Mamy pierwszy wyciek danych z kancelarii adwokackiej

przez

Jak poda­ła wczo­raj Zaufa­na Trze­cia Stro­na na naj­więk­szym obec­nie pol­skim forum dark­ne­to­wym zosta­ła opu­bli­ko­wa­ne pacz­ka z dany­mi pocho­dzą­cy­mi z ser­we­ra jed­nej z naj­więk­szych pol­skich kan­ce­la­rii adwo­kac­kich (ory­gi­nal­ny wpis został nie­ste­ty usu­nię­ty przez Z3S​.pl „ze wzglę­du na cha­rak­ter spra­wy”). Pacz­ka ta jest pokło­siem ostat­niej kam­pa­nii ata­ków wymie­rzo­nej w pol­skie kan­ce­la­rie praw­ne, o któ­rej pisa­łem w zeszłym tygo­dniu. Sytu­acja nie­wąt­pli­wie jest ewe­ne­men­tem a i jej prze­bieg będzie sta­no­wił pre­ce­dens dla pol­skich kan­ce­la­rii. W pierw­szych komen­ta­rzach inter­nau­tów na temat wycie­ku poja­wia się jed­no zasad­ni­cze pyta­nie – czy kan­ce­la­ria i praw­ni­cy odpo­wia­da­ją za takie wycie­ki, czy też nie? Chciał­bym dziś udzie­lić odpo­wie­dzi na to pyta­nie, podzie­lić się z Tobą moimi kil­ko­ma prze­my­śle­nia­mi w tym zakre­sie i powie­dzieć co myślę o całej zaist­nia­łej sytuacji.

Na czym dokładnie polegał atak?

To co opi­sa­ła Zaufa­na Trze­cia Stro­na jako sku­tek ata­ku odpo­wia­da moż­li­wo­ścią opro­gra­mo­wa­nia z opi­sy­wa­nej prze­ze mnie ostat­nio kam­pa­nii wymie­rzo­nej w kan­ce­la­rie praw­newie­my to na pod­sta­wie ana­li­zy ata­ku wyko­na­nej przez CERT Pol­ska. Skra­ca­jąc to co pisze CERT – dzia­ła­nie opro­gra­mo­wa­nia na kom­pu­te­rze prawnika-ofiary zosta­ło ziden­ty­fi­ko­wa­ne jako prze­kie­ro­wy­wa­nie roz­wią­zań adre­sów dome­no­wych albo wykra­da­nie danych z kom­pu­te­ra ofia­ry. Nie­co mniej tech­nicz­nie: pierw­sza z moż­li­wo­ści opro­gra­mo­wa­nia pozwa­la pod­mie­niać odwie­dza­ne stro­ny www na spre­pa­ro­wa­ne (np. w celu doko­na­nia kra­dzie­ży haseł i logi­nów – kla­sycz­ny phi­shing). Kon­se­kwen­cje dru­gie­go dzia­ła­nia, czy­li moż­li­wo­ści pobra­nia danych z kom­pu­te­ra chy­ba nie wyma­ga­ją komen­ta­rza. Co cie­ka­we, w toku ata­ku sama wtycz­ka Micro­so­ftu rze­czy­wi­ście się insta­lo­wa­ła, a zło­śli­we opro­gra­mo­wa­nie (kon­kret­nie Smo­ke Loader) po pro­stu insta­lo­wa­ło się „na doczep­kę”. Nie trud­no więc się domy­ślić, iż dla użyt­kow­ni­ków o niskim pozio­mie tech­nicz­nej świa­do­mo­ści domi­nu­ją­cych wśród praw­ni­ków, taki trik bar­dzo sku­tecz­nie usy­piał czuj­ność. Jest to nic wię­cej, niż kla­sycz­ny atak socjo­tech­nicz­ny, z wyko­rzy­sta­niem zna­ne­go już i z pew­no­ścią zaku­pio­ne­go na czar­nym ryn­ku zło­śli­we­go oprogramowania.

