Patrycja Rojek-Socha: Pandemia przyspiesza informatyzację wymiaru sprawiedliwości. Jak adwokaci i radcy powinni zadbać o cyberbezpieczeństwo? Powinni inwestować w specjalne programy?
Marcin Rojszczak: To, że coś jest specjalne czy dobre nie musi oznaczać, że musi być drogie. Warto o tym pamiętać zwłaszcza w obszarze bezpieczeństwa IT. Na rynku istnieje bardzo dużo narzędzi dedykowanych realizacji wyspecjalizowanych zadań z zakresu cyberbezpieczeństwa, przeznaczonych dla organizacji różnej wielkości ale także o różnych potrzebach w obszarze bezpieczeństwa IT. Z pewnością dzisiaj nie możemy mówić o braku dostępnych technologii.
Czytaj też: RODO w kancelarii prawnej w kontekście polskich regulacji sektorowych >
Natomiast to, co może być problemem to brak czytelnych standardów. Rozmawiając o cyberbezpieczeństwie możemy mówić, że coś jest lepsze, gorsze, bardziej bezpieczne, mniej bezpieczne. Natomiast z perspektywy prawników istotne jest, czy korzystanie z danego produktu zmniejsza ryzyko prowadzenia działalności. A to można ocenić tylko, jeżeli mamy jakiś punkt odniesienia – benchmark definiujący minimalne standardy, pozwalający wskazać, czy dany produkt odpowiada na potrzebę zapewnienia szczególnego reżimu ochrony tajemnicy zawodów prawniczych. Niestety - co trzeba podkreślić – dzisiaj takich standardów właściwie nie ma.
Jak sobie z tym poradzić?
Na dwa sposoby. Pierwszy to wypracowanie takich standardów przez poszczególne samorządy, które w formie zaleceń czy rekomendacji wskażą, jakie zabezpieczenia techniczne powinny stosować kancelarie różnej wielkości. I to jest model promowany np. w wytycznych IBA, ale także CCBE - moim zdaniem najlepszy, ponieważ uwzględniający różnorodność organizacyjną w jakich dzisiaj adwokaci oraz radcowie prawni wykonują swój zawód. Na rynku dominują indywidualne praktyki oraz kancelarie mniejsze, partnerskie. Istnieje jednak coraz liczniejsze grono podmiotów średniej wielkości oraz dużych, posiadających własne zespołu IT. Każda z tych form organizacyjnych wymaga odrębnych standardów, dopasowanych zarówno do ich potrzeb ale i ich możliwości.
Sprawdź też: Bezpieczeństwo poczty elektronicznej a regulacje RODO >
Jeśli kancelaria nie posiada swojego informatyka, nawet na część etatu, to prawdopodobnie sposób organizacji jej pracy ale i zakres stosowanych zabezpieczeń nie jest skomplikowany. Jest jasne, że nie ma sensu wymagać od indywidualnej praktyki tworzenia rozbudowanych polityk bezpieczeństwa, czy budowania skomplikowanych procesów dotyczących zarządzania kopiami zapasowymi czy zarządzania uprawnieniami. Natomiast w kancelariach większych, posiadających własną obsługę IT, procesy przetwarzania danych są na tyle skomplikowane, że potrzebna jest ekspercka wiedza. W takich przypadku stosowane mogą być bardziej zaawansowane modele budowania systemów zarządzania bezpieczeństwem, także oparte na normach międzynarodowych – takich jak ISO 27001.
Czytaj też: Udostępnianie kopii danych – problemy i rozwiązania >
Im większa kancelaria tym więcej obowiązków?
Im większa kancelaria, tym większe potrzeby, ale i wyzwania dotyczące cyberbezpieczeństwa. W indywidualnej praktyce hasła ustala i zmienia jej właściciel. Nie ma sensu zajmować się polityką hasłową, jeżeli stosuje ją jedna osoba. Wraz ze wzrostem skali działania, obszar ten coraz bardziej się komplikuje – w przypadku dużych podmiotów prowadząc do potrzeby wdrażania dedykowanych rozwiązań służących zarządzaniu tożsamością czy dostępami administracyjnymi. Chociaż zatem zarządzanie hasłami to zabezpieczenie istotne z perspektywy indywidualnej praktyki, jak i dużej kancelarii – to w przypadku większych podmiotów prawidłowe zaadresowanie tego problemu będzie bardziej skomplikowane, a przez to i bardziej angażujące organizacyjnie. W efekcie w standardach korporacyjnych należy uwzględnić zarówno bardzo podstawowe zadania typu: zadbaj o to by na stacji roboczej był zainstalowany aktualny program antywirusowy, po zadania procesowe - np. opracuj procedurę zarządzania kopiami zapasowymi, którą poddawaj regularnym testom. Ten drugi rodzaj zadań jest de facto kierowany do większych kancelarii. Przyjęcie takiego modelu pozwoli rozpocząć dyskusję nad standardami cyberbezpieczeństwa w zakresie świadczenia usług prawnych.
