Wstęp
Kancelarie prawne przechowują jeden z najbardziej wartościowych rodzajów informacji, jaki istnieje: dane objęte tajemnicą zawodową, dokumenty procesowe, strategie klientów, informacje o transakcjach, dane osobowe w dużych wolumenach. Z perspektywy cyberprzestępcy — to idealne środowisko. Duża wartość informacji, często ograniczone zasoby IT, a personel skupiony na pracy merytorycznej, nie na bezpieczeństwie.
To nie jest teoria. Dane z raportu IBM Cost of Data Breach 2024 pokazują, że średni koszt naruszenia danych sięga 4,88 mln USD globalnie, przy czym sektory o wysokiej wartości przetwarzanych danych — a kancelarie do nich należą — są atakowane nieproporcjonalnie często. W Polsce UODO rejestruje rok do roku rosnącą liczbę zgłoszeń naruszeń z sektora prawniczego.
Nie piszę tego, żeby straszyć. Piszę po to, żeby zacząć rozmowę od właściwego miejsca — bo większość kancelarii, z którymi rozmawiamy, zaczyna myśleć o bezpieczeństwie dopiero gdy coś się stanie. A wtedy okno na spokojne działanie jest bardzo wąskie.
Dlaczego kancelarie są celem
Zanim przejdziemy do przyczyn i procedur, warto zrozumieć jedną rzecz: kancelaria prawna jest celem nie mimo że jest "tylko" kancelarią, ale właśnie dlatego.
Klienci kancelarii to często duże firmy, fundusze, osoby z ekspozycją publiczną. Dokumentacja, którą kancelaria przetwarza w ich imieniu — umowy M&A, postępowania sądowe, opinie prawne, dane finansowe — ma realną wartość na czarnym rynku lub jako narzędzie szantażu. Jeden skuteczny atak na kancelarię może dać dostęp do informacji o dziesiątkach klientów jednocześnie.
Dodatkowo kancelarie działają pod presją czasu, z dużą liczbą dokumentów przechodzących przez e-mail, często z klientami, sądami i organami jednocześnie. To środowisko idealne dla ataku phishingowego — ludzie klikają szybko, bo inaczej nie daliby rady.
I jeszcze jeden element: kancelarie rzadko mają dedykowany dział IT. Bezpieczeństwem zajmuje się albo nikt, albo ktoś kto przy okazji obsługuje też drukarki i router.
Jak najczęściej dochodzi do wycieku danych
Z naszego doświadczenia w pracy z kancelariami wynika kilka powtarzających się scenariuszy. Opiszę je szczegółowo, bo znajomość wektora ataku to pierwszy krok do jego zamknięcia.
Phishing — najczęstszy i nadal najskuteczniejszy
Pracownik kancelarii dostaje wiadomość, która wygląda jak e-mail od sądu, od klienta, od banku, od dostawcy oprogramowania. Treść jest wiarygodna — numer sprawy, dane adresata, styl komunikacji odpowiedni dla branży. Klika link, loguje się na fałszywej stronie. Atakujący ma dostęp do skrzynki.
Co się dzieje potem? Najczęściej atakujący nie robi nic przez kilka dni lub tygodni. Obserwuje korespondencję, szuka wzorców płatności, zbiera dane. Gdy uderzy — na przykład podstawiając fałszywy numer konta do przelewu dla klienta — kancelaria często dowiaduje się o tym od klienta, który pyta dlaczego nie dotarły jego środki.
To scenariusz tzw. Business Email Compromise (BEC). W sektorze prawniczym jest szczególnie niebezpieczny, bo kancelarie często są pośrednikiem w transakcjach finansowych.
Osobny artykuł o phishingu w kancelariach znajdziesz tutaj: [link do artykułu o phishingu]
Złośliwe załączniki i dokumenty od klientów
Kancelaria otrzymuje dziesiątki plików każdego dnia. PDF z umową, skan dokumentu tożsamości, Word z projektem aneksu. Każdy z tych plików może zawierać złośliwy kod — makra w plikach Office, skrypty w PDF, exploity w skompresowanych archiwach.
Otwarcie takiego pliku na stacji roboczej bez odpowiedniej ochrony może skutkować instalacją oprogramowania szpiegującego lub ransomware. Co istotne — użytkownik często nie widzi żadnego sygnału, że coś się stało. Plik otwiera się normalnie, praca trwa, a złośliwy kod działa w tle.
