W piątek 23 czerwca 2017 r. (jak to zwykle bywa z atakami hackerów) w mediach społecznościowych pojawiła się informacja o nowym ataku hakerów, skierowanym przeciwko kancelariom prawnym. Już o 20:06:49 na stronach GIODO pojawiła się komunikat Uwaga na fałszywe wiadomości o kontroli GIODO! W tym kontekście zapraszam do lektury artykułu z dnia 22 marca 2017 r. autorstwa Kanrada Mazura (konradmazur.pl) autora interesującej strony cyberprzestepczosc.pl
Autor: Konrad Mazur
Ostatnie dwa lata z punktu widzenia cyberbezpieczeństwa można określić jako czas dość szczególny dla sektora kancelarii adwokackich i radcowskich działających w Polsce. Czas ten mógł zostać wykorzystany do tego, by podmioty te – wykonujące zawody zaufania publicznego – skorzystały z dobrej okazji by na poważnie potraktować zagadnienie związane z zapewnianiem cyberbezpieczeństwa nie tyle sobie samym, co przede wszystkim swoim klientom. Niestety czas ten został zmarnowany. Jak obecnie wygląda rynkowe podejście kancelarii prawnych do tego zagadnienia? Jakie są możliwe dalsze konsekwencje aktualnych zaniechań? I dlaczego ostatnie dwa lata należy uznać za zmarnowane? To zarówno tezy jak i konkretne pytania, które wymagają konkretnych odpowiedzi. Odpowiedzi te są ważne nie tyle z punktu widzenia kancelarii, ale przede wszystkim podmiotów – zwłaszcza dużych i publicznych – działających na rynkach audytu, zarządzania ryzykiem czy instytucji finansowych.
POLOWANIE ROZPOCZĘTE
W sierpniu 2015 roku uruchomiona została pierwsza kampania cyberataków kierowanych bezpośrednio w kancelarie radcowskie i adwokackie1. Kampania ta była wydarzeniem bez precedensu. Żadne wcześniejsze działania cyberprzestępców nie były ukierunkowywane ściśle w tą konkretną grupę. Zapewne wcześniej przeprowadzane ataki obejmowały również podmioty będące kancelariami, bo te mieściły się w szerszych kryteriach grup docelowych (np. podmiotów korzystających z usług konkretnych banków). Bez wątpienia jednak dopiero działania polegające na w infekowaniu urządzeń wykorzystywanych przez adwokatów i radców prawnych mogło pozwolić osiągnąć najbardziej spektakularny efekt – w postaci przejęcia ogromnej ilości danych, nie tyle dotyczących samych adwokatów czy radców, ale przede wszystkim ich klientów. Jest bowiem oczywistym, iż osoby wykonujące te konkretne zawody zaufania publicznego charakteryzuje wysoki współczynnik prawdopodobieństwa posiadania informacji o charakterze poufnym, często mających charakter tajemnicy – czy to zawodowej, czy po prostu tajemnicy przedsiębiorstwa.
PIERWSZY UJAWNIONY WYCIEK
Poziom zaawansowania technicznego jak i socjotechnicznego przeprowadzonej kampanii został powszechnie uznany za dobry2, nie był jednak szczególnie wyrafinowany na tle znanych chociażby modeli ataków typu APT3. Pierwsze skuteczne ataki na kancelarie prawne eksperci datują na 17 sierpnia 2015 r4. Poza jednym wyjątkiem – ich efekty nie zostały ujawnione. Jest to raczej naturalna wypadkowa dwóch możliwych scenariuszy rozwoju zdarzeń – cyberprzestępcy pozyskali niskiej jakości dane lub też ich żądania zostały zaspokojone w zamian za milczenie. Kwestii tych prawdopodobnie nigdy jednoznacznie nie wyjaśnimy, ale skoro znane są przypadki w których nawet organy ścigania są skłonne do opłacenia okupu żądanego przez cyberprzestępców5, to trudno wykluczyć, że przyparty do ściany adwokat lub radca prawny nie spełnił żądania cyberprzestępców. Tym bardziej, że stawką (przynajmniej w ocenie ofiary) może być nawet nie tylko utrata uprawnień do dalszego wykonywania zawodu – ale nie bójmy się tego powiedzieć – możliwa do poniesienia odpowiedzialność karna.
