15:08
18/3/2020

Wśród szalejącej zarazy ludzie muszą znaleźć nowe, zdalne narzędzia pracy. Niestety mogą oni sięgać po produkty popularne, ale nie zawsze bezpieczne dla tajemnic zawodowych, a organizacje branżowe nie zawsze dobrze ich pokierują.

Praca “z domu” to same problemy i akurat w naszej branży ludzie to wiedzą. Wszyscy przeszkadzają, tyjesz, wchodzisz w konflikty z bliskimi, dziczejesz. Są jednak takie grupy zawodowe, które dopiero poznają uroki pracy zdalnej.

Taką grupą są prawnicy. Część z nich to radcowie prawni, a zatem Krajowa Izba Radców Prawnych postanowiła im pomóc przygotowując poradnik pt. Jak komunikować się w na odległość? (to nie my dodaliśmy “w” w tytule). Poradnik omawia następujące narzędzia do współpracy zdalnej – tu werble – Messenger, WhatsApp, Google Hangouts, Microsoft Teams oraz Slack.

Nie tylko my się skrzywiliśmy. Oczywiście większość prawników korzysta z Messengera prywatnie, ale korzystanie z tego komunikatora w ramach pracy prawnika nie wydaje się najlepszym pomysłem. Z kilku powodów.

Przede wszystkim prawnicy nie powinni mieszać swoich prywatnych kontaktów i wiadomości z kontaktami i wiadomościami zawodowymi. Messenger właśnie do takich zachowań może ich popychać (no chyba, że będziemy namawiać radców na łamanie regulaminu i tworzenie kont zombie :)). Problemowa jest również polityka prywatności Messengera i Facebooka, która wprost przewiduje przetwarzanie przez Facebooka informacji o kontaktach danego użytkownika. Wreszcie problemem może być to, że Messenger nie ma domyślnego szyfrowania end-to-end.

Owszem, w Messengerze możliwe jest włączenie tzw. tajnych konwersacji, ale poradnik KIRP o tym nie wspomina. Poniżej widzicie jedyny slajd z instrukcją korzystania z Messengera.

O tym jak włączyć tajne konwersacje możecie poczytać na stronach pomocy Facebooka.

WhatsApp wygląda trochę lepiej niż Messenger, ale jakby nie patrzeć jest to produkt Facebooka. Nie jest to najlepszy produkt dla prawnika i nie tylko my jesteśmy tego zdania.  Dr Paweł Litwiński, ceniony w Polsce ekspert od ochrony danych, już wezwał na Twitterze by z dystansem podchodzić do poradnika KIRP.

Niektórzy prawnicy powiedzą, że Messenger będzie dobry jeśli klient tak chce. Tylko czy prawnik nie powinien czasem wejść w rolę tego, kto edukuje swojego klienta w kwestii bezpieczeństwa informacji?

Od siebie możemy dodać, że od dawna obserwujemy w środowisku prawników dyskusje na temat używania komunikatorów. Część z nich w ogóle nie myśli o tym, że różne sposoby komunikacji cechują się różnym podejściem do przesyłanej informacji. Było to widoczne również w kontekście serwisu Adwokat.com, który miał stanowić platformę nawiązywania kontaktów między prawnikami i potencjalnymi klientami(!!!). Serwis ten zaliczył bardzo poważny wyciek danych, ale bardziej oburzające mogło być to, że jakikolwiek prawnik mógł z niego korzystać (zob. Wyciekły dane tysięcy osób korzystających z porad prawnych online. Bardzo wrażliwe dane)

Państwo na “darmowych” usługach

Apel dra Litwińskiego wpisuje się w szerszy problem, które zapewne będzie dawał o sobie znać w najbliższych tygodniach. Problem jest taki, że różne instytucje korzystają z różnych bezpłatnych usług np. prawnicy potrafią korzystać z bezpłatnych skrzynek e-mail. Problem ten poruszała niedawno Gazeta Prawna zwracając uwagę, że prawnicy nie powinni korzystać z usług przewidujących – jakby nie patrzeć – skanowanie treści korespondencji.