Były pracownik lub praktykant z aktywnym dostępem
To scenariusz, o którym rzadko rozmawia się wprost, ale jest bardzo realny. Osoba, która opuściła kancelarię, a jej konto w systemie kancelaryjnym, skrzynka e-mail lub dostęp do dysku w chmurze pozostały aktywne — to otwarta furtka.
Nie zawsze chodzi o złą wolę. Czasem ktoś po prostu "miał te dane u siebie" i uznał, że to naturalne, że je zatrzyma. Ale z perspektywy RODO i odpowiedzialności kancelarii — bez znaczenia. Dane wyszły poza kontrolę administratora.
W każdej kancelarii, z którą zaczynamy pracę, sprawdzamy listę aktywnych kont jako jeden z pierwszych kroków. Regularnie okazuje się, że osoby nieobecne od kilku miesięcy — lub dłużej — wciąż mają aktywne poświadczenia.
Niezabezpieczone urządzenia końcowe
Laptop wyniesiony do domu, tablet używany przez domowników, telefon bez blokady ekranu, dysk USB ze skanami dokumentów. Jedno zdarzenie — kradzież, zgubienie, zostawienie w kawiarni — i dane klientów są poza kontrolą kancelarii.
Szyfrowanie dysku to jeden z podstawowych mechanizmów ochrony w tym scenariuszu. W przypadku zgubionego laptopa z zaszyfrowanym dyskiem i silnym hasłem — ryzyko naruszenia jest minimalne, bo dane są nieczytelne bez klucza. Bez szyfrowania — każdy, kto ma fizyczny dostęp do urządzenia, ma dostęp do danych.
Zaskakuje nas, jak rzadko kancelarie mają wdrożone szyfrowanie dysków, mimo że to jeden z tańszych i łatwiejszych do wdrożenia mechanizmów ochrony.
Zewnętrzni dostawcy i systemy kancelaryjne
Kancelarie korzystają z dziesiątek zewnętrznych narzędzi: systemów do zarządzania sprawami, platform e-podpisów, chmur do przechowywania dokumentów, aplikacji do fakturowania, platform do wideokonferencji. Każdy z tych dostawców to potencjalny punkt wejścia.
Ryzyko jest dwuwymiarowe: albo dostawca sam padnie ofiarą ataku i dane kancelarii wyciekną razem z danymi innych klientów dostawcy, albo integracja między systemami jest nieprawidłowo skonfigurowana i daje nieautoryzowany dostęp.
RODO wprost wymaga, żeby kancelaria (jako administrator) weryfikowała swoich procesorów danych i miała z nimi podpisane umowy powierzenia (art. 28). W praktyce wielu kancelariom brakuje tych umów lub są one nieaktualne.
Co się dzieje po wykryciu naruszenia — okno 72 godzin
RODO, konkretnie art. 33, nakłada na administratora danych obowiązek zgłoszenia naruszenia ochrony danych osobowych do organu nadzorczego (w Polsce: Prezes UODO) bez zbędnej zwłoki — i nie później niż w ciągu 72 godzin od stwierdzenia naruszenia.
Jeśli ryzyko dla praw i wolności osób fizycznych jest wysokie — dochodzi art. 34: obowiązek bezpośredniego powiadomienia osób, których dane dotyczą. Bez zbędnej zwłoki, bez czekania.
Te 72 godziny brzmią jak wystarczająco dużo czasu. W praktyce to jeden z najbardziej stresujących procesów, z jakimi mieliśmy do czynienia. Oto dlaczego: w tym samym oknie czasowym kancelaria musi jednocześnie:
Ustalić, co się faktycznie stało i jaki jest zakres naruszenia. Zebrać i zabezpieczyć logi oraz dowody bez niszczenia śladów. Ocenić ryzyko dla osób, których dane dotyczą. Podjąć decyzję o tym, czy i jak zgłaszać. Przygotować zgłoszenie do UODO (które musi zawierać konkretne informacje). Ewentualnie notyfikować klientów, których dane dotyczą. Równolegle — powstrzymać dalszy wyciek i zabezpieczyć systemy. Skonsultować się z prawnikiem i ewentualnie ubezpieczycielem.
Kancelaria, która przechodzi przez to bez przygotowania, jest w bardzo trudnej sytuacji. Kancelaria, która ma procedurę reagowania na incydenty i wie kto co robi w pierwszej godzinie — ma realną szansę przejść przez to bez katastrofy.
