Ochrona danych: kancelarie prawnicze bywają najsłabszym ogniwem

Co trzecia firma prawnicza deklaruje, że w ciągu ostatniego roku była na celowniku cyberataku.

Publikacja: 11.04.2023 02:05

Ochrona danych: kancelarie prawnicze bywają najsłabszym ogniwem

Foto: Adobe Stock

Według raportu „LegalTech 2023”, ogłoszonego na konferencji pod patronatem „Rzeczpospolitej”, z próbami cyberataku spotkało się 33 proc. badanych. To najwyższy odsetek od czterech lat. Niektóry przestępcy specjalizują się w atakach na firmy prawnicze.

Najczęściej (57 proc.) był to tzw. phishing (czyli podszywanie się przez przestępców pod inną osobę bądź instytucje w celu wyłudzenia danych, haseł dostępu czy pieniędzy). Na drugim miejscu znalazło się rozsyłanie złośliwego oprogramowania (malware) oraz ataki DDOS (atak z setek tysięcy komputerów przejętych zdalnie, w wyniku którego pada serwer np. strony kancelarii).

Czytaj więcej

Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych

Dane osobowe

Jakub Groszkowski: UODO bierze pod lupę przetwarzanie danych przez aplikacje

Postęp związany ze sztuczną inteligencją musi odbywać się z uwzględnieniem zasad określonych w RODO – mówi Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych.

Podatni na zagrożenie

– Kancelarie prawne powinny zwrócić szczególną uwagę na cyberzagrożenia – mówi adw. Przemysław Barchan, dyrektor Instytutu LegalTech przy Naczelnej Radzie Adwokackiej. – Mogą bowiem być bardziej niż ich klienci podatne na potencjalne ataki cyberprzestępców, stając się najsłabszym ogniwem systemu bezpieczeństwa informacji klienta.

Dotyczy to szczególnie kancelarii obsługujących podmioty z sektorów regulowanych: firmy te mają liczne obowiązki w zakresie cyberbezpieczeństwa. A kancelarie, poza ogólnym obowiązkiem zachowania tajemnicy zawodowej, nie muszą spełniać żadnych wymagań w zakresie cyberbezpieczeństwa, jak np. podmioty z rynku finansowego. W wielu jednak przypadkach sytuacja może się odwrócić i to kancelaria będzie lepiej zabezpieczona niż klient.

– Najbardziej podatne na ataki są najmniejsze kancelarie, jako że są najsłabiej chronione – mimo że rzadziej padają ofiarą takich ataków – mówi radca prawny Artur Piechocki. – Wynika to przypuszczalnie z mniejszej atrakcyjności dla cyberprzestępców zasobów posiadanych przez mniejsze kancelarie – dodaje.

Potwierdzają to dane z raportu. Wśród kancelarii zatrudniających cztery i więcej osób, obiektem ataku była ponad połowa (53 proc.), podczas gdy w przypadku jednoosobowych działalności prawniczych odsetek ten wynosi 24 proc. Jednocześnie aż 63 proc. z tych kancelarii korzysta z obsługi informatycznej tylko doraźnie (m.in. w przypadku cyberataku). Ogólnie odsetek ten wynosi 38 proc. Z kolei większe firmy prawnicze, co zrozumiałe, częściej korzystają z własnych zasobów kadrowych w tej kwestii (36 proc.).

Warto zgłaszać sprawę

Wspomniany phishing kolportowany bywa przez pocztę e-mail czy SMS-y. Może wyglądać np. jak wiadomość od potencjalnego czy nawet znanego klienta. Nowym trendem jest rozsyłanie takich linków przez social media (np. Facebook czy LinkedIn.)

– Sam padłem ofiarą próby takiego ataku – przyznaje mecenas Barchan. – Po kilku dniach od zagranicznej konferencji dostałem wiadomość od rzekomego jej uczestnika z prośbą o spotkanie w celu omówienia potencjalnej współpracy. Nadawca przesłał mi podejrzanie wyglądający link do aplikacji rezerwacji terminu spotkania. Na moją prośbę o zmianę formy komunikacji zaprzestał dalszego kontaktu. Dlatego zalecam wszystkim zwracanie szczególnej uwagi na otrzymywane linki, tym bardziej jeśli pochodzą od nieznanych nam nadawców – podkreśla.

