Stanisław Patek, Jan Olszewski, Maurycy Allerhand, Henryk Krajewski, Maurycy Axer, Stanisław Car, Cezary Franciszek Ponikowski… to tylko niektóre nazwiska najbardziej zasłużonych adwokatów. Osób, którym zawdzięczamy obecny kształt naszego zawodu. Osób, które tworzą wspaniałe dziedzictwo adwokatury. Nie zapominamy o naszej historii, pielęgnujemy ją, pamiętamy naszych poprzedników, korzystamy z ich doświadczeń. Dość tego! Skończmy to! Otaczający nas świat ciągle się zmienia. Kto nie biegnie razem z nim, nie tyle stoi w miejscu, co w rzeczywistości cofa się. Zastałość, zasiedzenie, brak chęci ulepszania, stosownej ochrony przez nas informacji – innymi słowy brak aktualizacji. Czas wyrzec się naszego dziedzictwa, czas na zmiany.
Oburzeni? I dobrze, bo to jedyna słuszna reakcja. Nie mniej, wbrew temu, co z pewnością większości z Was przyszło na myśl, wcale nie odnosimy sie do naszej pięknej historii. Odnosimy się do często iście historycznego oprogramowania, które służy nam podczas codziennego wypełniania obowiązków, przy konstrukcji pism procesowych, przy przeglądaniu sądowego portalu informacyjnego, przy codziennym „ściąganiu” wiadomości znajdujących się na poczcie e-mail, czy wreszcie oprogramowania chroniącego rzecz najważniejszą i bodaj naświętszą – tajemnicę zawodową. Legacy systems, czyli systemy zastane, dziedziczone (z ang. Legacy – dziedzictwo) to w naszej ocenie bodaj jedno z największych zagrożeń współczesnej adwokatury.
Czym jest ów legacy system (czy też system działający w trybie legacy)? Najprościej rzecz ujmując, system „legacy” to system przestarzały, wymagający wymiany. Legacy – to również system, czy aplikacja, takie, z którymi w razie awarii lub konieczności rozbudowy informatyk/programista nie jest sobie w stanie szybko poradzić. Powody tego stanu rzeczy mogą być oczywiście różne, od użycia technologii, której obecnie się już nie stosuje, przez osadzenie systemu/aplikacji na platformie, której producent zniknął z rynku, po powstanie niedających się usunąć luk bezpieczeństwa. Legacy to jednak także sposób działania polegający na mentalnej zasiedziałości, braku unowocześniania czy aktualizacji posiadanego oprogramowania. Musimy mieć świadomość tego, że to, co jeszcze 10, a nawet 5 lat temu gwarantowało nam zupełne bezpieczeństwo – od dłuższego czasu bezpiecznym już nie jest. Dekada w technologii to wieczność. To często skok cywilizacyjny, który można z czystym sumienie porównać do wynalezienia żarówki, czy silnika parowego. Stare porzekadło informatyków mówi, iż nie ma zabezpieczeń niemożliwych do przełamania. Jest to prawda. Trzeba bowiem stwierdzić wprost, że „niemożliwe” to takie, które wymaga znacznej ilości czasu i obecnie zbyt kosztownej mocy obliczeniowej. Innymi słowy, w danym momencie rozwoju technologii nieopłacalnym jest zgromadzenie zasobów umożliwiających przełamanie danego zabezpieczenia.
W ostatnim czasie mieliśmy przyjemność gościć w pewnej kancelarii. Z zawodowej ciekawości zdecydowałem się sprawdzić sposób zabezpieczenia kancelaryjnej sieci WLAN (potocznie sieci Wi-Fi). Niestety, nie było dobrze. Już na wstępie warto dodać, że podobny problem istnieje w jednej z dość ważnych instytucji państwowych znajdującej się w naszym regione. Najbardziej podstawowym zaniedbaniem, a tym samym idealnym przykładem zasiedziałości w tamtym otoczeniu, było wykorzystanie w sieci WLAN szyfrowania WEP. Zostało ono wprowadzone jeszcze w roku 1999, a złamane już 2 lata później. Niestety, szyfrowanie to jest spotykane powszechnie również w naszych domowych środowiskach. Co ciekawe, producenci router-ów w niektórych przypadkach ustawiają ten rodzaj zabezpieczenia jako domyślny, chociaż już w 2003 roku wprowadzono standard WPA.
Po dziś dzień, brak konieczności certyfikowania urządzeń WiFi powoduje, iż producenci najtańszych (i niestety najbardziej w Polsce popularnych) urządzeń, niekoniecznie samych router-ów, implementują jedynie protokół WEP. Brak wymiany tychże urządzeń, zwłaszcza w sytuacji gdzie osoba zarządzająca systemem pracuje na nich kilka, czy kilkanaście lat, doprowadza do bardzo niebezpiecznej zasiedziałości w danym systemie, a to przecież użycie WPA jest jednym z najskuteczniejszych rozwiązań problemu szyfrowania, a co za tym idzie bezpieczeństwa przetwarzanych danych. Czy biorąc pod uwagę choćby ten jeden problem, czy niedopatrzenie, mamy się czego bać? Gdybyśmy odpowiadając na to pytanie mogli głosować – musielibyśmy wręcz ukraść wszystkim znajomym przysłowiowe karty do głosowania i podnosić wszystkie ręce.
Tytułem uzasadnienia tego stanowiska trzeba powiedzieć, że już w 2001 roku trzech badaczy przedstawiło atak wykorzystujący słabość WEP. W uproszczeniu – zebranie dostatecznej ilości inicjucjących transmisję kluczy IV (Initialization Vector) umożliwia statystyczne złamanie całego klucza szyfrującego, stanowiącego zabezpieczenie Wifi. W 2010 roku nastąpił natomiast rozkwit w produkcji urządzeń specjalizowanych do tego celu, a mianowicie kart sieciowych o mocy maksymalnej dopuszczalnej przez prawo większości krajów świata. Co to oznacza w praktyce? Oznacza to, iż niemal każdy użytkownik posiadajacy tzw. wolne środki w wysokości zaledwie kilkuset złotych jest w stanie zakupić urządzenie i oprogramowanie (czasem wzbogacone także o konkretną instrukcję działania) umożliwiające skuteczne przeprowadzenie ataku na sieć WLAN zabezpieczoną w standardzie WEP. Co więcej, skuteczność tego ataku będzie prawdopodobnie stuprocentowa. Warto przy tym podkreślić, iż metody są zasadniczo trzy. „Tylko” dwie z nich umożliwiają ujęcie sprawcy na gorącym uczynku. Przy zastosowaniu trzeciej z nich – ujęcie atakującego będzie niemożliwe. Jedynym, pozostawionym przez sprawcę śladem będzie bowiem adres MAC karty sieciowej atakującego, a ten, jak powszechnie wiadomo, można dowolnie zmienić. Z rzetelności warto dodać, iż mówiąc o niemalże stuprocentowej anonimowości atakującego zakładamy, że nie popełni on błędu polegającego chociażby na połączeniu z serwisem społecznościowym, umożliwiającym jego późnejszą identyfikację, co (stety czy niestety) miewa miejsce również w rzeczywistości „poważnych” cyberprzestępców.
Szczęśliwie, kancelaria adwokacka (czy inne biuro) to, w znakomitej większości przypadków, nie jest wysoce rozwinięta, zinformatyzowana firma, poruszająca się w bardzo specjalistycznym środowisku, czy posiadająca kilkadziesiąt urządzeń funkcjonujących w wewnętrznej sieci. Stąd, problem technologicznego dziedzictwa nie jest tak trudny (czy kosztowny) do opanowania, jak mogłoby się wydawać. Trzeba jednak mieć się na baczności. Przywołany powyżej przykład, być może odrobinę drastyczny, jednak dość dobrze obrazuje możliwe zagrożenia, a w zasadzie zagrożenie najbardziej doniosłe z punktu widzenia dobra klienta. Bezpieczeństwo informacji. W tej materii nie ma mowy o jakichkolwiek żartach, czy kompromisach. Brak (często technologicznej) możliwości usuwania krytycznych błędów czy luk oznacza ogromne ryzyko utraty kontroli nad częścią systemu kancelaryjnego oraz znajdującymi się tam danymi. Wszystko co zgromadzone zostało na poczcie e-mail, w tym najczęściej poufne wiadomości, kalendarz, projekty pism procesowych na naszych komputerach (a ukazujące idealnie naszą przyszłą taktykę procesową) – może „wyciec”. Co więcej, ów „wyciek” danych należy traktować jako scenariusz najbardziej optymistyczny (choć biorąc pod uwagę zmorę, jaką jest RODO, może niekoniecznie dla naszego portfela). Najbardziej pesymistyczny to oczywiście utrata kontroli nad posiadanymi zasobami, czy niezauważona implementacja tzw. złośliwego oprogramowania (czy to szyfrującego, czy nasłuchującego). Efekty? Bynajmniej, nie z gatunku science-fiction. Od utraty wszystkich środków posiadanych na internetowym koncie bankowym, na które logowaliśmy się z zainfekowanego urządzenia choć jeden raz, po ujawnienie tajemnicy obrończej w najważniejszych dla nas postępowaniach.
W związku z powyższym musimy zwrócić większą uwagę na zabezpieczenie naszych urządzeń oraz sieci teleinformatycznych. Koniecznym jest również podnoszenie kwalifikacji technicznych naszych pracowników, a także nas samych. Wyzbycie się zachowań o charakterze lekkomyślnym, naiwnym, a także zwalczenie pewnego rodzaju zasiedziałości w kontekście aktualizacji bądź wymiarny systemu oraz jego elementów może uchronić nas przed niepożądanym działaniem osób trzecich. Dostaliśmy powiadomienie o nowej aktualizacji oprogramowania telefonu? Nie zwlekajmy, zróbmy ją jeszcze dziś. Era przemysłowa, czy nawet informatyczna, przeminęły już wiele lat temu. Żyjemy w społeczeństwie informacyjnym. To właśnie informacja stała się dobrem cenniejszym niż złoto, czy złoża ropy naftowej. Bezpieczeństwo informacji musi być stawiane na pierwszym miejscu, a to szczególnie tej związanej z tajemnicą adwokacką i obrończą. Musimy pamiętać, że funkcjonujemy w pewnej rzeczywistości. To ona determinuje nie tylko potrzeby, ale i związane z pracą zagrożenia, a także wyzwania, którym musimy sprostać.
Dla przykładu, nie tak dawno świat obiegła informacja o wstrzymaniu wsparcia technicznego przez koncern Google dla oprogramowania typu Android i działających w tym środowisku aplikacji w ramach dotychczasowej współpracy z chińskim potentatem na rynku nowych technologii, firmą Huawei. Czy to oznacza, że mamy się czego obawiać? Teraz nie, a obecni posiadacze telefonów rodem z kraju środka, zachowają dostęp do bieżących aktualizacji oprogramowania oraz usług bezpieczeństwa (jak choćby Google Protect). Nadto, większość użytkowników pewnie i tak w przeciągu 2-3 lat wymieni swoje urządzenia. Ciężko z poziomu szarego aplikanta adwokackiego podejmować się rzeczowej analizy sytuacji ekonomicznej czy politycznej na Świecie, jednak jedno jest pewne – bezpieczniej dla naszych danych nie będzie. Nie wiemy, co stanie się za 2 czy 3 lata. Rozsądnie rzecz biorąc możemy mieć jednak pewność, że stosowane systemy staną się przestarzałe, a tym samym nie będą gwarantowały bezpieczeństwa posiadanych przez nas i przekazywanych dalej informacji.
Podobnie rzecz się tyczy bezpieczeństwa wszelkiej maści komunikatorów stosowanych do porozumiewania się na odległość. Najtrafniejszym z punktu widzenia wykonywanego zawodu wydaje się być założenie, że żaden z nich nie jest w 100% odporną na atak czy nasłuch formą komunikacji. Niezbędnym jest oczywiście aktualizowanie komunikatora zawsze do najnowszej wersji, choć jak pokazał majowy incydent związany z implementacją oprogramowania szpiegującego do popularnego komunikatora WhatsApp, nigdy nie możemy być pewni bezpieczeństwa przesyłanych (nawet tych szyfrowanych) informacji. Nie mniej, także i w tym zakresie jedyną radą jest zachowanie zdrowego rozsądku – zdawać by się mogło najistotniejszej części schedy po wielkich adwokatach.