Według rela­cji ser­wi­su Zaufa­na Trze­cia Stro­na, w opi­sa­nym przez nich przy­pad­ku doszło do:

  • prze­ję­cie kon­tro­li nad całą infra­struk­tu­rą IT (panel zarządzania),
  • wła­my­wacz uzy­skał dostęp do zawar­to­ści skrzy­nek e‑mail,
  • wła­my­wacz uzy­skał dostęp akt spraw pro­wa­dzo­nych dla Klientów,
  • wła­my­wacz uzy­skał dostęp do pry­wat­nych danych prawników.

Nie­ste­ty oba­wiam się, iż opi­sa­ne przez Zaufa­ną Trze­cią Stro­nę wyda­rze­nie może być pierw­szym z fali wie­lu, któ­re nastą­pią po opi­sy­wa­nej nie­daw­no kam­pa­nii cyber­prze­stęp­ców wymie­rzo­nej w kan­ce­la­rie praw­ne. W dal­szej czę­ści dzi­siej­sze­go wpi­su chciał­bym zasta­no­wić się nad moż­li­wy­mi kon­se­kwen­cja­mi oraz poten­cjal­ny­mi płasz­czy­zna­mi odpo­wie­dzial­no­ści w tego typu wypad­kach, gdy nastę­pu­je wyciek danych osobowych.

Kto może ponieść odpowiedzialność za wyciek z punktu widzenia prawa?

W przy­pad­ku tego typu wycie­ków danych poja­wia­ją się co naj­mniej 4 płasz­czy­zny odpo­wie­dzial­no­sci praw­nej, któ­re nale­ży rozważyć:

  1. cywil­ną (wobec klien­tów, któ­rych dane wyciekły)
  2. admi­ni­stra­cyj­ną (wobec np. GIODO)
  3. kar­ną
  4. dys­cy­pli­nar­ną

Jed­nym z czę­stych argu­men­tów, któ­re prze­ja­wia­ją się w komen­ta­rzach, jest pró­ba moż­li­wo­ści „zrzu­ce­nia” odpo­wie­dzial­no­ści na fir­mę świad­czą­cą usłu­gi IT. Takie posta­wie­nie spra­wy nie jest do koń­ca popraw­ne. Owszem – fir­ma świad­czą­ca obsłu­gę IT będzie pono­si­ła odpo­wie­dzial­ność, lecz głów­nie wzglę­dem poszko­do­wa­nej wycie­kiem kan­ce­la­rii – wszyst­ko zale­ży od tego jak wyglą­da­ła umo­wa o świad­cze­nie usług i kil­ka innych zmien­nych. Nie­mniej na zewnątrz – w sto­sun­ku do osób, któ­rych dane wycie­kły a pro­wa­dzo­ne spra­wy zosta­ły w ten spo­sób nara­żo­ne na szwank – odpo­wie­dzial­ność cywil­ną pono­sić będzie w głów­nej mie­rze kan­ce­la­ria. Mak­sy­mal­nie uprasz­cza­jąc: to, że kan­ce­la­ria zawie­ra umo­wę na ser­wis IT czy inne usłu­gi infor­ma­tycz­ne nie zwal­nia jej co do zasa­dy z odpo­wie­dzial­no­ści wzglę­dem klien­tów za powie­rzo­ne doku­men­ty i obo­wią­zek zapew­nie­nia ich pouf­no­ści. Odno­si się to szcze­gól­nie do regu­la­cji zwią­za­nych z ochro­ną danych oso­bo­wych. Klien­tów rzad­ko kie­dy inte­re­su­je czy pod­miot świad­czą­cy usłu­gi praw­ne korzy­sta z usług IT takiej czy innej fir­my. Klien­tów inte­re­su­je, by spra­wa była wyko­na­na nale­ży­cie. Zapew­nie­nie cyber­bez­pie­czeń­stwa spo­czy­wa na wykonawcy.