Czytaj:
Służbowe skrzynki na adwokackich serwerach mają lepiej chronić klientów>>
Rosati: Nie analogowa a cyfrowa - NRA stawia na zmianę Adwokatury >>
Co w takim razie z konkurencją, to nie będzie ograniczać adwokatów/ radców?
Pamiętajmy, że sam fakt wykonywania określonego zawodu nie oznacza, że w każdym przypadku na prawnika oddziałują te same ryzyka oraz z równą intensywnością. Nie oznacza także, że w każdym przypadku prawnik prowadzący indywidualną praktykę będzie mógł sprostać określonym wyzwaniom na równi z większymi podmiotami. Pamiętajmy, że standardy cyberbezpieczeństwa nie mogą prowadzić do ograniczenia możliwości konkurowania na rynku usług prawnych czy stanowić mechanizmu blokującego możliwość wykonywania zawodu dla kancelarii najmniejszych.
Czytaj też: Tajemnica zawodowa adwokatów i radców prawnych >
Alternatywną koncepcją – niekoniecznie przeciwstawną, bardziej uzupełniającą – jest budowa bezpiecznego środowiska przetwarzania danych przez samorządy. A więc dostarczenie poszczególnych grupom zawodowym - adwokatom czy radcom - platform, czy narzędzi, z których powinni korzystać wykonując określone zadania. Takim najprostszym narzędziem może być narzędzie do telekonferencji. W takim wypadku możliwe byłoby przyjęcie domniemania, że adwokat czy radca prawny korzystający z rozwiązania (platformy) przetestowanej i rekomendowanej przez samorząd spełnia wymagania związane z należytą starannością w zakresie ochrony powierzonych informacji.
Który z tych modeli jest lepszy?
Zacznijmy od tego, że dostarczanie konkretnych produktów technologicznych przez samorządy może być trudne w praktycznej realizacji. Pamiętajmy, że adwokaci i radcy korzystają często z takich narzędzi, jakich oczekują od nich klienci. To nie jest tak, że adwokat może powiedzieć: "nie będę udostępniał plików w takim systemie, bo moje standardy na to nie pozwalają". Musi stać za tym konkretny argument, np. odniesienie do braku zgodności wskazanego produktu z minimalnymi standardami bezpieczeństwa. Ale aby to stwierdzić, najpierw trzeba opracować te standardy. Samorządy muszą być otwarte na potrzeby klientów usług prawnych.
Dlatego nie wydaje mi się, żeby pomysł proponowania narzędzi informatycznych i w ten sposób ujednolicania środowiska IT kancelarii mógł wykluczyć potrzebę opracowania standardów korporacyjnych. Zresztą trzeba pamiętać, że pojawia się wiele uwag w zakresie dostarczania przez korporacje takiego ujednoliconego narzędzia. Niektórzy wskazują, że w ten sposób można łatwo zatracić autonomię tak charakterystyczną dla świadczenia usług prawnych. Przecież wiele osób, wybiera zawód adwokata czy radcy prawnego właśnie dlatego, że chcą być niezależni w swojej pracy, chcą sami decydować w jaki sposób ten zawód wykonują. Z drugiej strony ta swoboda decyzyjna nie może prowadzić do naruszenia fundamentalnych zasad wykonywania zawodu, takich jak ochrona tajemnicy zawodowej.
Czytaj: Radca prawny szybciej dotrze do klienta - szykują się zmiany dotyczące reklamy >>
Czyli najpierw standardy? A czy powinno się je wpisać w kodeks etyki?
Jeśli już o tym mówimy, to warto przypomnieć, że w zasadach etyki adwokatów i radców są regulacje, w oparciu o które standardy tego typu można wprowadzić. Ale pamiętajmy, że wszystkie regulacje wydane przez samorząd nie mają mocy powszechnie obowiązującej i są kierowane wyłącznie do członków poszczególnych samorządów. A jeśli mówimy o świecie cyberbezpieczeństwa, to nie jest to wyłącznie świat działań lub zaniechań adwokatów, czy radców. To jest kwestia działań lub zaniechań podmiotów, które świadczą dla nich usługi – w szczególności dostawców usług cyfrowych, bez których nowoczesna kancelaria nie mogłaby normalnie świadczyć swoich usług.
Cena promocyjna: 114.29 zł
|Cena regularna: 127 zł
|Najniższa cena w ostatnich 30 dniach: zł
A których rekomendacje i zalecenia korporacyjne nie dotyczą.
Właśnie. Oczywiście możemy wymagać od adwokata, że on ma ten standard przenieść na swojego usługodawcę. Zadanie to może być jednak w przypadków wielu Big Techów praktycznie niemożliwe do realizacji. W efekcie istnieje ryzyko stworzenia modelu, w którym radcowie oraz adwokaci powinni zaprzestać korzystania z wiodących usług gigantów technologicznych – z tego powodu, że nie będą mogli zapewnić, aby Google czy Microsoft zadeklarowały przestrzeganie zasad ochrony informacji na poziomie nie niższym niż wprowadzone w regulacjach korporacyjnych. To ryzyko mogłoby być rozwiązana nowelizacją przepisów rangi ustawowej – rozszerzającej obowiązek zachowania tajemnicy na wszystkie podmioty, także na dostawców usług cyfrowych świadczących usługi na rzecz radców i adwokatów.
