Sikkerhet og advokaters bruk av IKT-verktøy

Teknologien som benyttes i advokatvirksomhet er i rask utvikling. Utviklingen bringer med seg juridiske utfordringer hvor man må finne løsninger selv om jussen ikke er skrevet for den teknologien som anvendes.

Her går vi inn på anbefalte løsninger for de teknologiske hjelpemidlene som er vanlige i dag. Det at teknologien endrer seg raskt, betyr også at man med jevne mellomrom må revurdere hvilke sikkerhetstiltak man har.

Sikker PC-bruk

  • Det anbefales å bruke profesjonelle IT driftsleverandører. Disse vil normalt ha gode rutiner for kryptering, backup, oppdaterte antivirusprogramvare, softwareoppdateringer, operativsystemoppdatering og sikre påloggingsløsninger med tofaktorautentisering. Leverandører av bransjeløsninger for advokater vil normalt ha gode avtaler med driftsleverandører.
  • Tilgang til PC og servere må være passordbeskyttet. PC-ene bør automatisk låses etter kort tid med inaktivitet. Lokalitetene PC-ene og servere står i må for øvrig sikres forsvarlig.
  • Bruk kryptert nett – sikker forbindelse (VPN/Citrix e.l.) når man logger seg på offentlige trådløse nettverk på cafeer, hoteller og flyplasser etc.

Mobiltelefon og nettbrett

  • Mange advokater synkroniserer mobiltelefon og nettbrett med kalenderen og e-post. Mange har også dokumenter lagret på telefon eller nettbrett. I slike tilfeller vil mobiltelefonen og nettbrettet kunne inneholde detaljerte klientdata eller ansattedata. Hvis enheten mistes eller stjeles, kan informasjonen komme på avveie. Et enkelt tiltak er å aktivere passordbeskyttelse på den enkelte enhet og evt. sporingstjenester. Dersom man har personopplysninger lagret på enheten, må man ytterligere beskytte informasjonen som er lagret på den. Mange mobiltelefoner og nettbrett kan fjernslettes og det er en nødvendighet for at man kan ha klient- eller ansattedata på dem. For å kunne fjernslette en enhet, må det installeres en dedikert programvare og det må gjøres før behovet plutselig oppstår. Det finnes ulike administrasjonsløsninger for mobiltelefoner. Hør med din IT driftspartner om hvilket Mobile Management system de vil anbefale.

  • Særlig følsomme samtaler: En samtale over mobil er ikke sikker per definisjon. Har du behov for å sikker talekommunikasjon er et alternativ å kjøpe inn særskilt sikre mobiltelefoner. Vær da klar over at du og din samtalepartner begge må ha en slik enhet. Det finnes videre bl.a. enheter som kan tenkes å avsløre enheter som lytter på mobile samtaler, såkalte IMSIcatchere. Multisys er et selskap som kan rådgi om dette.

  • Voice over IP (Internettprotokoll) som alternativ til mobil tale. Fordelen med slike systemer er at samtalen kan krypteres. Eksempler på slike systemer er: Skype for business fra Microsoft og appen Signal fra Open Whisper Systems.

Sikre møter

  • Alle møter kan i prinsippet avlyttes. (I møterommet og på avstand.)

  • Mobile enheter kan enkelt benyttes til både avlytting og opptak. Et enkelt tiltak er å innføre en rutine om å legge igjen mobile enheter utenfor møterommet. Et annet tiltak er å holde møterommet avlåst når det ikke er i bruk.

  • Det finnes utstyr som kan tenkes å avsløre avlyttingsutstyr. Etablering av avlyttingsfrie møterom er også et alternativ. Multisys er et selskap som kan rådgi om dette.

Minnepinner

  • Det er vanlig å bruke minnepinner til oppbevaring av store mengder data. Slike minnepinner representerer en stor sikkerhetsrisiko fordi de, på samme måte som mobiltelefoner, ofte brukes utenfor kontoret og de er lette å glemme, miste eller stjele. Når klientinformasjon lagres på minnepinner, bør minnepinnen være kryptert.
  • Vær oppmerksom på at minnepinner bruker til å initiere digitale angrep. Minnepinner som man ikke kjenner bør ikke brukes. Minnepinner som er brukt på andre maskiner bør sjekkes før den brukes.

E-post

  • Vanlig e-post er ikke sikret mot at tredjemann kan lese innholdet. E-post regnes derfor ikke som en sikker kommunikasjonsmåte. På advokaters hjemmeside, der det står at man kan sende epost inn til advokaten, må det orienteres om at slik e-post ikke er kryptert eller sikret på annen måte. En mulig informasjonstekst kan være:”Vær oppmerksom på at bruk av e-post har mange svakheter som gjør at fortrolige opplysninger kan komme på avveie. Send derfor ikke sensitive eller fortrolige opplysninger på e-post”.