Uzyskanie dostępu do systemu kancelarii to dopiero wstęp do właściwego ataku. Może on przybierać różne formy – najpopularniejszym jest ransomware – czyli oprogramowanie szyfrujące dostęp do danych – zostanie on przywrócony, jeśli ofiara zapłaci. Coraz częściej jednak przestępcy kopiują także dane ofiary w celu wyłudzenia okupu za powstrzymanie się przed ich upublicznieniem.

Artur Piechocki wskazuje że jeżeli już padło się ofiarą ataku, należy rozważyć sposób komunikacji – z klientem, jak i pracownikami. Lepiej poinformować klientów o ataku i podjętych środkach przeciwdziałania – bo zatajanie takich wiadomości może przynieść większe szkody niż sam atak.

– Klient może po swojej stronie podjąć środki zaradcze. Podstawą jest też zgłoszenie ataku organom ścigania – tłumaczy ekspert.

Niestety, wielu prawników tego nie robi, czy to z obawy o wizerunek kancelarii czy z przekonania, że sprawcy i tak pozostaną nieuchwytni. A to nieprawda – często da się namierzyć i ukarać przestępców.

OPINIA DLA „RZECZPOSPOLITEJ”

Jakub Groszkowski, zastępca prezesa Urzędu Ochrony Danych Osobowych

W ubiegłym roku do Urzędu Ochrony Danych Osobowych wpłynęło prawie 13 tys. zgłoszeń naruszeń ochrony danych osobowych. To prawie o 80 proc. więcej niż np. dwa lata wcześniej. Urząd nie prowadzi jednak dokładnych statystyk zgłaszanych naruszeń z podziałem na ich rodzaje czy metody cyberataku.

UODO odnotowuje, że przyspieszenie cyfryzacji, której głównym czynnikiem była pandemia koronawirusa, sprzyja aktywności cyberprzestępców. Mając na uwadze, jak ważne jest przetwarzanie danych osobowych, także przez samorządy prawnicze, oraz wyzwania, z jakimi w tym kontekście samorządy się mierzą, Urząd Ochrony Danych Osobowych podpisał 5 kwietnia porozumienie o współpracy z Krajową Izbą Radców Prawnych. Strony zobowiązały się do uczestniczenia w projektach związanych z ochroną danych osobowych (m.in. działalność edukacyjna, promocyjna, wydawnicza, organizacyjna np. w postaci przeprowadzania kongresów, seminariów, kursów i szkoleń).

IT Bezpieczeństwo IT Dane Osobowe Kancelarie Prawnicze Hakerzy

Podatki

Jak ojciec pójdzie do banku, to darowizna będzie zwolniona z podatku

Darowizna od rodzica nie musi być przelana z rachunku na rachunek. Może ją wpłacić na konto dziecka w banku. I ulga nie przepadnie.

Materiał Promocyjny

Z kartą Simplicity można zyskać nawet 1100 zł, w tym do 500 zł już przed świętami

Eksperci od handlu wskazują, że coraz popularniejszy wśród konsumentów w Polsce staje się trend kupowania z odroczonymi płatnościami.

Podatki

Podatkowa ulga dla frankowiczów jeszcze przez dwa lata

Umorzona przez bank część kredytu frankowego jest przychodem kredytobiorcy. Ale nie trzeba płacić od niego podatku. I nadal tak będzie, przynajmniej do końca 2026 r.

Edukacja i wychowanie

Ferie zimowe 2025 później niż zazwyczaj. Oto terminy dla wszystkich województw

Za nami dopiero pierwsze tygodnie nowego roku szkolnego 2024/2025. Wielu uczniów i rodziców myśli już jednak o odpoczynku od nauki. Warto w związku z tym sprawdzić, jakie są terminy ferii zimowych 2025 dla poszczególnych województw.

