bezpieczeństwo przedsiębiorstwa

GIODO zapowiada kontrole kancelarii prawnych

Pamię­ta­cie falę ata­ków ukie­run­ko­wa­nych na kan­ce­la­rie praw­ne? Na ich sku­tek doszło do wycie­ku danych pew­nej war­szaw­skiej kan­ce­la­rii adwo­kac­kiej. Cała spra­wa zosta­ła bar­dzo szyb­ko i spraw­nie wyci­szo­na w mediach, co zgrab­nie opi­sał na swo­im blo­gu Kamil. Nato­miast wczo­raj Gene­ral­ny Inspek­tor Ochro­ny Danych Oso­bo­wych ogło­si­ła sek­to­ry, któ­re pod­da szcze­gól­nej kon­tro­li w tym roku. Wśród 5 pozy­cji zna­la­zły się… kan­ce­la­rie praw­ne. Oczy­wi­ste jest zatem, że to reak­cja samej GIODO na wyżej opi­sa­ne wyda­rze­nia. Dziś chciał­bym pod­jąć temat prze­twa­rza­nia danych oso­bo­wych w kan­ce­la­riach praw­nych – adwo­kac­kich, rad­cow­skich, nota­rial­nych i paten­to­wych. Czy praw­ni­cy są przy­go­to­wa­ni na kon­tro­le? Dla­cze­go prze­cięt­ny czło­wiek powi­nien cie­szyć się z tej decy­zji GIODO? Zapra­szam do lektury.

czy­taj dalej »

Mamy pierwszy wyciek danych z kancelarii adwokackiej

Jak poda­ła wczo­raj Zaufa­na Trze­cia Stro­na na naj­więk­szym obec­nie pol­skim forum dark­ne­to­wym zosta­ła opu­bli­ko­wa­ne pacz­ka z dany­mi pocho­dzą­cy­mi z ser­we­ra jed­nej z naj­więk­szych pol­skich kan­ce­la­rii adwo­kac­kich (ory­gi­nal­ny wpis został nie­ste­ty usu­nię­ty przez Z3S​.pl „ze wzglę­du na cha­rak­ter spra­wy”). Pacz­ka ta jest pokło­siem ostat­niej kam­pa­nii ata­ków wymie­rzo­nej w pol­skie kan­ce­la­rie praw­ne, o któ­rej pisa­łem w zeszłym tygo­dniu. Sytu­acja nie­wąt­pli­wie jest ewe­ne­men­tem a i jej prze­bieg będzie sta­no­wił pre­ce­dens dla pol­skich kan­ce­la­rii. W pierw­szych komen­ta­rzach inter­nau­tów na temat wycie­ku poja­wia się jed­no zasad­ni­cze pyta­nie – czy kan­ce­la­ria i praw­ni­cy odpo­wia­da­ją za takie wycie­ki, czy też nie? Chciał­bym dziś udzie­lić odpo­wie­dzi na to pyta­nie, podzie­lić się z Tobą moimi kil­ko­ma prze­my­śle­nia­mi w tym zakre­sie i powie­dzieć co myślę o całej zaist­nia­łej sytuacji.

czy­taj dalej »

Polscy hakerzy zabrali się za kancelarie prawne

Kto mnie trosz­kę zna, ten pew­nie sły­szał czę­sto powta­rza­ne prze­ze mnie powie­dzon­ko – żaden haker w Pol­sce jesz­cze nie zabrał się za kan­ce­la­rie praw­ne. Mówię to czę­sto, gdy roz­ma­wiam o cyber­bez­pie­czeń­stwie i cyber­prze­stęp­czo­ści ze zna­jo­my­mi, o tym jakie mamy ata­ki i na czym mogą one pole­gać. Mojej uwa­dze nie uszło do tej pory, że tak napraw­dę nie mie­li­śmy nigdy wcze­śniej żad­ne­go poważ­niej­sze­go ata­ku na jakie­kol­wiek kan­ce­la­rie praw­ne – adwo­ka­tów, rad­ców, nota­riu­szy czy komor­ni­ków. Nie będę przy tym ukry­wał, że lwia część kan­ce­la­rii posia­da żenu­ją­cy poziom zabez­pie­czeń infor­ma­tycz­nych. Zasad­ni­czo, to powie­dzieć posia­da już tutaj sta­no­wi nad­uży­cie. Dane tam po pro­stu leżą i cze­ka­ją. Cze­ka­ły do teraz. Bo nie­ste­ty wresz­cie hake­rzy zabra­li się za kan­ce­la­rie w Polsce.

