Zawód – adwokat

Kancelarie prawne w obliczu cyberzagrożeń. Jak powinny się przed nimi zabezpieczać?

&lt![CDATA[

Kancelarie prawne są atrakcyjnym obiektem dla cyberprzestępców. Każdego dnia przetwarzają one duże ilości danych osobowych,
akt prowadzonych spraw, protokołów, dokumentacji finansowych. Informacje te
bardzo często są niejawne, objęte tajemnicą przedsiębiorstwa lub innymi
przepisami, które obligują do zachowania tajemnicy – jak choćby tajemnica
adwokacka. W kontekście cyberzagrożeń, kancelarie stoją przed ogromnym
wyzwaniem, jakim jest obowiązek właściwego zabezpieczenia danych.

Podmioty te nieustannie narażone są na
cyberataki i idące za nimi poważne straty finansowe oraz wizerunkowe.
Zaniechanie odpowiednich wdrożeń na gruncie proceduralnym i technologicznym, w
połączeniu z chwilą nieuwagi, może na długi czas sparaliżować pracę kancelarii
lub – w najgorszym wypadku – doprowadzić do jej upadku.

 

Trudno jest przewidzieć wszystkie możliwe
scenariusze, aby zapewnić odpowiednie postępowanie wobec ryzyka. Należy jednak
przyjrzeć się badaniom dotyczącym cyberzagrożeń, aby zminimalizować kluczowe z
nich i spełnić obowiązek względem osób, których dane są przetwarzane przez
podmiot. Niezwykle istotne jest bezpieczeństwo organizacyjne, a o jego
przestrzeganie należy zadbać poprzez szkolenia kadr czy ujednolicony kodeks i
standardy postępowania.

Ponadto istotną rolę odgrywa także zaplecze
techniczne, którego zadaniem jest uszczelnianie procedur, a tym samym
minimalizowanie ryzyka wystąpienia incydentu bezpieczeństwa. Z perspektywy
kancelarii prawnych jest to szczególnie ważne: paragraf 19 w punkcie 5. Zbioru
Zasad Etyki Adwokackiej i Godności Zawodu mówi: “Adwokat posługujący się w pracy zawodowej komputerem lub innymi
środkami elektronicznego utrwalania danych obowiązany jest stosować
oprogramowanie i inne środki zabezpieczające dane przed ich niepowołanym
ujawnieniem”.

Jednym ze sposobów jest uwierzytelnienie
wielopoziomowe (2FA), czyli mechanizm pozwalający wykorzystać jeszcze jeden
element uwierzytelnienia, oprócz loginu i hasła. Może być nim np. certyfikat
wgrany na autoryzowany komputer, telefon lub brelok z przyciskiem
wyświetlającym losowy ciąg cyfr wymagany do wpisania w czasie logowania. Jest
to wyrazem wysokiej dbałości o bezpieczeństwo dostępu do danych.

Zdecydowanie najpopularniejszą formą ochrony
przedsiębiorstwa jest zastosowanie urządzenia typu UTM. Zapory sieciowe
pozwalają na zabezpieczenie komunikacji wszystkich komputerów, serwerów,
urządzeń mobilnych w sieci firmowej, zarówno na płaszczyźnie cyberzagrożeń,
niebezpiecznych stron i portali, korzystania z chmur publicznych czy
prywatnych, oraz przekazywania dokumentów poufnych lub tajemnicy
przedsiębiorstwa. W tym miejscu często wykorzystywane jest uwierzytelnienie
wielopoziomowe, w szczególności gdy użytkownik spoza bezpieczniej sieci sięga
do jej zasobów zdalnie.

Uważaj
na złośliwe maile

Raport Verizon
Data Breach Investigations Report z 2018 roku wskazuje, że 96 proc.
cyberataków pochodzi z kampanii phishingowych, a niemal połowa prowadzi do
infekcji złośliwym oprogramowaniem. Wystarczy jeden mail, pozornie podobny do
setek innych i załącznik, którego pobranie skutkować może zainfekowaniem
komputera, a w konsekwencji utratą poufnych danych, nierzadko o dużej wartości. 

– Korespondencja
e-mail towarzyszy nam codziennie, co zwiększa ryzyko popełnienia błędu. Z uwagi
na nasilone użytkowanie oraz możliwość łatwego rozesłania setek tysięcy
wiadomości, ten problem zdaje się być bardzo duży. Administrator danych
powinien oszacować oraz ocenić, czy zastosowane środki minimalizują ryzyko
– mówi Artur Madejski, Product Manager w Dziale Systemów Sieciowych w firmie
Veracomp.

Właściwe zabezpieczenie korespondencji
mailowej pozwala znacznie zniwelować ryzyko cyberataków. By tego dokonać, warto
postawić na rozwiązanie, które 
kompleksowo odpowie na każdy rodzaj ryzyka wynikający z użytkowania
elektronicznej skrzynki pocztowej.

– Ochrona
korespondencji e-mail, wykorzystująca mechanizmy DLP, znakowanie dokumentów
zawierających dane osobowe, czy polityka weryfikacji wysyłania wiadomości do
wielu odbiorców – to cechy rozwiązań takich jak FortiMail, które oprócz
standardowych mechanizmów wykrywania wirusów, spamu jak również wiadomości
podszywających się (phisingowych), zwiększy bezpieczeństwo każdego
przedsiębiorstwa i pozwoli wykazać dbałość o bezpieczeństwo danych swoich
klientów. Co ciekawe, FortiMail zintegrować można również z usługą  Office 365 – rekomenduje Artur Madejski.