Bezpieczeństwo informacji w polskich kancelariach

W przy­pad­ku wycie­ków danych z kan­ce­la­rii praw­nej docho­dzi do naru­sze­nia klu­czo­we­go ele­men­tu dla pra­cy praw­ni­ka jakim jest infor­ma­cja oraz klu­czo­we­go jej atry­bu­tu – zapew­nie­nia pouf­no­ści tej infor­ma­cji. To wła­śnie z poważ­ne­go trak­to­wa­nia infor­ma­cji wyro­sły takie poję­cia jak np. tajem­ni­ca adwo­kac­ka, któ­ra ma dawać gwa­ran­cję, że wszyst­ko co zosta­ło powie­rzo­ne praw­ni­ko­wi zosta­nie abso­lut­nie pouf­ne, nie­do­stęp­ne nawet dla orga­nów ści­ga­nia.  Przed­sta­wi­cie­li wol­nych zawo­dów (adwo­ka­tów, rad­ców) obo­wią­zu­je tzw. zasa­dy ety­ki. To regu­ły narzu­ca­ne przez samo­rząd zawo­do­wy jed­no­cze­śnie prze­strze­ga­ją­cy ich reali­zo­wa­nie w rzeczywistości.

W przy­pad­ku praw­ni­ków pra­cu­ją­cych w kan­ce­la­rii pada­ją­cej ofia­rą cyber­prze­stęp­ców trud­no mi wyobra­zić sobie sytu­ację, w któ­rej samo­rzą­dy zawo­do­we nie pocią­gną praw­ni­ków do odpo­wie­dzial­no­ści dys­cy­pli­nar­nej, a przy­naj­mniej nie spró­bu­ją tego zro­bić lub roz­wa­żyć takiej opcji. Jakie mają moż­li­wo­ści? Samo­rząd rad­cow­ski dość jed­no­znacz­nie pre­cy­zu­je obo­wią­zek zabez­pie­cze­nia danych doty­czą­cych klien­tów w kodek­sie ety­ki rad­cy praw­ne­go. Znaj­dzie­my tam m.in. taki zapis:

art. 3 ust. 1
Naru­sze­nie posta­no­wień Kodek­su sta­no­wi pod­sta­wę odpo­wie­dzial­no­ści dyscyplinarnej.

art. 23
Rad­ca praw­ny obo­wią­za­ny jest zabez­pie­czyć przed nie­po­wo­ła­nym ujaw­nie­niem wszel­kie infor­ma­cje obję­te tajem­ni­cą zawo­do­wą, nie­za­leż­nie od ich for­my i spo­so­bu utrwa­le­nia. Doku­men­ty i nośni­ki zawie­ra­ją­ce infor­ma­cje pouf­ne nale­ży prze­cho­wy­wać w spo­sób chro­nią­cy je przed znisz­cze­niem, znie­kształ­ce­niem lub zagi­nię­ciem. Doku­men­ty i nośni­ki prze­cho­wy­wa­ne w for­mie elek­tro­nicz­nej powin­ny być obję­te odpo­wied­nią kon­tro­lą dostę­pu oraz zabez­pie­cze­niem sys­te­mu przed zakłó­ce­niem dzia­ła­nia, uzy­ska­niem nie­upraw­nio­ne­go dostę­pu lub utra­tą danych. Rad­ca praw­ny powi­nien kon­tro­lo­wać dostęp osób współ­pra­cu­ją­cych do takich doku­men­tów i nośników.

Zwróć­my więc uwa­gę, iż mamy tutaj do czy­nie­nia z obo­wiąz­kiem zabez­pie­cze­nia. Regu­la­cja nie mówi zatem o tym, czy zabez­pie­cze­nie takie musi być sku­tecz­ne czy też nie. Takie posta­wie­nie spra­wy wyda­je się być zro­zu­mia­łe, gdyż cza­sa­mi nie da się uchro­nić przed nie­moż­li­wym (np. poża­rem czy powo­dzią). Szcze­gól­nie cie­ka­wie w świe­tle takie­go wycie­ku i modus ope­ran­di spraw­ców brzmi ostat­nie zda­nie art. 23 – to rad­ca praw­ny powi­nien kon­tro­lo­wać odpo­wie­dzial­ność za to jak np. asy­sten­ci korzy­sta­ją z danych prze­twa­rza­nych w jego kancelarii.