Plan działania krok po kroku
To nie jest gotowa procedura — każda kancelaria jest inna, profil ryzyka jest inny, systemy są inne. Ale to są kroki, od których należy zacząć.
Krok 1: Izoluj — ale nie kasuj
Jeśli podejrzewasz lub potwierdzasz incydent bezpieczeństwa — pierwszym ruchem jest izolacja zaatakowanego systemu, konta lub urządzenia od reszty infrastruktury. Odłącz od sieci, zablokuj konto, wyjmij urządzenie z obiegu.
Czego absolutnie nie robić: kasować logów, resetować urządzeń, formatować dysków, usuwać e-maili. Nawet jeśli intuicja podpowiada "wyczyśćmy to". Dowody elektroniczne mają kluczowe znaczenie zarówno dla wyjaśnienia incydentu, jak i w ewentualnym postępowaniu przed UODO lub sądem. Skasowane logi to brak możliwości ustalenia co się stało, co znacznie utrudnia obronę.
Krok 2: Ustal co faktycznie się stało
Zanim cokolwiek zgłosisz — musisz wiedzieć co. Jakie dane, czyje, w jakiej formie, od jak dawna były potencjalnie dostępne, kto mógł mieć do nich dostęp. To wymaga analizy logów dostępu, historii autoryzacji, poczty wychodzącej, aktywności w systemach.
W mniejszych kancelariach często brakuje do tego narzędzi monitorujących — i to jest jeden z argumentów za ich wdrożeniem zanim coś się stanie, nie po. Jeśli nie masz logów, nie możesz ustalić zakresu. Jeśli nie możesz ustalić zakresu — nie wiesz, co zgłaszać i jakie ryzyko ocenić.
Krok 3: Oceń ryzyko
Nie każde naruszenie skutkuje obowiązkiem zgłoszenia do UODO. RODO mówi o ryzyku dla praw i wolności osób fizycznych. Jeśli e-mail z danymi trafił do złego adresata, ale był zabezpieczony hasłem i odbiorca potwierdził usunięcie — ryzyko może być ocenione jako niskie.
Jeśli wyciekła baza danych klientów w postaci jawnej, jeśli doszło do naruszenia tajemnicy zawodowej, jeśli dane dotyczą wrażliwych kategorii (zdrowie, sytuacja finansowa, postępowania karne) — masz wysokie ryzyko i obowiązek działania.
Ta ocena musi być udokumentowana niezależnie od decyzji o zgłoszeniu. Nawet jeśli zdecydujesz się nie zgłaszać — musisz mieć pisemne uzasadnienie tej decyzji. Brak dokumentacji jest błędem.
Krok 4: Zgłoś do UODO — jeśli wymagane — ale zrób to dobrze
Zgłoszenie na podstawie art. 33 RODO musi zawierać opis charakteru naruszenia, kategorie i przybliżoną liczbę osób i rekordów, danych kontaktowych IOD lub osoby do kontaktu, opis prawdopodobnych konsekwencji naruszenia, opis podjętych lub proponowanych środków zaradczych.
Można zgłaszać dwuetapowo — jeśli w ciągu 72 godzin nie masz jeszcze wszystkich informacji, możesz złożyć wstępne zgłoszenie i uzupełnić je później. Ważne, żeby nie czekać na komplet informacji do przekroczenia terminu.
Źle napisane zgłoszenie — niepełne, niespójne, bez oceny ryzyka — może skutkować wezwaniem do uzupełnienia, przedłużeniem postępowania i zwiększoną uwagą organu. Dobrze napisane zgłoszenie, które pokazuje że kancelaria działała systematycznie, znacznie lepiej pozycjonuje ją w kontakcie z UODO.
Krok 5: Komunikacja z osobami, których dane dotyczą
Jeśli ryzyko jest wysokie — masz obowiązek notyfikacji. Treść powinna być jasna, konkretna i uczciwa: co się stało, jakie dane, co możesz zrobić jako poszkodowany, co kancelaria robi w związku z tym.
Unikaj języka minimalizującego ryzyko i unikaj też języka, który niepotrzebnie eskaluje. Klienci rozumieją, że incydenty się zdarzają — nawet w dobrze zabezpieczonych organizacjach. Czego nie wybaczają, to braku komunikacji, ukrywania faktów lub komunikacji, która brzmi jak zarządzanie wizerunkiem zamiast realnej informacji.
Krok 6: Wyciągnij wnioski i udokumentuj je
Po opanowaniu incydentu — analiza post-incident. Co zawiodło, gdzie był słaby punkt, co można poprawić. Ta analiza powinna trafić do rejestru naruszeń (który każdy administrator musi prowadzić na podstawie art. 33 ust. 5 RODO) i powinna być podstawą do aktualizacji procedur.
Co możesz zrobić zanim dojdzie do wycieku
To jest ważniejsze niż cały plan reagowania — choć jedno bez drugiego nie ma sensu.
W pracy z kancelariami zawsze zaczynamy od kilku podstawowych pytań, które dają szybki obraz sytuacji:
Kto ma dostęp do czego? Czy istnieje aktualna lista kont użytkowników z przypisanymi uprawnieniami? Czy dostęp jest nadawany według zasady minimalnych uprawnień — każdy ma dostęp tylko do tego, czego potrzebuje do pracy? Czy usunięcie pracownika z kancelarii skutkuje natychmiastowym wyłączeniem jego dostępów?
Czy urządzenia są szyfrowane? Laptopy, telefony, dyski zewnętrzne. To jeden z prostszych i tańszych mechanizmów ochrony, a jedno z pierwszych pytań, jakie UODO zadaje przy incydentach związanych z utratą urządzeń.
Czy jest procedura na incydent? Nawet prosta, jednostronicowa lista: co robię jako pierwszy, kogo powiadamiam, co zapisuję. Brak procedury w stresowej sytuacji kosztuje bardzo dużo — zarówno jeśli chodzi o czas, jak i o jakość decyzji.
Czy wiadomo jakie dane kancelaria przetwarza i gdzie? Rejestr czynności przetwarzania to wymóg RODO, ale też praktyczne narzędzie. Jeśli dojdzie do incydentu i nie wiadomo, jakie dane mogły być objęte — ocena ryzyka jest niemożliwa.
Czy zewnętrzni dostawcy mają podpisane umowy powierzenia? Chmura, system kancelaryjny, zewnętrzna księgowość — każdy dostawca, który przetwarza dane osobowe w imieniu kancelarii, musi mieć umowę powierzenia zgodną z art. 28 RODO.
Żaden z tych elementów nie wymaga dużego budżetu. Wymaga wiedzy gdzie patrzeć i czasu, żeby to poukładać. I zdecydowanie lepiej to robić zanim coś się stanie, niż tłumaczyć się z braków podczas postępowania przed UODO.
Kilka słów o odpowiedzialności zarządzających
Warto to powiedzieć wprost, bo to jest pytanie, które pojawia się na każdym spotkaniu z zarządzającymi kancelariami.
RODO nie nakłada kar wyłącznie na organizację jako byt prawny. Odpowiedzialność może być też osobista — jeśli do naruszenia doszło przez zaniedbanie, którego sprawcą jest konkretna osoba zarządzająca. W środowisku prawniczym to szczególnie istotne, bo prawnicy rozumieją, co oznacza odpowiedzialność z tytułu niedochowania należytej staranności.
Wdrożenie odpowiednich środków technicznych i organizacyjnych jest nie tylko obowiązkiem wynikającym z RODO (art. 25 i art. 32), ale też tarczą w przypadku incydentu. Kancelaria, która udokumentuje, że zastosowała środki adekwatne do ryzyka, jest w znacznie lepszej pozycji przed organem nadzorczym niż taka, która nie ma nic.
Podsumowanie
Wyciek danych w kancelarii prawnej to realne ryzyko — nie scenariusz z przyszłości. Zmienia się tylko forma: phishing, ransomware, nieautoryzowany dostęp byłego pracownika, utrata urządzenia. Za każdym razem wyzwanie jest podobne: działać szybko, udokumentować wszystko, ograniczyć szkody.
Dobra wiadomość jest taka, że zdecydowaną większość scenariuszy można znacząco ograniczyć bez rewolucji. Wymaga to jednak wiedzy o tym, gdzie są słabe punkty — i kogoś, kto pomoże je zamknąć zanim staną się problemem.
Jeśli chcesz wiedzieć, jak wygląda stan bezpieczeństwa w Twojej kancelarii — zrób bezpłatny audyt online. Kilka minut, konkretne wyniki, bez zobowiązań:
[Sprawdź kancelarię →] [https://legal.pushsec.pl/audyt-bezpieczenstwa-kancelarii/]
Albo skontaktuj się bezpośrednio: kontakt@legal.pushsec.pl | (+48) 780 519 553