Wspomniany wyjątek polegał na skutecznym ataku wymierzonym w jedną z największych kancelarii adwokackich w Polsce6. Hakerzy zażądali 500 tys. € w zamian za niepublikowanie danych (wskazując, że to równowartość dwumiesięcznego obrotu tej kancelarii) lecz niestety nie spotkali się z żądną odpowiedzią ze strony wspólników, z którymi się kontaktowali7. Hakerzy mając pełny wgląd w systemy informatyczne kancelarii obserwowali jedynie bierność, z którą wspólnicy podchodzą do incydentu i ignorowanie informacji, iż padli oni ofiarą hakerów. W skutek pasywnej komunikacji atakujący zdecydowali się ujawnić na darknetowym forum ToRepublic przykładową paczkę danych, która spowodowała, że po raz pierwszy publicznie potwierdzono fakt włamania do polskiej kancelarii adwokackiej.
HISTORIA STAŁĄ SIĘ LEGENDĄ, LEGENDA STAŁA SIĘ MITEM. ZAPOMNIANO O CYBERBEZPIECZEŃSTWIE
Media bardzo szybko podchwyciły fakt włamania do kancelarii, podając w ślad za serwisem Zaufana Trzecia Strona ujawnione przez hakerów szczegóły związane z krytycznymi niedostatkami w zakresie zabezpieczeń kancelarii oraz treści wykradzionych danych. Jak wskazał trafnie K. Bojarski8 obserwatorzy mogli w czasie rzeczywistym dostrzec tzw. chilling effect9 . Polegał on na tym, iż bardzo szybko, poczynając od pierwszego artykułu opublikowanego na Zaufanej Trzeciej Stronie, poprzez inne – jak choćby artykuł z Gazety Prawnej – informacje prasowe znikały „ze względu na charakter sprawy” lub radykalnie zmieniały swoją treść. Chilling efect przyniósł rezultat w postaci medialnej ciszy dotyczącej włamania oraz żywionego po dziś dzień przekonania przez część prawników, iż atak na kancelarię tak naprawdę nie miał miejsca, a pojawiające się w internecie informacje są jedynie spekulacjami. Przekonanie to obejmuje nie tylko prawników, ale też i klientów samego podmiotu, których dane stałe się przedmiotem wycieku10. Ostatecznie jednak, kancelaria, która padła ofiarą wycieku wyznaczyła nagrodę w wysokości 100 tys. zł za wskazanie osób, które dokonały włamania do jej zasobów informatycznych potwierdzając w ten sposób, iż doszło do incydentu11.
Z bieżącego punktu widzenia, można ocenić iż opisane wydarzenia – bez wątpienia precedensowe – były doskonałą okazją do podjęcia merytorycznej dyskusji nad poziomem cyberbezpieczeństwa w całym sektorze kancelarii adwokackich i radcowskich w Polsce. Spotkały się one z reakcją Naczelnej Rady Adwokackiej, która ograniczyła się do podjęcia uchwały nr 91/2015 w dniu 8 września 2015 r12. Ponadto, Naczelna Rada Adwokacka dwukrotnie opublikowała komunikaty, które miały ostrzegać członków samorządu przed atakami hakerów13. Podobnego rodzaju komunikat 28 sierpnia 2016 r. wystosowała Okręgowa Izba Radców Prawnych w Warszawie14, czego niestety nie można powiedzieć już o Krajowej Izbie Radców Prawnych. Autor nie odnotował innych reakcji jednostek organizacyjnych działających w Polsce samorządów adwokackiego i radców prawnych.
BRUTALNA RZECZYWISTOŚĆ POLSKICH KANCELARII
Według badań zrealizowanych przez Centrum Ochrony Danych Osobowych i Zarządzania Informacją Uniwersytetu Łódzkiego zaledwie 30% radców i adwokatów wdrożyło podstawowe rozwiązania mające na celu ochronę danych osobowych – czyli dokumentację ochrony danych osobowych15. Podkreślić należy, iż mówimy o osobach wykonujących zawody zaufania publicznego, do których bez wątpienia możemy zaliczyć zarówno zawód adwokata jak i radcy prawnego16. Od przedstawicieli tych profesji nie tylko przepisy ale i społeczeństwo oczekuje realizacji usług charakteryzujących się dbałością w stopniu wyższym niż wymagany od innych profesjonalistów świadczących nawet tożsame usługi, lecz nie wykonujących tych konkretnych zawodów.
