Na základě poptávky advokátů a také s ohledem na to, že díky onemocnění covid-19 se velká část agendy advokátů přestěhovala do virtuálního a potenciálně nebezpečnějšího prostoru, uspořádala Česká advokátní komora dne 25. listopadu webinář o kyberbezpečnosti pro advokáty, na které pozvala renomované odborníky jak na právo a bezpečnost IT.

Prvním lektorem semináře byl advokát JUDr. Ing. Jindřich Kalíšek, Ph.D. (na snímku vlevo), který se specializuje na právo informačních a nových technologií a duševního vlastnictví, především na problematiku software, cloudových služeb a e-commerce, kybernetickou bezpečnost a ochranu osobních údajů a soukromí na internetu.

Úvodní část semináře se tedy zabývala aktuální právní úpravou, která dopadá na problematiku informační a kybernetické bezpečnosti (zákon a vyhláška o kybernetické bezpečnosti, zvláštní právní předpisy upravující problematiku v dalších oblastech – advokátní služby, zdravotní služby, bankovnictví, pojišťovnictví a finanční služby, státní správa a činnost samosprávy, telekomunikace) a právní povinnosti povinných osob včetně odpovědnosti statutárních orgánů a faktických vedoucích za naplňování těchto povinností, orgány státní správy v oblasti bezpečnosti informací a vztahy s nimi.

„Přestože obecně lze říct, že právo v oblasti kybernetické bezpečnosti za technikou „zaspává“, Česká republika je jednou z prvních zemí v přijetí zákona o kybernetické bezpečnosti,“ uvedl úvodem JUDr. Kalíšek a hovořil o nutnosti ochrany informací a osobních údajů v advokacii a také o roli advokátů, jak ji mohou a musí pro své klienty zabezpečit. Připomněl také, že míra rizika sledování advokátních kanceláří hackery je vyšší než v jiných oborech – ve Velké Británii bylo dokonce několik advokátních kanceláří kvůli nedodržení zajištění ochrany informací, kdy šlo většinou o únik informací z advokátního spisu, významně pokutováno. Ale hlavně upozornil na to, že podobné případy končí obrovským reputačním problémem do budoucna a majitelé těchto kanceláří byli shledáni odpovědnými za porušení zásad profesní odpovědnosti.

„Jako advokáti vedeme advokátní spisy, které jsou plné důvěrných a velmi citlivých informací, stejně jako velké množství „žurnálů“, v nichž je zanesena veškerá korespondence s klienty a evidencí, například v rámci AML, kde je třeba ještě zvýšené ochrany. Míra zabezpečení by vždy měla odpovídat citlivosti dat a také případné závažnosti a míře dopadu bezpečnostního incidentu,“ doporučil 35 advokátům, kteří se webináře zúčastnili a také varoval před kyberzločinem, z něhož se stává jeden z celosvětově nejvýznamnějších, když předčí i obchod s drogami a „bílým masem“.
Ze svých zkušeností uvedl, že advokáti většinou svá data neumějí řádně chránit, a pokud incident nastane, tak v 95 % případů byl způsoben lidskou chybou nebo neznalostí. Upozornil také na další skryté nebezpečí, že často trvá dlouho, třeba i mnoho měsíců, než se na únik dat přijde a přidal i několik zajímavých statistik.

Druhým lektorem byl pak etický hacker a bezpečnostní konzultant Daniel Hejda, který působí v pozici etického hackera a penetračního testera, poradce, školitele a konzultanta pro oblast kybernetické bezpečnosti. Testuje bezpečnost soukromých společností a orgánů veřejné moci, pomáhá budovat řešení pro bezpečnostní dohled a plánování, takže pro advokáty přinesl mnoho příkladů ze své praxe.

V prakticky orientované části semináře se pak řešila problematika informační a kybernetické bezpečnosti při výkonu advokátní praxe, zejména rizika elektronického právního jednání, identifikace klienta a poskytování advokátních služeb on-line prostředky, zabezpečení informací a zachování advokátního tajemství v kyberprostoru, plnění povinností advokátů při předcházení informačním a kyberbezpečnostním rizikům, bezpečnostní incidenty – jejich projevy, způsoby, jak jim předcházet apod.

Daniel Hejda odhalil tři typy kybernetických útočníků, popsal jejich aktivity a varoval před pěti hlavními kybernetickými útoky, z nichž nejčastějším je phishing. Seznámil účastníky také s několika medializovanými kauzami kybernetických incidentů z poslední doby a varoval před mnoha riziky, která často advokátní kanceláře přehlížejí ve snaze o maximální digitalizaci.

„Stává se, že útočníci, pokud zjistí, že jde o data advokátní kanceláře, zcela jednoznačně předvídají, že jde o data velmi citlivá a zvyšují i několikanásobně výkupné, které požadují za jejich dešifrování nebo nezveřejnění. Advokáti se často mylně domnívají, že povinnost mlčenlivosti, kterou musí respektovat, je všeobecná, ale útočníci nerespektují vůbec nic,“ varoval D. Hejda a na několika praktických příkladech předvedl, jak snadno útočníci získávají přístupy k počítačům a datům ať už prostřednictvím e-mailů nebo telefonických hovorů a ukázal, jak funguje např. obchodování se odcizenými údaji a jak je pro útočníky jednoduché je získat.

Následně poradil kroky, co dělat, aby advokáti a advokátní kanceláře nepřišli o elektronickou minulost firmy. Ať už jde o omezení přístupu zejména manažerů, kteří jsou největším bezpečnostním rizikem a hrozbou pro firmu proto, že chtějí mít neomezený přistup ke všemu, ale obvykle nemají patřičné znalosti IT.  Nebo o dobré rady stran konstrukce hesel, možnosti šifrování, instalace antivirů a dalších bezpečnostních prvků. Apeloval také na pravidelné vzdělávání a školení majitelů AK i jejich zaměstnanců v oblasti IT, protože opomenutí bezpečnostních opatření se nevyplácí a v extrémním případě může vést až ke konci existence advokátní kanceláře.

Přestože málokterá advokátní kancelář přizná, že nedokázala ochránit svá data, stává se to stále častěji. Ostatně tato rizika okomentoval i místopředseda ČAK a odborník na právo IT JUDr. Martin Maisner, PhD. MCIArb, který uvedl, že „je to stejné, jako kdyby spis shořel nebo ho advokát ztratil. Pokud podstatné věci, jako jsou data, lhůty, důkazy a předvolání, chybí, může například dojít ke zmeškání soudního jednání, mohou být ztraceny určité důkazy nebo důležité informace. A za toto vše nese advokát profesní odpovědnost a může tak snadno skončit před kárnou komisí.“

Podle obou lektorů, jejichž odborné znalosti účastníci semináře pochvalně ocenili, je zvlášť v období před koncem roku na místě zvýšená obezřetnost, aby se advokáti nestali jako „zlaté vejce“ snadnou kořistí pro útočníky na sítích. Proto se tématem kyberbezpečnosti a vzdělávání v oblasti IT bude ČAK i nadále zabývat.

Redakce AD
Foto: AD