czy­taj dalej »

Relacja z Ataków Sieciowych 2015

Tydzień temu mia­łem przy­jem­ność brać udział – po raz pierw­szy nie jako orga­ni­za­tor – w V edy­cji kon­fe­ren­cji Ata­ki Sie­cio­we w Toru­niu. Tra­dy­cyj­nie orga­ni­za­to­rem było Stu­denc­kie Koło Nauko­we Pra­wa Nowych Tech­no­lo­gii dzia­ła­ją­ce na WPiA UMK, dru­gi rok z rzę­du współ­or­ga­ni­za­to­rem było rów­nież Cen­trum Badań nad Cyber­prze­stęp­czo­ścią – cał­ko­wi­cie uni­ka­to­wa orga­ni­za­cja w ska­li nasze­go kra­ju. Impre­za uda­ła się, a nawet – z per­spek­ty­wy poprzed­nich edy­cji – mogę śmia­ło powie­dzieć, że weszła na jesz­cze wyż­szy poziom. Dziś podzie­lę się z Tobą kil­ko­ma reflek­sja­mi na temat pierw­sze­go dnia konferencji.

czy­taj dalej »

Ataki Sieciowe 2015

Ataki Sieciowe 2015Odpo­wie­dzial­ność cywil­na za świad­czo­ne usłu­gi wywia­du cyber­ne­tycz­ne­go – tak brzmi tytuł wystą­pie­nia, któ­re wygło­szę razem z mec. Woj­cie­chem Wyjat­kiem pod­czas kon­fe­ren­cji Ata­ki Sie­cio­we 2015 w Toru­niu. To wyda­rze­nie pew­nie już znasz i koja­rzysz – pisa­łem rok temu o poprzed­niej edy­cji. W tym roku, cho­ciaż już nie jestem orga­ni­za­to­rem, nie zabrak­nie mnie pod­czas kon­fe­ren­cji. Głów­ną tema­ty­ką kon­fe­ren­cji będą wycie­ki danych mają­ce miej­sce na sku­tek kom­pro­mi­ta­cji róż­nych roz­wią­zań – zarów­no sprzę­to­wych jak i pro­gra­mo­wych, ich skut­ki dla nas – w szcze­gól­no­ści ludzi żyją­cych w Pol­sce i pro­wa­dzą­cych tutaj przed­się­bior­stwa, oraz wszel­kie kon­se­kwen­cje praw­ne z tymi wyda­rze­nia­mi związane.

czy­taj dalej »

Sony doszczętnie zhakowane

4 dni temu miał miej­sce chy­ba naj­bar­dziej spek­ta­ku­lar­ny atak hake­rów w histo­rii. Być może już o tym czy­ta­łeś, ale dla porząd­ku przy­to­czę – zha­ko­wa­na w spo­sób doszczęt­ny zosta­ła fir­ma Sony. To Sony, któ­re pro­du­ku­je zna­ną na całym świe­cie elek­tro­ni­kę róż­nej maści. Tak, to samo Sony, któ­re pada­ło już ofia­rą bar­dzo dotkli­wych ata­ków w prze­szło­ści (nim powstał mój blog) – mię­dzy inny­mi ucier­pie­li użyt­kow­ni­cy Play­Sta­tion Network. Sama fir­ma potwier­dza ten „incy­dent”, cho­ciaż dla mnie oso­bi­ście jest trud­no uwie­rzyć w to co się sta­ło. Co się sta­ło? Ano WSZYSTKIE kom­pu­te­ry we WSZYSTKICH oddzia­łach Sony na CAŁYM ŚWIECIE wyświe­tli­ły jed­na­ko­we okien­ko o tym, że zosta­ły zha­ko­wa­ne. W tym samym momen­cie. Ale to tyl­ko wierz­cho­łek góry lodo­wej – ata­ku­ją­cy uzy­skał (uzy­ska­li?) dostęp praw­do­po­dob­nie do wszyst­kich pli­ków, któ­re były zgro­ma­dzo­ne na kom­pu­te­rach kor­po­ra­cji. Dziś opo­wiem o tym, jak się ma pra­wo mię­dzy­na­ro­do­we do tego typu sytuacji.

czy­taj dalej »

Wyciek z Fit and eat – krytyczna ocena prawna.