Statystyka ta wydaje się być szczególnie druzgocząca w zestawieniu z szeregiem zjawisk, których przejawy możemy odnotować obserwując postępowanie Naczelnej Rady Adwokackiej jak i Krajowej Izby Radców Prawnych. Instytucje te zostały powołane w celu dbania, aby osoby wykonujące profesje adwokatów lub radców prawnych realizowały określony poziom standardów. Przejawia się to m.in. w prowadzeniu postępowań dyscyplinarnych związanych z naruszeniem tajemnic powierzanych przez klientów.
KIEDYŚ SZYLDY I SZAFY, DZIŚ SERWERY I DOMENY
Wskazane samorządy zawodowe w przypadku naruszenia tajemnicy zawodowej są stanowcze. Znane są przypadki, w których prawnicy zostają ukarani przez swoich kolegów z sądu dyscyplinarnego za naruszenie tajemnicy. To oczywiście wstydliwa i nieprzyjemna sytuacja, ale pokazuje powagę problemu. Osoba łamiąca przepisy korporacyjne może się liczyć nie tylko z ukaraniem dyscyplinarnym w postaci nagany, ale wręcz z możliwością utraty prawa do wykonywania zawodu czy sprawowania patronatu nad aplikantami. Samorządy dbają także o szereg ważnych z punktu widzenia prowadzenia kancelarii aspektów – np. posiadanie tabliczki z imieniem, nazwiskiem i dopiskiem „adwokat” na budynku, w którym mieści się kancelaria, posiadanie zamykanych na klucz szaf, rzetelnie prowadzonej dokumentacji klientów oraz rzetelnego sposobu rozliczania się i pobierania wynagrodzenia od klientów. Warto mieć na uwadze, że dzisiaj obieg informacji wygląda zupełnie inaczej niż jeszcze 20 lat temu. Praktycznie każdy typ informacji można w sposób poufny przekazać bez bezpośredniego kontaktu w sposób błyskawiczny. Niestety wykorzystanie zdobyczy techniki w postaci różnorakich protokołów komunikacyjnych niesie za sobą nowe zagrożenia. Tak jak kiedyś zagrożeniem była możliwość utraty kontroli nad dokumentacją przechowywaną w kancelarii, tak też dzisiaj zagrożeniem może być utrata kontroli nad informacją przechowywaną elektronicznie (choćby na skrzynce e-mailowej).
Samorząd adwokacki od dawna wymaga tego, by adwokat mógł wywiesić wspominany już szyld na zewnątrz budynku w którym ma siedzibę kancelarii. Działanie takie jest niczym innym, jak naocznym znakiem, że prawnik ten posiada jakiś rodzaj prawa do korzystania z siedziby kancelarii i dzięki temu zapewnia, że nikt nie naruszy dokumentów złożonych przez klienta w tym miejscu. W dzisiejszych czasach takim znakiem dla nas – obywateli społeczeństwa informacyjnego – powinno być choćby posiadanie poczty elektronicznej we własnej domenie. Innym słowy – mniej widocznym tego typu znakiem – powinno być posiadanie takich praw do serwera wykorzystywanego w pracy kancelarii, które zagwarantują, iż nikt niepowołany nie uzyskana dostępu do poufnych informacji i tajemnic.
BRUTALNA RZECZYWISTOŚĆ POLSKICH KANCELARII
Jak wskazują przywołane badania zapewnianie cyberbezpieczeństwa klientom, nie jest niestety egzekwowane przez wspomniane samorządy. Pobieżna eksploracja list adwokatów wykonujących zawód, które są publicznie udostępniane na stronach internetowych Okręgowych Rad Adwokackich nie pozostawia złudzeń17. Na porządku dziennym, adwokaci deklarują iż wykorzystują pocztę dostarczaną w ramach usług świadczonych dla typowych konsumentów. Bez trudu znaleźć można adresy w domenach @gmail.com, @o2.pl, @wp.pl czy innych. W przypadku analogicznych list publikowanych przez Okręgowe Izby Radców Prawnych mamy do czynienia z dokładnie taką samą sytuacją. Fakt, iż regulaminy wykorzystywanych przez prawników usług bardzo często zabraniają używania ich do celów komercyjnych nadaje sprawie dodatkowego niesmaku, gdyż świadczy o jawnym nieprzestrzeganiu zobowiązań prywatnoprawnych osób wykonujących zawody zaufania publicznego.
