Ochrona danych: kancelarie prawnicze bywają najsłabszym ogniwem

Co trzecia firma prawnicza deklaruje, że w ciągu ostatniego roku była na celowniku cyberataku.

Publikacja: 11.04.2023 02:05

Ochrona danych: kancelarie prawnicze bywają najsłabszym ogniwem

Foto: Adobe Stock

Według raportu „LegalTech 2023”, ogłoszonego na konferencji pod patronatem „Rzeczpospolitej”, z próbami cyberataku spotkało się 33 proc. badanych. To najwyższy odsetek od czterech lat. Niektóry przestępcy specjalizują się w atakach na firmy prawnicze.

Najczęściej (57 proc.) był to tzw. phishing (czyli podszywanie się przez przestępców pod inną osobę bądź instytucje w celu wyłudzenia danych, haseł dostępu czy pieniędzy). Na drugim miejscu znalazło się rozsyłanie złośliwego oprogramowania (malware) oraz ataki DDOS (atak z setek tysięcy komputerów przejętych zdalnie, w wyniku którego pada serwer np. strony kancelarii).

Czytaj więcej

Jakub Groszkowski: UODO bierze pod lupę przetwarzanie danych przez aplikacje

Podatni na zagrożenie

– Kancelarie prawne powinny zwrócić szczególną uwagę na cyberzagrożenia – mówi adw. Przemysław Barchan, dyrektor Instytutu LegalTech przy Naczelnej Radzie Adwokackiej. – Mogą bowiem być bardziej niż ich klienci podatne na potencjalne ataki cyberprzestępców, stając się najsłabszym ogniwem systemu bezpieczeństwa informacji klienta.

Dotyczy to szczególnie kancelarii obsługujących podmioty z sektorów regulowanych: firmy te mają liczne obowiązki w zakresie cyberbezpieczeństwa. A kancelarie, poza ogólnym obowiązkiem zachowania tajemnicy zawodowej, nie muszą spełniać żadnych wymagań w zakresie cyberbezpieczeństwa, jak np. podmioty z rynku finansowego. W wielu jednak przypadkach sytuacja może się odwrócić i to kancelaria będzie lepiej zabezpieczona niż klient.

– Najbardziej podatne na ataki są najmniejsze kancelarie, jako że są najsłabiej chronione – mimo że rzadziej padają ofiarą takich ataków – mówi radca prawny Artur Piechocki. – Wynika to przypuszczalnie z mniejszej atrakcyjności dla cyberprzestępców zasobów posiadanych przez mniejsze kancelarie – dodaje.

Potwierdzają to dane z raportu. Wśród kancelarii zatrudniających cztery i więcej osób, obiektem ataku była ponad połowa (53 proc.), podczas gdy w przypadku jednoosobowych działalności prawniczych odsetek ten wynosi 24 proc. Jednocześnie aż 63 proc. z tych kancelarii korzysta z obsługi informatycznej tylko doraźnie (m.in. w przypadku cyberataku). Ogólnie odsetek ten wynosi 38 proc. Z kolei większe firmy prawnicze, co zrozumiałe, częściej korzystają z własnych zasobów kadrowych w tej kwestii (36 proc.).

Warto zgłaszać sprawę

Wspomniany phishing kolportowany bywa przez pocztę e-mail czy SMS-y. Może wyglądać np. jak wiadomość od potencjalnego czy nawet znanego klienta. Nowym trendem jest rozsyłanie takich linków przez social media (np. Facebook czy LinkedIn.)

– Sam padłem ofiarą próby takiego ataku – przyznaje mecenas Barchan. – Po kilku dniach od zagranicznej konferencji dostałem wiadomość od rzekomego jej uczestnika z prośbą o spotkanie w  celu omówienia potencjalnej współpracy. Nadawca przesłał mi podejrzanie wyglądający link do aplikacji rezerwacji terminu spotkania. Na moją prośbę o zmianę formy komunikacji zaprzestał dalszego kontaktu. Dlatego zalecam wszystkim zwracanie szczególnej uwagi na otrzymywane linki, tym bardziej jeśli pochodzą od nieznanych nam nadawców – podkreśla.

Uzyskanie dostępu do systemu kancelarii to dopiero wstęp do właściwego ataku. Może on przybierać różne formy – najpopularniejszym jest ransomware – czyli oprogramowanie szyfrujące dostęp do danych – zostanie on przywrócony, jeśli ofiara zapłaci. Coraz częściej jednak przestępcy kopiują także dane ofiary w celu wyłudzenia okupu za powstrzymanie się przed ich upublicznieniem.

Artur Piechocki wskazuje że jeżeli już padło się ofiarą ataku, należy rozważyć sposób komunikacji – z klientem, jak i pracownikami. Lepiej poinformować klientów o ataku i podjętych środkach przeciwdziałania – bo zatajanie takich wiadomości może przynieść większe szkody niż sam atak.

– Klient może po swojej stronie podjąć środki zaradcze. Podstawą jest też zgłoszenie ataku organom ścigania – tłumaczy ekspert.

Niestety, wielu prawników tego nie robi, czy to z obawy o wizerunek kancelarii czy z przekonania, że sprawcy i tak pozostaną nieuchwytni. A to nieprawda – często da się namierzyć i ukarać przestępców.

OPINIA DLA „RZECZPOSPOLITEJ”
Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych

W ubiegłym roku do Urzędu Ochrony Danych Osobowych wpłynęło prawie 13 tys. zgłoszeń naruszeń ochrony danych osobowych. To prawie o 80 proc. więcej niż np. dwa lata wcześniej. Urząd nie prowadzi jednak dokładnych statystyk zgłaszanych naruszeń z podziałem na ich rodzaje czy metody cyberataku.

UODO odnotowuje, że przyspieszenie cyfryzacji, której głównym czynnikiem była pandemia koronawirusa, sprzyja aktywności cyberprzestępców. Mając na uwadze, jak ważne jest przetwarzanie danych osobowych, także przez samorządy prawnicze, oraz wyzwania, z jakimi w tym kontekście samorządy się mierzą, Urząd Ochrony Danych Osobowych podpisał 5 kwietnia porozumienie o współpracy z Krajową Izbą Radców Prawnych. Strony zobowiązały się do uczestniczenia w projektach związanych z ochroną danych osobowych (m.in. działalność edukacyjna, promocyjna, wydawnicza, organizacyjna np. w postaci przeprowadzania kongresów, seminariów, kursów i szkoleń).


Podatki
Jak ojciec pójdzie do banku, to darowizna będzie zwolniona z podatku
Materiał Promocyjny
Z kartą Simplicity można zyskać nawet 1100 zł, w tym do 500 zł już przed świętami
Podatki
Podatkowa ulga dla frankowiczów jeszcze przez dwa lata
Edukacja i wychowanie
Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw
Prawo w Polsce
Firma nie ukryje stosowania AI? Związkowcy triumfują, biznes się niepokoi
Materiał Promocyjny
Strategia T-Mobile Polska zakładająca budowę sieci o najlepszej jakości przynosi efekty
Prawo drogowe
Jak używać kierunkowskazu na rondzie? Jest nowy wyrok sądu