W przy­pad­ku adwo­ka­tów mamy podob­ną regu­la­cję – kodeks ety­ki adwo­kac­kiej. Może­my w nim przeczytać:

§ 4
Adwo­kat odpo­wia­da dys­cy­pli­nar­nie za uchy­bie­nie etyce (…).

§ 19
5. Adwo­kat posłu­gu­ją­cy się w pra­cy zawo­do­wej kom­pu­te­rem lub inny­mi środ­ka­mi elek­tro­nicz­ne­go utrwa­la­nia danych obo­wią­za­ny jest sto­so­wać opro­gra­mo­wa­nie i inne środ­ki zabez­pie­cza­ją­ce dane przed ich nie­po­wo­ła­nym ujawnieniem.
6. Prze­ka­zy­wa­nie infor­ma­cji obję­tych tajem­ni­cą zawo­do­wą za pomo­cą elek­tro­nicz­nych i podob­nych środ­ków prze­ka­zu wyma­ga zacho­wa­nia szcze­gól­nej ostroż­no­ści i uprze­dze­nia klien­ta o ryzy­ku zwią­za­nym z zacho­wa­niem pouf­no­ści przy wyko­rzy­sta­niu tych środków.

Jak taka odpo­wie­dzial­ność wyglą­da w prak­ty­ce? Pol­skie samo­rzą­dy (przy­naj­mniej adwo­kac­ki) w przy­pad­ku naru­sze­nia tajem­ni­cy są sta­now­cze. Sły­sza­łem już nie raz, że jakiś kon­kret­ny praw­nik został uka­ra­ny przez kole­gów z sądu dys­cy­pli­nar­ne­go za naru­sze­nie tajem­ni­cy. To oczy­wi­ście wsty­dli­wa i nie­przy­jem­na sytu­acja, ale poka­zu­je powa­gę pro­ble­mu. Oso­ba łamią­ca takie prze­pi­sy kor­po­ra­cyj­ne może się liczyć nie tyl­ko z uka­ra­niem dys­cy­pli­nar­nym w posta­ci naga­ny, ale wręcz z moż­li­wo­ścią utra­ty pra­wa do wyko­ny­wa­nia zawo­du czy spra­wo­wa­nia patro­na­tu nad apli­kan­ta­mi. Z rela­cji zna­jo­mych mi adwo­ka­tów wiem, że odpo­wie­dzial­ność dys­cy­pli­nar­ną moż­na ponieść za… brak tablicz­ki z imie­niem, nazwi­skiem i dopi­skiem „adwo­kat” na budyn­ku, w któ­rym mie­ści się kancelaria.

Brutalna rzeczywistość polskich kancelarii

Nie­mniej jeśli cho­dzi o zapew­nia­nie cyber­bez­pie­czeń­stwa klien­tom, to nie jest ono już tak rygo­ry­stycz­nie egze­kwo­wa­ne przez samo­rzą­dy jako cho­ciaż­by opi­sa­ne wcze­śniej szyl­dy. Mówiąc nie­co bru­tal­niej – panu­je tutaj abso­lut­na wol­na ame­ry­kan­ka, co skut­ku­je tym, że cyber­bez­pie­czeń­stwo w pol­skich kan­ce­la­riach praw­nych ist­nie­je tyl­ko teo­re­tycz­nie. Według badań Cen­trum Ochro­ny Danych Oso­bo­wych i Zarzą­dza­nia Infor­ma­cją Uni­wer­sy­te­tu Łódz­kie­go tyl­ko 30% rad­ców i adwo­ka­tów wdro­ży­ło jakie­kol­wiek roz­wią­za­nia. Samo­rząd nicze­go nie egze­kwu­je, star­si wie­kiem mece­na­si nie nadą­ża­ją za tech­ni­ką (co moż­na jesz­cze jakoś zro­zu­mieć i uspra­wie­dli­wić). A mło­de wil­ki świa­ta kan­ce­la­rii myślą, że mają świat u stóp i nikt nie naru­szy ich pocz­ty na Onecie.

War­to mieć na uwa­dze, że dzi­siaj obieg infor­ma­cji wyglą­da zupeł­nie ina­czej niż jesz­cze 20 lat temu. Prak­tycz­nie każ­dy typ infor­ma­cji moż­na w spo­sób pouf­ny prze­ka­zać bez bez­po­śred­nie­go kon­tak­tu w spo­sób bły­ska­wicz­ny. Nie­ste­ty wyko­rzy­sta­nie zdo­by­czy tech­ni­ki w posta­ci róż­no­ra­kich pro­to­ko­łów komu­ni­ka­cyj­nych nie­sie za sobą nowe zagro­że­nia. Tak jak kie­dyś zagro­że­niem była moż­li­wość utra­ty kon­tro­li nad doku­men­ta­cją prze­cho­wy­wa­ną w kan­ce­la­rii, tak też dzi­siaj zagro­że­niem może być utra­ta kon­tro­li nad infor­ma­cją prze­cho­wy­wa­ną elek­tro­nicz­nie (choć­by na skrzyn­ce e‑mailowej). Dla­te­go od dawien daw­na fakt, że adwo­kat może wywie­sić szyld na zewnątrz budyn­ku w któ­rym ma sie­dzi­bę kan­ce­la­rii był dla każ­de­go naocz­nym zna­kiem. Zna­kiem, że praw­nik posia­da jakiś rodzaj pra­wa do korzy­sta­nia z sie­dzi­by kan­ce­la­rii i dzię­ki temu zapew­nia, że nikt nie naru­szy doku­men­tów zło­żo­nych przez klien­ta w tym miej­scu. Dziś takim zna­kiem dla nas – oby­wa­te­li spo­łe­czeń­stwa infor­ma­cyj­ne­go – powin­no być choć­by posia­da­nie pocz­ty elek­tro­nicz­nej we wła­snej dome­nie – znak, że nie wisi to gdzieś na wp​.pl czy One­cie. Znak, że ser­wer na któ­rym znaj­du­ją się te infor­ma­cje jest ozna­ką posia­da­nia jakie­goś pra­wa, któ­re gwa­ran­tu­je, że nikt nie­po­wo­ła­ny nie uzy­ska dostę­pu do informacji.

Koń­cząc, zachę­cam do odwie­dze­nia stro­ny inter­ne­to­wej jakiej­kol­wiek Okrę­go­wej Rady Adwo­kac­kiej (przy­kła­do­wo). Klik­nij „wię­cej” przy nazwi­sku jakie­go­kol­wiek adwo­ka­ta i sam sprawdź jak trak­tu­ją oni dane swo­ich klien­tów. Ilość adre­sów e‑mail w dome­nie Gma­il, wp czy Onet prze­ra­ża. I na pew­no nie daje wyko­nu­ją­ce­mu zawód praw­ni­ka moż­li­wo­ści kon­tro­li nad taką pocz­tą i zapew­nie­nia bez­pie­czeń­stwa klien­tom, któ­re tak pięk­nie dekla­ru­ją oni w swo­ich kodek­sach etycznych.

9 komentarzy do “Mamy pierwszy wyciek danych z kancelarii adwokackiej”

  2. Witaj,

    Dzie­ku­je­my, szko­da ze nie posia­da­li­smy Two­jej wie­dzy pod­czas pisa­nia infor­ma­cji do kan­ce­la­rii o wycie­ku, z pew­no­scia uswia­do­mil­bys im lepiej o co tak napraw­de jest gra. Teraz jedy­nie pozo­sta­lo zasla­niac sie szem­ra­na „ety­ka” (Bo co to za ety­ka, ze oku­pu nie zapla­ci­my, ale dane klien­tow mamy gdzies?). Arty­kul wyla­do­wal juz i na por­ta­lu praw­nym. To dopie­ro pocza­tek, dopil­nu­je­my aby spra­wa zna­la­zla swoj koniec. Pro­sze pomy­slec, my nie jeste­smy „ban­dy­ter­ka”, nie obci­na­my pal­cow, nie pory­wa­my dzie­ci, ale co jesli tacy ludzie mie­li dostep do ich ser­we­ra? Wla­snie z tym walczymy.
    http://​pra​wo​.gaze​ta​praw​na​.pl/​a​r​t​y​k​u​l​y​/​8​9​2​1​3​5​,​z​n​a​n​a​-​k​a​n​c​e​l​a​r​i​a​-​p​r​a​w​n​a​-​p​a​d​l​a​-​o​f​i​a​r​a​-​h​a​k​e​r​o​w​-​w​y​c​i​e​k​l​y​-​d​a​n​e​.​h​tml
    Uszanowanie

    Odpowiedz

  3. Bar­dzo słusz­ne podej­scie kan­ce­la­rii, ze nie dali sie cyber­prze­step­com i nie chca zapla­cic zadne­go oku­pu gdyz z prze­step­ca­mi nie nale­zy nego­cjo­wac – zapla­ce­nie oku­pu by wzbo­ga­ci­lo prze­step­cow, kto­rzy dalej mogli­by ujaw­nic wszyst­kie wykra­dzio­ne dane. Ban­dy­ci odpo­wie­dzial­ni za atak sa juz namie­rza­ni (popel­ni­li jeden bar­dzo zasad­ni­czy blad, z kto­re­go sobie nie zda­ja spra­wy wciaz 😉 i nie­wat­pli­wie skon­cza w wie­zie­niu z bar­dzo suro­wym wyrokiem.

    Odpowiedz

    • LIBA – czy możesz przy­bli­żyć nam jakieś szcze­gó­ły doty­czą­ce tego błę­du cyberprzestępców?
      W samej spra­wie jest bar­dzo mało infor­ma­cji, szcze­gól­nie w cle­ar­ne­cie, i każ­da infor­ma­cja w tej spra­wie może przy­dać się w celach edukacyjnych.

      Odpowiedz

  4. Panie Kon­ra­dzie, nie­ste­ty jest Pan trosz­kę tak naiw­ny jak praw­ni­cy z poszko­do­wa­nej fir­my. Oczy­wi­ście, że LIBA nic nie napi­sze, bo jego wpis miał na celu wła­śnie skło­nić ban­dy­tów do popeł­nie­nia jakie­goś błę­du. Piszę „ban­dy­tów”, bo nie trze­ba uci­nać pal­ców ani pory­wać dzie­ci by na to mia­no zasłużyć.

    Odpowiedz

    • TN – dla mnie nie­któ­re rze­czy są oczy­wi­ste, choć mogę wyda­wać się naiw­ny. Nie­mniej – myślę, że cza­sem war­to spro­wo­ko­wać czy­tel­ni­ka do myśle­nia, dys­ku­sji i co naj­waż­niej­sze – rze­czo­wych argu­men­tów uza­sad­nia­ją­cych to co się pisze 🙂

      Odpowiedz

  5. Była taki dow­cip, któ­ry tro­chę pasu­je do sytu­acji. Towa­rzysz Sta­lin odwie­dza bied­niej­sze rodzi­ny swe­go kra­ju. Roz­da­je cukier­ki dzie­ciom. Za nim idzie sto­sow­na oso­ba i wyja­śnia. Dobry ten towa­rzysz Sta­lin. Dał cukier­ka? No dał! A prze­cież mógł zabić.
    Co to za wyja­śnie­nie nie pory­wam dzie­ci. Co za róż­ni­ca: żąda­nie oku­pu za dziec­ko, samo­chód, komór­kę, zosta­wie­nie w spo­ko­ju – jaka róż­ni­ca? Ter­ro­ryzm !!! Dla mnie do odstrze­le­nia. Jeśli będzie taka koniecz­ność /możliwość/ sam chwy­cę za broń.