Wskazać należy także, iż Naczelna Rada Adwokacka udostępnia możliwość założenia konta poczty elektronicznej w domenie @adwokatura.pl18, lecz niestety nie zajmuje stanowiska w zakresie dotyczącym podstawowych aspektów zapewniania cyberbezpieczeństwa obowiązujących każdego przedsiębiorcę (w tym adwokata) – chociażby wynikających z ustawy o ochronie danych osobowych. Skoro Naczelna Rada Adwokacka za właściwe uznała uregulowanie w drodze regulaminu sposobu udostępniania aliasów kont pocztowych funkcjonujących w domenie @adwokatura.pl, to wydaje się zasadnym, by w tym samym regulaminie – przykładowo w jego części VI wskazać, iż elementem obligatoryjnym dla każdego adwokata byłoby zawarcia umowy powierzenia przetwarzania danych osobowych. Niestety w tym zakresie akt ten milczy. Wskazać należy, iż oferowana usługa daje możliwość zawarcia umowy powierzenia przetwarzania z dostawcą tejże usługi, lecz umowa ta wydaje się nie realizować podstawowych essentialia negotii wskazywanych przez art. 31 ustawy o ochronie danych osobowych ze względu na błędną i blankietową konstrukcję zakresu powierzonych do przetwarzania danych osobowych19. Wydaje się, iż proponowanie przez Naczelną Radę Adwokacką członkom Palestry rozwiązania, które w sposób wątpliwy zapewnia zgodność w zakresie jednej z podstawowych instytucji jaką jest art. 31 ustawy o ochronie danych osobowych – budzi uzasadnione wątpliwości. Sytuację tę można potraktować jako przesłankę wskazującą, iż ten samorząd zawodowy nie zastosował systemowego podejścia do zagadnień związanych z ochroną danych osobowych, a co za tym idzie ochroną danych w cyberprzestrzeni realizowaną przez zrzeszone w nim osoby.
Z kolei samorząd zawodowy radców prawnych kwestie udostępniania poczty elektronicznej zrzeszonym w jego szeregach członkom zdaje się pozastawiać inicjatywie poszczególnych Okręgowych Izb Radców Prawnych. Przykładowo Okręgowa Izba Radców Prawnych w Warszawie w swoich zaleceniach dotyczących konfiguracji klientów kont pocztowych wskazuje wprost, iż konta pocztowe wykorzystywane w domenie @oirpwarszawa.pl – w przypadku jej obsługi za pośrednictwem klientów pocztowych (np. Outlook) powinny działać „bez szyfrowania SSL” oraz z wyłączoną opcją „Wymagaj logowania przy użyciu bezpiecznego uwierzytelniania hasła”20. Fakt ten wskazuje, iż drugi z omawianych w artykule samorządów również nie wykazuje systemowego podejścia do zagadnienia ochrony danych (nie tylko osobowych) i tajemnic w cyberprzestrzeni.
Jak więc naocznie możemy się przekonać, samorządy zawodowe skupiające osoby wykonujące zawody zaufania publicznego nie przejawiają jakiegokolwiek spójnego podejścia do problematyki cyberbezpieczeństwa obejmującego nawet podstawowy poziom. Samorządy zdają się ignorować również fakt, iż osoby w nich skupione powszechnie korzystają z konsumenckich rozwiązań, które po prostu nie spełniają jasno określonych wymogów prawnych (choćby wynikających z ustawy o ochronie danych osobowych).