Przewodniczący komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii Bartłomiej Pejo (Konfed

Prawo w Polsce

Firma nie ukryje stosowania AI? Związkowcy triumfują, biznes się niepokoi

Pracodawcy mają informować związkowców o stosowanych systemach sztucznej inteligencji. Biznes się obawia, że wyciekną tajemnice przedsiębiorstw.

Materiał Promocyjny

Strategia T-Mobile Polska zakładająca budowę sieci o najlepszej jakości przynosi efekty

Mobilna Sieć T-Mobile w Polsce w 2024 roku została uznana za najlepszą pod względem prędkości i niezawodności przez międzynarodową firmę Ookla.

Rondo należy traktować jako "zwykłe" skrzyżowanie - stwierdził w uzasadnieniu sąd.

Prawo drogowe

Jak używać kierunkowskazu na rondzie? Jest nowy wyrok sądu

Wojewódzki Sąd Administracyjny w Krakowie rozstrzygnął kwestię, która od wielu lat wzbudza duże wątpliwości wśród kierowców. Chodzi o używanie kierunkowskazu podczas wjeżdżania, przejeżdżania i zjeżdżania z ronda.

Materiał Promocyjny

Nowy Lexus LBX. Od 790 zł netto/mc w Najmie KINTO ONE. Doskonały rocznik i rata.

Przepisy o Krajowym Systemie Cyberbezpieczeństwa drenują budżety firm – obowiązki wynikające z ustaw

Biznes musi znaleźć potężne pieniądze na cyberbezpieczeństwo. Nowe przepisy unijne

Firmom brakuje funduszy, by spełnić wymogi unijnej dyrektywy NIS 2. Ci, którzy zdają sobie sprawę z nowych regulacji, próbują łatać dziury w budżecie.

Biznes

Podcast „Twój Biznes”: Nowa strategia cyfryzacji – priorytety rządu pod ostrzałem ekspertów

Jest poniedziałek, 4 listopada, a w najnowszym odcinku „Twój Biznes” Bartłomiej Kawałek omawia kluczowe informacje z rynku gospodarczego.

Zwolniony pracownik Disneya miał włamać się do serwerów firmy

Biznes

Były pracownik Disneya włamał się do systemu firmy. To miała być zemsta

Zwolniony pracownik Disneya miał włamać się do serwerów firmy, aby zmienić jej restauracyjne menu, w tym fałszować informacje o alergenach i umieszczać w nim wulgarne przekleństwa.

Głównym zastosowaniem generatywnej AI jest przetwarzanie dużej ilości szczegółowych informacji w pro

Raporty ekonomiczne

Jak AI wyręcza prawników? "W ciągu 5 lat przychody wyższe o 30 proc."

Nowa technologia jest w stanie wykonywać wiele rutynowych zadań, ale nie zmniejszy zapotrzebowania na wykwalifikowanych prawników. Ich rola będzie jednak ewoluować w kierunku analitycznych, strategicznych oraz zarządczych funkcji.

Dane osobowe

Sąd nakazał prokuraturze zająć się wyciekiem z Pandabuy

Sąd Rejonowy dla Warszawy-Śródmieścia uznał, że prokuratura musi zająć się sprawą zawiadomienia Prezesa UODO dotyczącego podejrzenia popełnienia przestępstwa przez sprawców publikacji danych polskich klientów platformy sprzedażowej pandabuy.com.

Opinie Prawne

Bałagan w cmentarnych danych. Jak się w nich połapać?

Kolejni zarządcy nekropolii inwestują w strony internetowe, zawierające mapy i wykazy pochowanych. Warto więc wiedzieć, gdzie szukać.

Samorząd i administracja

Rząd daje urzędom dodatkowy rok na dostosowanie się do e-Doręczeń

Elektroniczne doręczenia zostaną uruchomione zgodnie z planem na początku przyszłego roku. Jednak aż do 31 grudnia 2025 r. potrwa okres przejściowy, w którym podmioty publiczne będą mogły dostosowywać się do nowych zasad.