Problematyczne zdaje się być już samo
przekazywanie poufnych danych osobowych za pomocą korespondencji e-mail.
Oczywiście załączniki czy treść można zaszyfrować hasłem, ale w jakiś sposób
trzeba również przekazać samo hasło. Wspomniany przez eksperta FortiMail
odpowiada na ten problem za pomocą funkcji Identity Based Encryption, która
dostarcza wiadomość do odbiorcy w sposób całkowicie zaszyfrowany.  W treści tematu wystarczy wpisać zdefiniowaną
frazę lub określić inne okoliczności (np. specyficzny załącznik, słowo-klucz w treści
e-mail), aby cały mail został przesłany z wykorzystaniem IBE. – To bardzo profesjonalne podejście
szczególnie w kontaktach z klientami kancelarii prawnych, szczególnie dlatego,
że IBE wymaga założenia bezpiecznego, zautoryzowanego konta dla klienta
bezpośrednio na urządzeniu – zauważa Artur Madejski.

Aby minimalizować ryzyko infekcji w ramach
nowej kampanii phishingowej czy nowej strony z cyberzagrożeniami, wysyłanej w
linku za pośrednictwem komunikatora internetowego, warto również zwrócić uwagę
na takie funkcjonalności jak Virus Outbreak Protection, które za pomocą usługi
FortiGuard wymieniają się danymi dotyczącymi nowych, nieznanych dotąd plików.
Może to być nowy wzór dokumentu, aplikacja niepodpisana cyfrowo przez autora,
czy faktura PDF. Pliki te, wysłane do FortiGuard, przechodzą przez szereg
weryfikacji, m.in. przez Sandbox, czyli system, który weryfikuje w różnych
środowiskach działanie pliku, upewniając się, czy nie stanowi zagrożenia, zanim
ostatecznie trafi do odbiorcy. Nowo rozpoznane zagrożenia niezwłocznie zasilają
bazę usługi Virus Outbreak, a ta od razu blokuje je na pozostałych urządzeniach
od Fortinet wykorzystywanych na świecie.

Bezpieczeństwo
danych w obliczu regulacji prawnych

Kolejnym wyzwaniem dla kancelarii prawnych
jest właściwe zabezpieczenie danych w kontekście obowiązków wynikających z
rozporządzenia o ochronie danych osobowych (RODO). Przepisy, które weszły w
życie w maju 2018 roku, obligują administratorów tych danych do zachowania
szczególnej staranności przy ich zabezpieczaniu., a ta staranność powinna być
dopasowana do zakresu przetwarzania, celu, a także powinna uwzględniać ryzyko
naruszenia praw i wolności osób fizycznych.

Biorąc pod uwagę charakter działalności prowadzonej
przez kancelarie, ryzyko naruszenia jest bardzo wysokie. W tym przypadku mowa
tu o takich incydentach jak włamanie do systemu informatycznego, które skutkuje
wyciekiem danych osobowych. Ponadto obowiązkiem kancelarii jest zgłoszenie
każdego takiego zdarzenia do Urzędu Ochrony Danych Osobowych.

Naruszenie przepisów, spowodowane brakiem
zapewnienia odpowiednich środków technicznych, może nieść za sobą poważne
skutki – górna granica kar została określona na poziomie 20 mln euro lub 4
proc. rocznego obrotu. Użytkownicy rzadko mają możliwość, bez korzystania z
kosztownych testów, dokonania oceny skuteczności takich narzędzi. Alternatywą
jest wybór  rozwiązań, które już zostały
poddane  testom w niezależnych
laboratoriach, jak np. NSS Labs. W przypadku gdy kancelaria nie podjęła
podstawowych kroków w celu zapewnienia bezpieczeństwa danych, kara będzie wręcz
nieunikniona.

Jak się
chronić i uniknąć zmartwień?

Rosnące wymagania dotyczące ochrony danych
osobowych sprawiają przedsiębiorstwom sporo trudności. Istotną kwestią jest nie
tylko wybór właściwych rozwiązań, które zapewnią wielowarstwowe bezpieczeństwo,
ale równie ważna jest wiedza dotycząca tego, jak należy z nich korzystać. Wbrew
pozorom nie trzeba  w tym celu zatrudniać
wykwalifikowanego personelu IT.

Coraz więcej producentów z obszaru
cyberbezpieczeństwa dostrzega potrzebę wsparcia swoich klientów w tym zakresie,
nie zawsze jednak posiadają oni polskojęzycznych ekspertów.  Jednym z prekursorów tego typu świadczeń w
rodzimym języku jest Veracomp, dystrybutor z wartością dodaną, który oferuje
usługę HEZO Assistance. W praktyce oznacza to, że jeśli kancelaria prawna
wybierze rozwiązanie ze wsparciem HEZO, specjaliści pomogą w skonfigurowaniu
sprzętu pod środowisko, w którym będzie użytkowany, dokonają aktualizacji
ustawień i dostosują je do dynamicznie zmieniających się potrzeb, a także będą
dostępni w przypadku problemów czy awarii.

]]
Source: Gazeta prawna

Powered by WordPress | Designed by Elegant Themes