PŁACZ I ZGRZYTANIE ZĘBÓW
Mająca miejsce w 2015 r. i tragiczna w skutkach kampania hakerska, zapowiedziane na początku 2016 roku przez Generalnego Inspektora Ochrony Danych Osobowych kontrole kancelarii prawnych21 w świetle aktualnego stanu faktycznego trudno ocenić jako motory napędowe jakichkolwiek zmian w omawianym sektorze. Warto w tym miejscu jednocześnie wskazać, iż począwszy od 18 listopada 2016 r. na stronach internetowych poszczególnych Okręgowych Rad Adwokackich pojawiał się komunikat22 informujący, iż Naczelna Rada Adwokacka pozyskała informacje na temat rozpoczęcia przez Generalnego Inspektora Ochrony Danych Osobowych w konkretnych kancelariach kontroli w zakresie przestrzegania ustawy o ochronie danych osobowych. Kontrole te mają w sposób szczególny uwzględniać m.in. korzystanie z kont poczty elektronicznej. Szczególnie ciekawe w tym kontekście brzmi zawarte w komunikacie stwierdzenie: w interesie całej adwokatury leży niedopuszczenie do tego, by stało się ostatecznie się w toku instancji ewentualnie niekorzystne orzeczenie GIODO. NRA jako organizacja społeczna stojąca na straży interesów adwokatury przygotowana jest do podjęcia działań, tak aby nie ukształtowała się negatywna dla adwokatów linia orzecznicza w tej materii (pisownia oryginalna). Komunikat ten można zatem odczytywać jako wskazujący, iż Naczelna Rada Adwokacka jest świadoma możliwości wystąpienia uchybień w toku kontroli przeprowadzanej przez Generalnego Inspektora Ochrony Danych Osobowych. Co więcej, Naczelna Rada Adwokacka wydaje się być zdania, iż jej działania pozwolą zapobiec ukształtowaniu negatywnej dla adwokatów linii orzeczniczej. Trudno jednak zrozumieć, do jakiego celu Naczelna Rada Adwokacka zmierza przez to oświadczenie. Mając jednak na względzie powszechnie akceptowalną wykładnię art. 12 pkt 2 i 3 oraz 22 ustawy o ochronie danych osobowych23 – być może chodzi tutaj o wykorzystanie samopomocy w ramach samorządu, który będzie chciał skorzystać z art. 7 § 3 ustawy o postępowaniu egzekucyjnym w administracji oraz instytucji wniosku o ponowne rozpatrzenie sprawy bądź instancji odwoławczych, które w tym czasie pozwolą dostosować się kontrolowanej kancelarii do obowiązujących wymogów prawnych. Postawa taką ma jednak charakter reakcjonistyczny, obliczoną na zwalczanie skutków w postaci zastrzeżeń organu kontrolującego kancelarię co do zastanego stanu faktycznego. Nie sposób znaleźć w niej próbę konstrukcyjnego, systemowego i proaktywnego rozwiązania problemu.
JAK ZWERYFIKOWAĆ, CZY KANCELARIA SPEŁNIA PODSTAWOWE STANDARDY?
Warto zastanowić się w jaki sposób podmioty będące klientami kancelarii prawnych powinny podchodzić do tego niezwykle istotnego i – jak pokazała proza życia codziennego – lekceważonego nawet przez największe kancelarie prawne w Polsce – problemu.
Warto zadać sobie szereg pytań, na które powinniśmy poszukiwać odpowiedzi. Co jeszcze musi się stać, by samorządy przebudziły się z letargu, w którym się znajdują i zdały sobie sprawę, że ich członkowie funkcjonują już w społeczeństwach aspirujących do miana informacyjnych, w których standardy cyberbezpieczeństwa określają jasne ramy prawne? Czy administratorem kont poczty elektronicznej w domenie adwokatura.pl powinien być adwokat – jak deklaruje się to m.in. w przywoływanych już komunikatach? Czy nie byłoby posunięciem bardziej efektywnym, by adwokatura powierzyła tego typu zadania osobom zajmującym się w sposób wyłącznie zawodowy obsługą systemów informatycznych (oczywiście odpowiednio zabezpieczając się prawnie)? Być może czas odejść od chałupnictwa i sprofesjonalizować obsługę systemów informatycznych i związane z nimi kwestie ochrony danych i tajemnic przez przedstawicieli świata prawników. Możemy znaleźć inne sektory w naszej gospodarce, które skutecznie dostosowują się do tych samych wymogów (np. prawa ochrony danych osobowych). Poza tym nie zapominajmy o najważniejszym – wykonywanie zawodu zaufania publicznego – zwłaszcza zawodów prawniczych – po prostu zobowiązuje do dochowania chociażby należytego poziomu staranności. Naruszanie norm prawa ochrony danych osobowych wyłamuje się z tego wymogu.