Dwa dni temu naj­pierw Nie­bez­piecz­nik, a chwi­lę póź­niej Zaufa­na Trze­cia Stro­na poin­for­mo­wa­ły o wrzu­ce­niu na forum ToRe­pu­blic danych oso­bo­wych z przed­się­bior­stwa ofe­ru­ją­ce­go usłu­gi die­te­tycz­ne Fit and eat. Wyciek obej­mu­je dane bar­dzo zna­nych osób, w tym ich adre­sy, kody do fur­tek na klat­ki, infor­ma­cje o prze­by­tych cho­ro­bach czy ura­zach. Wczo­raj na TVN24 mogli­śmy prze­czy­tać wypo­wie­dzi wła­ści­cie­li, któ­rzy prze­pra­sza­ją i dekla­ru­ją iż zmie­nią dostaw­cę usług IT, któ­ry miał dbać o bez­pie­czeń­stwo danych klien­tów. Całe to tłu­ma­cze­nie, para­fra­zu­jąc kla­sy­ka, to bul­szit kom­plet­ny. Win­ni roz­my­dla­ją spra­wę, uży­wa­jąc pija­row­skie­go zabie­gu pró­bu­ją wyjść z twa­rzą i uciec od odpo­wie­dzial­no­ści (w poczu­ciu spo­łecz­nym). Dziś przed­sta­wię spoj­rze­nie praw­ne na to, kto tak napraw­dę pono­si odpo­wie­dzial­ność za zaist­nia­łą sytu­ację, pobież­ną ana­li­zę tego kto i jak może odpo­wia­dać za popeł­nio­ne błę­dy a tak­że czy Fit and eat zro­bi­ło cokol­wiek by dane oso­bo­we klien­tów chro­nić, bo mam ku temu bar­dzo poważ­ne wątpliwości.

czy­taj dalej »

Czasem trzeba się bać… własnego prawnika.

W sobot­niej Rzecz­po­spo­li­tej moż­na było zna­leźć cał­kiem cie­ka­wy arty­kuł zaty­tu­ło­wa­ny Z bazą klien­tów do swo­je­go biz­ne­su. Jak wska­zu­je autorka:

Sza­cu­je się, że co trze­cia fir­ma jest nara­żo­na na kra­dzież danych, któ­re tra­fia­ją póź­niej do kon­ku­ren­cji. (…) Jak twier­dzą eks­per­ci, nie ma dziś bran­ży, któ­ra nie była­by nara­żo­na na wyciek informacji.

Mówiąc szcze­rze fakt ten mnie mało dzi­wi. Jesz­cze mniej, gdy zesta­wi­my to ze sta­ty­sty­ką – w Pol­sce 15 na 1000 kom­pu­te­rów może być ele­men­tem bot­ne­tu (cho­ciaż jesz­cze rok temu wska­zy­wa­no, że to aż 4 na 10 komputerów!).

czy­taj dalej »

A przecież ABW mogło z kwitkiem odejść…

Wpis dzi­siej­szy nie będzie moim mani­fe­stem jako zwo­len­ni­ka albo prze­ciw­ni­ka jakie­go­kol­wiek obo­zu poli­tycz­ne­go. Wpis ten będzie sze­re­giem oso­bi­stych spo­strze­żeń doty­czą­cych tego, co funk­cjo­nu­je nie tak jak powin­no nie tyl­ko w struk­tu­rach nasze­go pań­stwa, ale rów­nież w sek­to­rze pry­wat­nym – jak­kol­wiek rozumianym.

czy­taj dalej »

Heartbleed i 2FA

Zna­jo­mi pyta­ją mnie co myślę o ostat­nim kata­kliź­mie inte­re­ne­to­wym zwią­za­nym z luką OpenS­SLa, więc dziś chciał­bym podzie­lić się z Tobą jed­ną z moich reflek­sji. Trze­ba się pogo­dzić z tym, że co jakiś czas jakieś hasło gdzieś z cze­goś wyciek­nie – taka jest natu­ra tech­no­lo­gii oraz mno­gich i skom­pli­ko­wa­nych roz­wią­zań z nimi zwią­za­nych. Nie da się przed tym uciec. Ale moż­na pote­na­cjal­ne ryzy­ko zmi­ni­ma­li­zo­wać. I tutaj nie wska­żę na nic odkryw­cze­go – dla każ­de­go kon­ta inne hasło powin­no być takim samym stan­da­rem higie­ny jak zakła­da­nie codzien­nie rano świe­żych skar­pe­tek. Ale czy moż­na zro­bić coś wię­cej? Oczy­wi­ście, że tak.

czy­taj dalej »