Ze skrzynek pocztowych w popularnych portalach korzystają także niektóre urzędy np. Powiatowy Inspektorat Nadzoru Budowlanego w Płocku korzysta ze skrzynki na Wirtualnej Polsce. Co jakiś czas czytelnicy piszą do nas z pytaniem, czy jest to bezpieczne? Udzielenie odpowiedzi nie zawsze będzie proste. Zależy to od charakteru danych przesyłanych na skrzynkę oraz od wybranego wariantu usługi. Niemniej używanie takich skrzynek przez urzędy wzbudza niepokój i rozumiemy to.

Służby państwa czasami nie potrafią się obejść bez narzędzi Google czy Facebooka. Co jakiś czas piszecie do nas o tym, że na stronie podatki.gov.pl są ciasteczka Google, a polityka prywatności tego podatkowego serwisu wprost mówi…

używamy cookies google-analytics.com, które służą do prowadzenia statystyk dla witryny www.podatki.gov.pl. Dokładny sposób działania i politykę prywatności Google Analytics można znaleźć pod adresem ….

Niektórzy z naszych Czytelników pytają, czy dane o ich podatkach mogą trafiać do Google? Tutaj was uspokoimy.  Zbieranie danych z użyciem ciasteczek Google nie dotyczy serwisu dla użytkowników zalogowanych w usłudze Twój e-PIT (uzyskaliśmy w tej kwestii także potwierdzenie od biura prasowego MF). Niemniej rozumiemy tych wszystkich, którzy retorycznie pytają: “czy naprawdę ministerstwo w miarę rozwiniętego kraju nie może obejść się bez pomocy Google’a”?

Co robić? Jak żyć?

Ostrożnie wybierajcie narzędzia do pracy zdalnej, szczególnie jeśli obowiązują was jakieś tajemnice zawodowe.

Wiecie doskonale, że od dawna polecamy Signala i nadal mamy powody by uważać go za produkt o dość wysokim poziomie poufności. Niemniej pisząc ten tekst zdaliśmy sobie sprawę, że produktów do wideorozmów jest naprawdę dużo, a rekomendowanie każdego z nich wymaga zapoznania się z dokumentacją. Istotne jest przy tym, że szyfrowanie wiadomości do serwera nie jest tym samym co tzw. E2EE, czyli szyfrowanie end-to-end, a tego właśnie powinniśmy wymagać od komunikatorów.

Nadrobimy zaległości i w najbliższym czasie opublikujemy wykaz usług/programów, które można uznać za odpowiednie dla ludzi, którzy muszą pracować zdalnie i jednocześnie muszą dochować tajemnic zawodowych. Ciąg dalszy nastąpi.

Aktualizacja 19.03.2020 14:41

Opublikowaliśmy krótki przegląd narzędzi do wideorozmów, które oferują szyfrowanie end-to-end. Zob. Narzędzia do rozmów i konferencji wideo z szyfrowaniem end-to-end. Krótki przegląd

Przeczytaj także:

22 komentarzy

Dodaj komentarz
  1. Przecież Signal też jest opisany w rzeczonym poradniku.

    • To chyba masz jakąś inną wersję.

    • Wersja z linku z artykułu :) Na końcu jest Signal i napisali, że jest najbezpieczniejszy z wszystkich wyżej wymienionych. Dodatkowo na początku i końcu poradnika jest ostrzeżenie, że te aplikacje “mogą nie zapewniać prywatności” i należy korzystać z dodatkowych funkcjonalności tych aplikacji pozwalających zarządzać poziomem zabezpieczeń (czyt. włączyć dodatkowe szyfrowanie jeśli możliwe).

  2. Jakimś rozwiązaniem jest korzystanie ze zdalnego pulpitu, ponieważ łączymy się z naszym kompem tyle, że zdalnie. Tak wiem przez pośrednika – serwer usługi ale można też bezpośrednio przy stałym IP i tu liczę na jakiś dobry w tym zakresie poradnik niebezpiecznika, oby tylko łącza wytrzymały oblężenie.

    • Też jestem za dobrym poradnikiem o konfiguracji RDP. Wiem, że na portalach informatycznych pewnie jest ich dużo, ale mi chodzi o poradnik pod kątem maksymalnego możliwego bezpieczeństwa.

    • “RDP” i “bezpieczeństwo” w jednym zdaniu? Serwery RDP to najbardziej dziurawe oprogramowanie.