Wszystkie opisane w tym artykule wydarzenia nie wpłynęły znacząco na sam rynek usług prawniczych świadczonych przez największe kancelarie w Polsce. Jak zauważyli niezależni eksperci zajmujący się m.in. wywiadem gospodarczym czy cyberbezpieczeńśtwem24 tak ważne zadanie jak doradztwo w strategicznym dla interesów państwa polskiego przetargu zbrojeniowym jest powierzane kancelarii prawnej, która jeszcze 4 miesiące wcześniej nie była w stanie zadbać o bezpieczeństwo własnych e-maili i systemów informatycznych25. Trudno ocenić, czy okres 4 miesięcy – zakładając nawet wdrożenie rozwiązań realizujących wyłącznie podstawowe wymogi jedynie z zakresu prawa ochrony danych osobowych – jest wystarczający by poprawnie je wdrożyć, przeszkolić w sposób prawidłowy pracowników podmiotu o tak złożonej strukturze oraz przeprowadzić rzetelny audytu oceniający poprawność wdrożenia.
Ustawa o ochronie danych osobowych w obecnym kształcie – za wyjątkiem wynikającym z art. 43 ust. 1 pkt 5) – (zwolnienie z obowiązku rejestracji zbiorów danych osobowych dotyczących osób korzystających z obsługi adwokackiej, radcy prawnego) w żaden sposób jednak nie różnicuje obowiązków osób wykonujących wskazane zawody od osób, które po prostu wykonywaną przez siebie działalność jako usługi prawnicze26. Kancelarie prawne, będące administratorami danych osobowych, są zobowiązane na mocy tej ustawy do przestrzegania między innymi zasad szczególnej staranności przetwarzając dane osobowe (art. 26) czy należytego zabezpieczenia danych (art. 36). Kancelarie są również na mocy art. 31 ustawy zobowiązane do zawierania na piśmie umów powierzenia przetwarzania danych osobowych nie tylko ze swoimi podwykonawcami, ale również z klientami jeśli pełnią względem nich funkcję procesora podmiotu przetwarzającego. Spełnianie wyżej wymienionych – tylko przykładowych – obowiązków prawnych wyklucza takie sytuacje jak posiadanie poczty elektronicznej, do której możliwy (a nawet zalecany!) jest dostęp nieszyfrowanym kanałem komunikacji nie wspominając o wykorzystywaniu rozwiązań dedykowanych rynkowi konsumenckiemu.
W 2017 roku stosowanie szyfrowania w przypadku procesu uwierzytelniania jak i korzystania z poczty e-mail porównać można do noszenia kasku przez personel na placu budowy. Owszem – praca bez tych rozwiązań jest możliwa. Co więcej, bez większych zakłóceń może ona przy pewnej dozie szczęścia trwać wiele lat. Nie potrzeba jednak szczególnie rozbudowanej wyobraźni, by zrozumieć jak niebezpieczna może być jej codzienne wykonywanie bez tak podstawowego wyposażenia (w środki techniczne i organizacyjne) zarówno w przypadku prawników jak i pracowników sektora budowlanego.
Czy istnieje jakaś szansa na zamianę? Jak powinni zachowywać się klienci kancelarii wobec wszechogarniającej ignorancji prawników? Wydaje się, iż dobrym punktem wyjścia jest weryfikacja czy kancelaria w zaoferowanej do zawarcia umowie o obsługę prawną posiada jakiekolwiek zobowiązania zawiązane z zapewnieniem ochrony danych osobowych. Ogólnikowe i bardzo popularnym w praktyce stwierdzenia, iż standardy wynikające z prawa o adwokaturze konsumują np. wymogi ustawy o ochronie danych osobowych nie znajdują uzasadnienia normatywnego. Innym rozwiązaniem jest zaproponowanie zobowiązanie kancelarii do poddania się kontroli w zakresie zgodności z przepisami prawa ochrony danych osobowych, które w przypadku wykazania niezgodności, będą skutkowały dotkliwymi karami finansowymi. Kancelarie – tak jak każdy administrator danych osobowych – są zobowiązane do przestrzegania m.in. obowiązków wynikających z art. 26 i art. 36-39. W przypadku powierzenia przetwarzania danych osobowych kancelarii –– zawarcie zapisów powierzenia przetwarzania zgodnych z art. 31 ustawy.
Innym rozwiązaniem, z której mogą skorzystać zwłaszcza posiadający słabszą pozycję prawną konsumenci – jest prośba o wykazanie, iż posiadane przez kancelarię ubezpieczenie OC obejmuje dodatkowo ryzyka związane z cyberatakami lub straty związane z uchybieniem przepisom prawa ochrony danych osobowych. Można, oczekiwać, że działający na rynku ubezpieczyciele nie zawrą bowiem umowy ubezpieczenia od tego typu ryzyka bez uprzedniej weryfikacji czy podmiot ubezpieczany faktycznie spełnia określony poziom standardów.