Czytaj też: Wymogi RODO kierowane do radców prawnych i adwokatów - przegląd obowiązków i wyłączeń >
Jeżeli celem dyskutowanych standardów ma być bardziej skuteczne zabezpieczenie interesów klientów – poprzez wzmocnienie mechanizmów ochrony informacji przetwarzanej elektronicznie - to standardy korporacyjne tego problemu całościowo nie rozwiążą. Pamiętajmy, że już obecnie większość kancelarii korzysta z nowoczesnych usług cyfrowych, za pomocą których przetwarzają dane zawierające tajemnicę zawodową. Umowy zawarte z podmiotami świadczącymi te usługi nie odzwierciedla obowiązków wynikających z regulacji wykonywania zawodu. Często porównuję omawiany problem z reżimem ochronnym dotyczącym dokumentacji medycznej. Charakter obu grup informacji jest podobny: oczekujemy zarówno od lekarza jak i adwokata szczególnej staranności w zakresie ochrony powierzonych informacji. Jednak w przypadku dokumentacji medycznej istnieje regulacja rangi ustawowej, a nie wyłącznie standard samorządowy, nakładający na wszystkie podmioty, które uzyskały dostęp do dokumentacji medycznej obowiązek ochrony tajemnicy – i to w sposób nieograniczony w czasie. W przypadku tajemnicy adwokackiej brak analogicznej regulacji to problem, który od lat pozostaje nierozwiązany.
Rola ministerstwa?
Oceniając zmiany zachodzące w ostatnich latach widzimy, że zmiany wychodzące z Ministerstwa Sprawiedliwości raczej nie wzmacniają pozycji prawnej samorządów, nie tylko prawniczych, ale wszystkich. Słysząc tyrady przedstawicieli rządu dotyczące nadrzędnej roli „interesu publicznego” jako przesłanki zwalniającej z obowiązku dochowania tajemnicy obrończej trudno mieć inne oczekiwania.
Z pewnością rolą ministerstwa jest podejmowanie spójnych działań w zakresie cyberbezpieczeństwa informacji przetwarzanych w sądach i prokuraturach. Od lat słyszymy o różnych pomysłach dotyczących informatyzacji sądów. To już siedem lat gdy od pomysłów nie udało się przejść do czynów. Dlatego myślę, że dopóki procedura cywilna czy karna nadal nie będzie dostrzegała świata komunikacji elektronicznej – rozmowa o cyberbezpieczeństwie może wydawać się co najmniej przedwczesna. Oczywiście, jeżeli postrzegamy ochronę informacji jako proces, który przenika przez różne podmioty i różne podmioty odpowiadają finalnie za przepływ informacji, to poziom cyberświadomości w sądach nie może być bagatelizowany. Byłbym jednak daleki od prostego porównania, że jeżeli sądy nie zostaną zinformatyzowane to adwokaci czy radcowie nie muszą podnosić standardów ochrony informacji. Potrzeba ustanowienia takich standardów jest niezależna od aktualnego stanu „informatyzacji” sądów.
Pojawił się też taki pomysł - w przypadku adwokatów - żeby skrzynki pocztowe, gromadzenie informacji następowało poprzez serwery samorządowe, tak by się uniezależnić od serwerów państwowych. To z kolei miałoby być szansą na większe uniezależnienie. Czy to dobry kierunek?
Wiemy, że takie rozwiązanie stosowane jest np. w Niemczech – a obowiązek stosowania z takiej „korporacyjnej” skrzynki pocztowej wynika z przepisów rangi ustawowej. Jest to kwestia przyjętej strategii regulacyjnej. Możemy też opisać standardy i wtedy adwokaci czy radcowie będą posiadali swobodę w zakresie wyboru narzędzi. W takim ujęciu to prawnik będzie finalnie odpowiedzialny za ochronę powierzonych mu informacji zgodnie ze zdefiniowanymi standardami. Ale ten model może być połączony z zarekomendowaniem pewnego narzędzia, np. dostarczonego przez samorząd. W takim wypadku adwokat miałby wybór: może wybrać produkt zapewniony przez samorząd lub inny, wybrany przez siebie – ale w takim przypadku będzie musiał również zadbać o dochowanie ustanowionych standardów cyberbezpieczeństwa. Taki hybrydowy model wydaje się najbardziej dostosowany do zróżnicowanych potrzeb środowiska.
Czy samorządy prawnicze powinny opracować jednolite rekomendacje?
Docelowo: tak. To jednak pewien proces, który może wymagać czasu. I delikatny obszar, dotyczący tego jak poszczególne samorządy chcą prowadzić dialog dotyczący kwestii cybebezpieczeństwa w obszarze swojego środowiska, ale także jak definiują swoją rolę w tym zakresie.
-------------------------------------------------------------------------------------------------------------------
Linki w tekście artykułu mogą odsyłać bezpośrednio do odpowiednich dokumentów w programie LEX. Aby móc przeglądać te dokumenty, konieczne jest zalogowanie się do programu. Dostęp do treści dokumentów w programie LEX jest zależny od posiadanych licencji.