  3. Co uważanie o: Skype screen sharing?

  4. Jak widać na FB, jest napisane:
    opracowania została przesłana m.in. do seniorów – radców prawnych, którzy z uwagi na bycie w grupie ryzyka, często zostają w domu i nie mogą utrzymywać kontaktów face t oface między sobą, lub z dziećmi/wnukami. Niestety, niektórzy z nas znaleźli się w sytuacji przymusowej izolacji. Nie chcemy by ktoś był wykluczony tylko z tego powodu że nie ma wiedzy jak z takich narzędzi korzystać. Bardzo chętnie skorzystamy z sugestii – prosimy o wsparcie – i pomoc w stworzeniu poradnika jakie narzędzia gwarantują bezpieczeństwo komunikowania się radcom prawnym.
    Bądźmy dla siebie mili i wyrozumiali – to ciężki czas dla nas wszystkich.
    Bardzo się staraliśmy – by szybko dać te informacje naszym koleżankom i kolegom.
    I nie widzę nigdzie w tym pliku, żeby było napisane, że te narzędzia gwarantują zachowanie tajemnicy. wręcz przeciwnie, jest napisane, żeby czytać regulaminy

  5. przecież Signal jest opisany, zresztą Microsoft Teams też jest niczego sobie. A jak to było pisane do dziadków, którzy nie ogarniają że można przez kamerkę rozmawiać z kimś, to nie Dziwnę , że sprawa szyfrowania i tajemnicy jest potraktowana slajdami opisowymi. Oczywiście można by napisać idealny poradnik, ale nie żyjemy w idealnym świecie

    • @Vanthorn
      Twierdzenie że szyfrowana komunikacja potrzebna jest tylko do danych wrażliwych albo objętych tajemnicą prawnie chronioną jest błędne.
      KAŻDY ma prawo do prywatności, również babcia wysyłająca przepis na zupę. Dlatego KAŻDY powinien używać wyłącznie bezpiecznych, otwartoźródłowych komunikatorów wspierających E2EE.
      FB Messenger, email, Skype -> te technologie należy po prostu porzucić i nie używać więcej.

  6. A co myślicie o komunikatorze Session? Nowość na rynku i nie potrzebuje numeru telefonu. Panie Piotrze co Pan o tym sądzi?

  7. Nie żartuj. Signal jest na końcu, i w postaci dwóch slajdów z ulotki reklamowej. A poprzednie są ze strzałkami co gdzie klikać.
    A w dodatku na początku i na końcu klauzule “korzystanie z darmowych aplikacji
    może nie zapewniać prywatności i bezpieczeństwa danych. Czytajmy regulaminy”.
    A w dodatku literówki.
    Masakra. Nie ma autora, może się wstydził. Ja też bym się wstydził.

  8. A ja nextclouda mam postawionego na vps, działa i nie przerywa, tylko dwie osoby na nim siedzą. I cały dzień ma nim wisimy. Prócz talka jest jeszcze zwykły serwer plików jako chmura.

  9. tak, teraz ludzie zestawiają sobie zdalną pracę ad hoc i robią masę błędów z zakresu prawnego i security, które później się na nich zemszczą – czy to ze względu na włamy czy na GDPR – no nic, zobaczymy jakie kwiatki z tego wynikną
    ogólnie przypominam że trzeba mieć umowy na powierzenie danych, ale kto by o tym myślał, gdy pospolite ruszenie rzuciło się na pracę zdalną
    będzie ciekawie

  10. Tak naprawdę to wystarczy tylko i aż prosty programik do szyfrowania GPG (PGP) i darmowy email. Zapewnia 200% tajemnicy korespondencji, ale niestety dzięki darmowemu emailowi nie zapewnia tajności “kto i z kim”.

    • Choć co do tego “kto i z kim”, to jeśli klient używałby TORa, to można by wyeliminować (ograniczyć) i ten problem.