W świetle przedstawionych wydarzeń, postawy samych prawników jak i skupiających ich samorządów wydaje się, że oddolne wskazanie roli cyberbezpieczeństwa jako istotnego dla osób chcących chronić swoje dane lub tajemnice jest postulatem niezbędnym. Jak bowiem zostało wykazane, nawet publikowanie „danych zhakowanych” kancelarii, nie są w stanie zmienić podejścia sektora do tego problemu.
- Więcej zob. K. Mazur, Polscy hakerzy zabrali się za kancelarie prawne, 25 sierpnia 2015 r., dostępne w sieci web pod adresem: http://cyberprzestepczosc.pl/2015/polscy-hakerzy-zabrali-sie-za-kancelarie-prawne/ [ostatni dostęp 29.06.2017r.]
- Zob. Ł. Siewierski, SmokeLoader jako wtyczka Microsoft Office, 27 sierpnia 2015 r., dostępne w sieci web pod adresem: https://www.cert.pl/smoke-loader-jako-wtyczka-microsoft-office/
[Data publikacji: 27/08/2015, Łukasz Siewierski, ostatni dostęp 29.06.2017r.] - Więcej o tym typie ataku, K. Mazur, Advanced PersistentThreats (APT), 19 marca 2014 r., dostępne w sieci web pod adresem: http://cyberprzestepczosc.pl/2014/advanced-persistent-threats-apt/ [ostatni dostęp 29.06.2017r.]
- Zob. Zaufana Trzecia Strona, Uwaga na nowy, sprytny atak na polskich internautów, 25 sierpnia 2015 r., dostępne w sieci web pod adresem: https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-sprytny-atak-na-polskich-internautow/ [ostatni dostęp 29.06.2017r.]
- Chociażby tak S. Khandelwal, US police departmentpays $750 Ransom to retrievetheirfiles from CryptoLockerMalware, 22 listopada 2013 r., dostępne w sieci web pod adresem: http://thehackernews.com/2013/11/us-police-department-pays-750-ransom-to.html [ostatni dostęp 29.06.2017r.]
- Więcej informacji K. Mazur, Mamy pierwszy wyciek danych z kancelarii adwokackiej, 4 września 2015 r., dostępne w sieci web pod adresem: http://cyberprzestepczosc.pl/2015/mamy-pierwszy-wyciek-danych-z-kancelarii-adwokackiej/ [ostatni dostęp 29.06.2017r.]
- Ogromny wyciek danych dużej polskiej kancelarii skutkiem niedawnych ataków, 3 września 2015 r., tekst był dostępny do dnia 4 września 2015 r, w sieci webpod adresem: https://zaufanatrzeciastrona.pl/post/ogromny-wyciek-danych-duzej-polskiej-kancelarii-skutkiem-niedawnych-atakow/ [ostatni dostęp 29.06.2017r.]
- K. Bojarski, O włamaniu do kancelarii prawnej, 7 września 2015 r., dostępne w sieci web pod adresem: https://lawsec.net/2015/09/07/o-wlamaniu-do-kancelarii-prawnej/ [ostatni dostęp 29.06.2017r.]
- Więcej o tym jak działa to zjawisko w M. L. Rustand, Global Internet Law, West Academic Publishing, Saint Paul 2016, s. 781.
- Zob. dyskusję klientów, dostępna w sieci web pod adresem: http://millennium.arkis.pl/2015/09/04/atak-hakerski-na-kancelarie-dtw/comment-page-1/ [ostatni dostęp 29.06.2017r.]
- Zob. Wiesz kto włamał się do kancelarii? 100 000 PLN nagrody czeka, 7 września 2015 r., dostępne w sieci web pod adresem: https://zaufanatrzeciastrona.pl/post/wiesz-kto-wlamal-sie-kancelarii-100-000-pln-nagrody-czeka/ [ostatni dostęp 29.06.2017r.]
- Uchwała dostępna w sieci web pod adresem: http://www.adwokatura.pl/admin/wgrane_pliki/file-uchwala-nr-912015-12472.pdf [ostatni dostęp 29.06.2017r.]
- Komunikat z dnia 8 września 2016 r. dostępny w sieci web pod adresem: http://www.adwokatura.pl/z-zycia-nra/nra-ostrzega-przed-atakiem-hakerow/ oraz komunikat z dnia 13 października 2015 r. dostępny w sieci web pod adresem: http://www.adwokatura.pl/z-zycia-nra/kolejne-ataki-poprzez-emaile-ostrzezenie [ostatni dostęp 29.06.2017r.]
- Komunikat dostępny w sieci web pod adresem: https://www.oirpwarszawa.pl/atak-hakerow-na-kancelarie-prawnicze-w-polsce/ [ostatni dostęp 29.06.2017r.]
- Więcej o tych badaniach w artykule z dnia 10 kwietnia 2014 r. „Ochrona danych osobowych a wykonywanie zawodów prawniczych” zob. na stronie Centrum dostępnej w sieci web pod adresem: https://www.wpia.uni.lodz.pl/struktura/centra-naukowe/centrum-ochrony-danych-osobowych-i-zarzadzania-informacja/aktualnosci/ochrona-danych-osobowych-a-wykonywanie-zawodow-prawniczych.html [ostatni dostęp 29.06.2017r.]
- Jedną z głównych przesłanek wskazania zawodu zaufania publicznego jest – zgodnie z art. 17 Konstytucji Rzeczypospolitej Polskiej z 2 kwietnia 1997 r. – możliwość tworzenia samorządów zawodowych, które zarówno dla osób wykonujących zawód adwokata jak i radcy prawnego zostały powołane.
- Zobacz przykładowo lista adwokatów wykonujących zawód na obszarze właściwości Wielkopolskiej Izby Adwokackiej, dostępna w sieci web pod adresem: http://www.rada-adwokacka.poznan.pl/wykonuj%C4%85cy-8-19.html [ostatni dostęp 29.06.2017r.]
- Regulamin usługi w postaci uchwały nr 3/2014 Naczelnej Rady Adwokackiej z dnia 15 stycznia 2014 r. dostępny jest w sieci web pod adresem http://www.nra.pl/dokumenty/UCHWALA_Nr_3-2014.pdf [ostatni dostęp 29.06.2017r.]
- Wzór oferowanej do zawarcia umowy jest dostępny w sieci webpod adresem: https://pomoc.home.pl/baza-wiedzy/umowa-na-hosting-wirtualny-z-zapisami-giodo/ [ostatni dostęp 29.06.2017r.]
- Zob. Konfiguracja klientów pocztowych, dostępne w sieci web pod adresem: https://www.oirpwarszawa.pl/konfiguracja-klientow-pocztowych/ (informacja datowana 4 lipca 2014 16:25) [ostatni dostęp 29.06.2017r.]
- Zob. K. Mazur, GIODO zapowiada kontrole kancelarii prawnych, 4 lutego 2016 r., dostępne w sieci web pod adresem: http://cyberprzestepczosc.pl/2016/giodo-zapowiada-kontrole-kancelarii-prawnych/ [ostatni dostęp 29.06.2017r.]
- Zob. choćby komunikat 18 listopada Okręgowej Rady Adwokackiej we Wrocławiu, dostępny w sieci web pod adresem: http://www.ora.wroc.pl/komunikat-2/ [ostatni dostęp 29.06.2017r.] czy komunikat z 2 grudnia 2016 r. Izby Adwokackiej w Opolu, dostępny w sieci web pod adresem: http://adwokatura.opole.pl/?p=2161 [ostatni dostęp 29.06.2017r.]
- Tak choćby J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, Warszawa 2011, ss. 396-409 i 443, czy P. Barta, P. Litwiński, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2015, ss. 148-159 i 202.
- Zob. dyskusję na Twitterze, dostępne w sieci web pod adresem: https://twitter.com/michalhola/status/703944210161004544 [ostatni dostęp 29.06.2017r.]
- Zob. DRZEWIECKI TOMASZEK advises PZL Świdnik (Polishsubsidiary of FinmecanicaHelicopters) in the courtcase with the value of 3 billion Euro on closing the tender proceedingsconcerningsupply of helicopters for Polisharmychoćby, styczeń 2016 r., dostępne w sieci web pod adresem: http://www.dt.com.pl/index.php?mod=aktualnosci&r=2016&lang=en [ostatni dostęp 29.06.2017r.]
- Deklarując rodzaj wykonywanej działalności w odpowiednim rejestrze jako obejmujący kod PKD 69.10.Z