    Odpowiedz

  6. Nie mogę się zgo­dzić z twier­dze­niem, że kore­spon­den­cja mailo­wa we wła­snej dome­nie jest od razu bez­piecz­niej­sza niż na otwar­tym portalu!

    Po pierw­sze: znacz­na część adre­sów pocz­ty elek­tro­nicz­nej we wła­snej dome­nie (w tym w dome­nach wła­snych kan­ce­la­rii) jest obsłu­gi­wa­nych przez gma­il, home, nazwa, czy przez inne wiel­kie por­ta­le, nikły odse­tek korzy­sta z wła­sne­go ser­we­ra pocztowego.

    Po dru­gie: wła­sny ser­wer pocz­to­wy, nawet obsłu­gi­wa­ny przez pro­fe­sjo­nal­ną fir­mę infor­ma­tycz­ną, nie­ko­niecz­nie musi być bez­piecz­niej­szy niż por­tal publicz­ny. Tech­nicz­nie za jed­nym i dru­gim roz­wią­za­niem sto­ją ludzie, same­mu nie będąc w tema­cie cyber­bez­pie­czeń­stwa jest nie­mal­że nie­moż­li­wo­ścią roz­po­zna­nie czy i w jakim stop­niu ci ludzie któ­rym powie­rza się opie­kę nad dany­mi (w tym nad ser­we­ra­mi pocz­ty) będą w sta­nie wdro­żyć zabez­pie­cze­nia lub odpie­rać ata­ki. Pisem­ne usta­le­nia, ofer­ty, umo­wy, regu­la­mi­ny – czę­sto nie­wie­le mają wspól­ne­go z prak­ty­ką. Cięż­ka decy­zja czy bar­dziej ufać spe­cja­li­stom z mniej­szej fir­my IT obsłu­gu­ją­cej kilkadziesiąt/kilkaset kan­ce­la­rii, czy spe­cja­li­stom z molo­cha któ­ry obsłu­gu­je kil­ka milio­nów dar­mo­wych kont pocztowych.

    Po trze­cie: naj­słab­sze ogni­wo to czło­wiek, tzw. użyt­kow­nik – kom­pu­te­ra, pocz­ty elek­tro­nicz­nej, nawet „tyl­ko” inter­nau­ta prze­glą­da­ją­cy stro­ny. Żaden sys­tem infor­ma­tycz­ny nie będzie do ura­to­wa­nia jeśli jeden z jego upraw­nio­nych użyt­kow­ni­ków wpu­ści „wła­my­wa­czy”. Kie­dyś wystar­czy­ło zosta­wić po pra­cy otwar­te okno, teraz wystar­czy np. pobrać plik ze stro­ny, otwo­rzyć załącz­nik do ema­ila, czy nie zablo­ko­wać uśpio­ne­go kom­pu­te­ra hasłem. Nie wspo­mi­na­jąc o szy­fro­wa­niu dys­ków i prze­sy­ła­niu szy­fro­wa­nej kore­spon­den­cji. Takie czasy.

    Reasu­mu­jąc – nie suge­ruj­cie się dome­ną z adre­su ema­il, że niby nie­po­pu­lar­ne dome­ny są war­te więk­sze­go zaufania.
    Men­tal­ność i świa­do­mość musi się zmie­nić. Umie­jęt­ność korzy­sta­nia z inter­ne­tu pod kątem bezpieczeństwa.
    Wiel­ka szko­da że tego nie uczą, ani w szko­le, ani na apli­ka­cji, ani…

    Odpowiedz
  7. Pingback: GIODO zapowiada kontrole kancelarii prawnych · cyberprzestępczość.pl

Leave a Reply