  11. Poradnik KIRP jak na pierwsze wydanie i to robione na szybko, ja oceniam dobrze. Jest to próba wyjścia na przeciw Tym radcom, którzy naprawdę zostali bez możliwości komunikacji. I oczywiście, można się czepiać, ale po co. Lepiej doradzić co dobre, pamiętając, że większość radców nie zrozumie połowy tego, co tutaj piszecie. Pod postem KIRP pojawiły się różne rady, i część natychmiast wdrożono do poradnika. Ja tam każdą radę od fachowca chętnie przyjmę i rozpropaguję, w miarę moich możliwości. Jeśli redakcja zamieści info o narzędziach dla profesjonalistów, ze wskazaniem pułapek i poleceniami, chętnie wezmę aktywny udział w promocji i mam wrażenie, że nie tylko ja. Owszem, jest teraz trochę porad od fachowców w tej sprawie, ja też wraz z Krzysztofem Ogorzałkiem i Szymonem Kwiatkowskim mówimy o tym na ostanim live. Ale, KIRP dociera do tych, którzy nie mają pojęcia o naszym istnieniu. A co do narzedzi: Teams, Signal, zoom płatny, płatne narzędzia googla i przede wszystkim: dobry system do zarządzania kancelarią, zapewniający udostępnianie plików w ramach zespołu i z klientem. I trzymajcie się ciepło i NIE szerzcie hejtu w żadnej formie. Ja tam mam nadzieję, że to dobry początek i dalej pojawią się solidne rekomendacje w oparciu o opinie opłaconych fachowców.

    • > Poradnik KIRP jak na pierwsze wydanie i to robione na szybko,
      > ja oceniam dobrze. Jest to próba wyjścia na przeciw Tym radcom,
      > którzy naprawdę zostali bez możliwości komunikacji.
      > I oczywiście, można się czepiać, ale po co.

      Pomysł wydania poradnika jest bardzo dobry.
      Ale złe rady przecież trzeba piętnować, tak samo jak napiętnowałaby Pani mecenasa dającego złe porady prawne swojemu klientowi. To nie jest czepialstwo. Poradnik warto wydawać tylko gdy jest na merytorycznie wysokim poziomie.

      > Lepiej doradzić co dobre, pamiętając, że większość radców nie
      > zrozumie połowy tego, co tutaj piszecie.

      Pani chyba żartuje!

      Uważam, że można (i należy) oczekiwać od człowieka, który w ramach przygotowania do zawodu studiował logikę i filozofię oraz dogłębnie poznał teorię prawa, że zrozumie dlaczego trzeba dbać o poufność internetowej komunikacji. Że nauczy się (jeżeli trzeba to z własnej inicjatywy) jak działa Internet, jak działa poczta elektroniczna, co to jest szyfrowanie i dlaczego ważne jest żeby aplikacja była otwartoźródłowa. Że da sobie wytłumaczyć dlaczego należy szyfrować emaile, dyski twarde i pendrive’y i to otwartym oprogramowaniem. Nie mówię tu o żadnych technicznych niuansach, lecz o podstawowej umiejętność bezpiecznej komunikacji w Internecie. To nie jest żaden poziom ekspercki czy “hakerski”.

      Nie twierdzę że Pani tak robi, ale zapewne zetknęła się Pani z prawnikami załączającymi do maili różne żałosne stopki informujące że “wiadomość zawiera treści chronione tajemnicą adwokacką” i że “niebędąc jej adresatem natychmiast należy ją usunąć i powiadomić nadawcę”. To są kpiny przecież. Korespondencję należy zabezpieczać przed nieuprawnionym ujawnieniem realnie (czytaj: szyfrując), a nie fikcyjnie (groźbami i/lub ostrzeżeniami).

      Łączę pozdrowienia.

    • > Pod postem KIRP pojawiły się różne rady, i część natychmiast wdrożono do poradnika

      W poradniku jest informacja teraz, że “nie należy tych komunikatorów wykorzystywać do komunikacji z klientem”.

      To czego należy używać, zdaniem autorów?

  12. […] trochę narzekaliśmy na Krajową Izbę Radców Prawnych, która poleciła prawnikom Messengera. Nie chcieliśmy jednak poprzestać na skrytykowaniu KIRP, dlatego przygotowaliśmy alternatywny […]

  13. > Problem ten poruszała niedawno Gazeta Prawna zwracając uwagę, że prawnicy nie powinni korzystać z usług przewidujących – jakby nie patrzeć – skanowanie treści korespondencji

    Nikt z nich nie powinien korzystać. Tak, z Gmaila też trzeba zrezygnować.
    Każdy ma prawo do prywatności, nie tylko prawnik i jego klient. każdy email powinien być traktowany jak poufny – zwykłe osobiste listy też się wkładało do koperty, a nie pisało na kartce pocztowej.

  14. […] O tym jak dobierać narzędzia do komunikacji z klientami dowiesz się tutaj. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: