Czasem trzeba się bać… własnego prawnika.

W sobot­niej Rzecz­po­spo­li­tej moż­na było zna­leźć cał­kiem cie­ka­wy arty­kuł zaty­tu­ło­wa­ny Z bazą klien­tów do swo­je­go biz­ne­su. Jak wska­zu­je autorka:

Sza­cu­je się, że co trze­cia fir­ma jest nara­żo­na na kra­dzież danych, któ­re tra­fia­ją póź­niej do kon­ku­ren­cji. (…) Jak twier­dzą eks­per­ci, nie ma dziś bran­ży, któ­ra nie była­by nara­żo­na na wyciek informacji.

Mówiąc szcze­rze fakt ten mnie mało dzi­wi. Jesz­cze mniej, gdy zesta­wi­my to ze sta­ty­sty­ką – w Pol­sce 15 na 1000 kom­pu­te­rów może być ele­men­tem bot­ne­tu (cho­ciaż jesz­cze rok temu wska­zy­wa­no, że to aż 4 na 10 komputerów!).

Widzia­łem już parę razy gdy oso­by odpo­wie­dzial­ne np. za kon­tak­ty han­dlo­we w przed­się­bior­stwie pra­co­wa­ły bez anek­su czy osob­nej umo­wy o zaka­zie kon­ku­ren­cji (któ­re są tak napraw­dę zabez­pie­cze­niem abso­lut­nie pod­sta­wo­wym i dziś już i tak nie­wy­star­cza­ją­cym). Z obec­ną łatwo­ścią powie­la­nia prze­twa­rza­nej infor­ma­cji taki brak to po pro­stu strzał we wła­sną sto­pę wyko­na­ny przez przed­się­bior­cę. Z przy­kro­ścią muszę stwier­dzić, że ten nie­ko­rzyst­ny trend jest widocz­ny rów­nież wśród kan­ce­la­rii praw­nych. W trak­cie stu­diów o tym, co opo­wia­da­li moi kole­dzy (stu­den­ci) odby­wa­ją­cy prak­ty­ki w róż­nych kan­ce­la­riach, słu­cha­łem po pro­stu z nie­do­wie­rza­niem. Zresz­tą na górze (tj. w Mini­ster­stwie Spra­wie­dli­wo­ści) jesz­cze w 2012 roku nie było wie­le lepiej… Nie­ste­ty – i trze­ba to przy­znać gło­śno – kan­ce­la­riom praw­nym zupeł­nie bra­ku­je poję­cia o tym jak sku­tecz­nie zabez­pie­czyć sie­bie same przed opi­sa­nym w Rze­pie wycie­ka­mi. Jak więc wyma­gać, by praw­ni­cy poma­ga­li zabez­pie­czać się swo­im klien­tom, gdy sami nie czu­ją w ogó­le takiej potrze­by? Cza­sem dzi­wi mnie to, że żad­na pol­ska kan­ce­la­ria praw­na nie padła jesz­cze ofia­rą hake­rów… (a przy­naj­mniej o niczym takim nie słyszałem).

Bez­pie­czeń­stwo infor­ma­cji wca­le nie musi być opar­te o jakieś wysu­bli­mo­wa­ne prze­pi­sy praw­ne (ale musi być z pew­ny­mi prze­pi­sa­mi zgod­ne!). Powin­no ono być efek­tem przyj­mo­wa­nia prak­tycz­nych roz­wią­zań, któ­re nie utrud­nia­ją codzien­nej pra­cy w kan­ce­la­rii. Cho­dzi po pro­stu o to, by spra­wo­wać wła­dzę nad tym kto do jakich infor­ma­cji ma dostęp i jed­no­cze­śnie nie wysta­wiać się na celow­nik kon­ku­ren­cji lub hake­rów. A ci ostat­ni dobie­ra­ją się do zawar­to­ści fir­mo­wych maszyn na prze­róż­ne spo­so­by. Wystar­czy mail z odpo­wied­nio spre­pa­ro­wa­nym załącz­ni­kiem w posta­ci pli­ku PDF czy doc by z fir­mo­wej maszy­ny zro­bić kompuer-zombie bez­względ­nie wyko­nu­ją­cy pole­ce­nia twór­cy bot­ne­tu. A co dalej? W naj­lep­szym przy­pad­ku kom­pu­ter posłu­ży do roz­sy­ła­nia spa­mu czy kopa­nia bit­co­inów (cho­ciaż to już coraz rzad­sze). W naj­gor­szym… może dojść opi­sa­ne­go w Rze­pie wycie­ku danych lub ich znisz­cze­nia (zobacz tutaj). Słusz­nie w wspo­mi­na­nym dziś prze­ze mnie arty­ku­le praw­ni­cy wypo­wia­da­ją się o trud­no­ściach dowo­do­wych w przy­pad­ku naru­sze­nia takie­go dobra przed­się­bior­cy. A są to trud­no­ści, z któ­ry­mi mamy do czy­nie­nia gdy zna­my oso­bę wyno­szą­cą dane. Są one szcze­gól­nie duże, gdy wiesz już, że ktoś coś wyniósł, lecz jesz­cze nic z tym nie zro­bił. To bar­dzo trud­ne, by wyja­śnić klien­to­wi, że legal­nie dzia­ła­jąc taka sytu­acja może stać się mar­twym punk­tem. A wyobraź sobie jakie trud­no­ści praw­ne spo­wo­du­je wyciek danych z kom­pu­te­ra Two­je­go praw­ni­ka, w któ­rym mogą sie­dzieć wszy­scy hake­rzy świata… :>

Morał moich prze­my­śleń jest zbież­ny z tym, do cze­go pro­wa­dzi arty­kuł z Rze­py. Zabez­pie­czać przed­się­bior­stwo trze­ba nim pad­nie ofia­rą wycie­ku. Bo potem praw­ni­cy będą inka­so­wać olbrzy­mie pie­nią­dze za obsłu­gę incy­den­tu, a w mojej opi­nii w mia­rę roz­wo­ju tech­no­lo­gii ich dzia­ła­nia będą coraz czę­ściej ska­za­ne na nie­po­wo­dze­nie. A Ty Przed­się­bior­co, stra­cisz dwa razy – raz po wycie­ku, a dru­gi raz na praw­ni­ku, któ­ry wie­le inka­su­je lecz za wie­le nie zro­bi. Albo i jesz­cze trze­ci raz – gdy Twój praw­nik dozna wycie­ku Two­ich danych.

Pro­fe­sor Law­ran­ce Les­sig mówi, że w przy­szło­ści infor­ma­cji nie będzie pra­wa tyl­ko kod. Jeśli ma racje (a tego nie wiem) to być może nad­cho­dzi zmia­na roli praw­ni­ka obsłu­gu­ją­ce­go Twój biznes.

PS

Może war­to spraw­dzić, czy obsłu­gu­ją­ca Cię kan­ce­la­ria praw­na (praw­na – nie adwo­kac­ka czy rad­cow­ska!) posia­da zare­je­stro­wa­ny zbiór danych oso­bo­wych. Możesz to zro­bić korzy­sta­jąc z wyszu­ki­war­ki na stro­nie GIODO. Jeśli jej tam nie znaj­dziesz, to obsta­wiam, że poziom pouf­no­ści zapew­nia­ny Two­im spra­wom leży i kwi­czy. GIODO bowiem, to pod­sta­wa podstaw.