedziby użytkownika systemu centrach przetwarzania danych. Powyższa metoda pozwala skutecznie chronić dane przed większością zdarzeń losowych, takich jak kradzieże sprzętu, pożary lub powodzie[22].
Backup danych, jak i ich archiwizacja, są zatem bardzo ważne dla sprawnego działania kancelarii, gdyż zapobiegają utracie naszych danych. Nie zostawiajmy tego na później, gdyż nigdy nie wiemy, kiedy może nastąpić awaria komputera. Kopię danych możemy robić sami lub zlecić to firmie zewnętrznej. W przypadku zlecenia tworzenia kopii firmie zewnętrznej zawieramy umowę z firmą, która bierze na siebie za to odpowiedzialność, a my często przestajemy sami kopiować dane. Najlepiej jednak jest połączyć oba sposoby w cel uzyskania synergii. Nie tylko więc zewnętrzna firma powinna backupować i archiwizować nasze dane, ale powinniśmy robić to również my. Nie raz na kwartał, miesiąc, ale przy każdej ich zmianie. Szkoda przecież tracić efekty naszej pracy.
 
Poczta elektroniczna na innych urządzeniach mobilnych
Przy aktualnym rozwoju techniki nie można pominąć tego, że dostęp do poczty elektronicznej mamy nie tylko na komputerze stacjonarnym, ale także na urządzeniach mobilnych, jak laptop, tablet lub smartfon. Do tych urządzeń powinny być stosowane takie same standardy bezpieczeństwa jak przy korzystaniu z poczty na komputerze stacjonarnym. W odniesieniu do smartfonów powinniśmy nawet zaostrzyć standardy bezpieczeństwa, a niestety często jest odwrotnie. Poczta na telefonie często bywa niezabezpieczona hasłem, a urządzenie, na którym z niej korzystamy nie ma zainstalowanego programu antywirusowego, a przecież korzystamy z usług różnych dostawców Internetu. Nie zdajemy sobie sprawy, jak łatwo jest utracić dane z tych urządzeń. Wszelkie przechowywane na nich dane powinny być szyfrowane, żeby uniemożliwić dostęp do nich osobom trzecim (np. podczas zgubienia urządzenia) i zachować poufność stanowiącą jeden z atrybutów bezpieczeństwa. Poza tym trzeba podkreślić, że od zabezpieczenia poczty elektronicznej na tych urządzeniach nie zwalania nas używana technologia i zastosowany przez producenta system operacyjny.
 
Podsumowanie
Wśród radców prawnych zauważalny jest wzrost świadomości bezpieczeństwa danych przetwarzanych w sieci, w tym wysyłanych i odbieranych poprzez pocztę elektroniczną. Wpływ na to mają także informacje o podejmowanych próbach wykradzenia danych, w których posiadaniu są profesjonalni pełnomocnicy. Należy pamiętać, że ustanowienie procedur i rozwiązań technicznych bezpieczeństwa nie gwarantuje ich skuteczności raz na zawsze. Jest to bowiem ciągły i nieustający proces oparty na analizie ryzyka i wskazaniu przywództwa (stosowaniu przez kierownictwo wprowadzanych wymogów bezpieczeństwa). Poza ustanowieniem odpowiednich zabezpieczeń i ustaleniem procedur bezpieczeństwa warto też podnosić świadomość bezpieczeństwa użytkowników naszej poczty elektronicznej poprzez regularne szkolenia. Korzystanie z poczty elektronicznej bez zastosowania odpowiednich zabezpieczeń oraz bez podnoszenia świadomości użytkowników naraża nas bowiem na wymierne straty.
 
Magdalena Kupczyk-Czerniawska
radca prawny, mediator OIRP w Warszawie
Dariusz Czerniawski
konsultant ds. cyberbezpieczeństwa (CISA, CISM)
 

[1] Dz. U. z 2016 r. poz. 1030, ze zm.
[2] Dz. Urz. UE L 178 z 8.06.2000, s. 1.
[3] https://pl.wikipedia.org/wiki/Poczta_elektroniczna
[4] Ustawa z dnia 16 lipca 2004 r. – Prawo telekomunikacyjne (Dz. U. z 2016 r. poz. 1489, ze zm.).
[5] Ustawa z dnia 27 lipca 2005 r. – Prawo o szkolnictwie wyższym (Dz. U. z 2016 r. poz. 1842, ze zm.).
[6] Ustawa z dnia 17 listopada 1964 r. – Kodeks postępowania cywilnego (Dz. U. z 2016 r. poz. 1822, ze zm.).
[7] http://geopolityka.net/pojecie-bezpieczenstwa/
[8] https://pl.wikipedia.org/wiki/Bezpieczeństwo.
[9] Dz. U. z 2016 r. poz. 886, ze zm.
[10] Dz. U. z 2015 r. poz. 2139, ze zm.
[11] http://cyberprzestepczosc.pl/2015/mamy-pierwszy-wyciek-danych-z-kancelarii-adwokackiej/
[12] http://cyberprzestepczosc.pl/2015/mamy-pierwszy-wyciek-danych-z-kancelarii-adwokackiej/
[13] Poradnik bezpiecznego korzystania ze środków komunikacji elektronicznej w cyberprzestrzeni przygotowany przez Urząd Komunikacji Elektronicznej (https://uke.gov.pl/files/?id_plik=18438).
[14]http://www.rp.pl/W-kancelariach/311169904-Kolejny-atak-hakerow-na-kancelarie-i-firmy-prawnicze.html#ap-1
[15]http://www.rp.pl/Uslugi-ceny-zarobki/309089937-Adwokatura-ostrzega-przed-kolejnym-atakiem-hakerow.html#ap-1
[16] Kodeks Etyki Radcy Prawnego stanowiący załącznik do uchwały nr 3/2014 Nadzwyczajnego Krajowego Zjazdu Radców Prawnych z dnia 22 listopada 2014 r.
[17] Kodeks Etyki Radcy Prawnego stanowiący załącznik do uchwały nr 5/2007/VIII Krajowego Zjazdu Radców Prawnych z dnia 10 listopada 2007 r.
[18] https://www.wpia.uni.lodz.pl/struktura/centra-naukowe/centrum-ochrony-danych-osobowych/aktualnosci/item/611-ochrona-danych-osobowych-a-wykonywanie-zawodów-prawniczych
[19] https://www.isaca.org/COBIT/Pages/default.aspx
[20] https://pl.wikipedia.org/wiki/Cykl_Deminga
[21] https://privacy.google.com/your-data.html
[22] https://pl.wikipedia.org/wiki/Kopia_bezpieczeństwa

Prawo i praktyka

Przygody Radcy Antoniego

Odwiedź także

Nasze inicjatywy