  • Det må innarbeides rutiner som sikrer at advokaten ikke selv tar initiativ til overføring av sensitiv informasjon på en usikker måte. Advokater må dessuten ha mulighet til å kunne sende og motta kryptert e-post når dette er nødvendig, se særlig personopplysningsforskriften § 2-11. Det finnes mange programvareløsninger som åpner for slik mulighet. Vær oppmerksom på at der det brukes passord for å åpne et dokument, så skal passordet ikke sendes via samme kommunikasjonskanal som e-posten, men oppgis pr telefon eller sms.

  • E-post kan sikres helt eller delvis på mange ulike måter.

  • Kryptering av kanalen: TLS-kryptering blir gradvis mer utbredt. Alle advokatselskaper bør ha aktivert TLS-kryptering på sin e-postserver.

  • Kryptering av vedlegg: Kryptering av PDF er et alternativ. Passordet må formidles på egnet måte, f.eks. sms.

  • Kryptering av hele e-posten: Det finnes ulike systemer for kryptering av hele e-posten. Det er imidlertid flere utfordringer med disse systemene. Det kreves ofte at spesielle programtillegg installeres for å få vist e-posten. Spam filtere kan tenkes å fange de krypterte e-postene. Videre har det vist seg vanskelig effektivt å få arkivert disse ukryptert i eksisterende dokumenthånteringssystemer.

  • Sikker fildelingsløsning: Dokumenter kan også utveksles via en sikker fildelingsløsning – også kalt datarom. Eksempler på norske tjenester er: Filecloud fra KeepitSafe og Admincontrol. Et eksempel på en internasjonal tjeneste er: HighQ.

  • Rett adressat: Det bør være en rutine i enhver sammenheng å dobbeltsjekke at informasjon via e-post sendes til riktig adressat. En annen side av dette er verifisering av at den du kommuniserer med faktisk er den vedkommende gir seg ut for å være.

  • Utveksling av dokumenter: Endelige dokumenter bør utveksles i et format som ikke kan endres på i ettertid slik som f.eks. PDF. Metadata lagres fortløpende i Microsoft Word eller et annet tekstbehandlingssystem. Slike metadata bør vaskes før oversendelse til motpart. Det er funksjonalitet i nyere versjoner av Word som kan benyttes. I tillegg finnes egne produkter som kan benyttes.

Skytjenester - cloudløsninger

  • Skytjenester, også benevnt cloudløsninger, har blitt populære de siste årene. Løsningene tilbyr rimelig tilgang til systemer og kan brukes uavhengig av sted og enhet via Internett. Det varierer mye hvilke tjenester som leveres, det kan være alt fra lagring av dokumenter til regnskapssystemer. Noen eksempler er Microsoft Office 365 og Google G-suite.

  • Mange skytjenester lagrer informasjon i utlandet og derfor er reglene om overføring av personopplysninger til utlandet relevant for om tjenestene kan brukes på lovlig vis. Advokatforeningen har fått flere henvendelser fra medlemmer om bruk av Cloud computing, og om det er forsvarlig for advokater å ta slike tjenester i bruk i sin advokatvirksomhet. Det ble på denne bakgrunn oppnevnt et utvalg for å lage en veiledning for advokaters bruk av Cloud-tjenester. Last ned veiledningen her (pdf). Denne veiledningen vil bli oppdatert, men per idag er den dessverre ikke oppdatert. Utvalgets arbeid ble levert juni 2014 og er kun oppdatert en gang etter det ifm. den såkalte Safe Harbour-dommen av 6. oktober 2015. Advokatforeningen understreker at utvalgets veiledning ikke tar sikte på å være en anskaffelsesveiledning eller en uttømmende veiledning i inngåelse av avtaler om Cloud-leveranser. Advokatforeningen kan ikke på generell basis friskmelde Cloud-tjenester for advokatbransjen generelt, men det er på det rene at flere advokatselskaper benytter slike tjenester i dag. Det er det enkelte advokatfirmas ansvar å påse at en avtale om Cloud-tjenester er i samsvar med det til enhver tid gjeldende regelverk for behandling av personopplysninger. Det gjelder dog ikke egne særskilte regler for advokatbransjen utover det som fremgår av Advokatforskriften og Regler for god advokatskikk.

Bransjeløsninger

Et godt saksbehandlingssystem for advokater skal gi god oversikt og være effektivt å bruke. Hvilke funksjoner de ulike systemene har varierer noe, men det er en en del funksjoner som går igjen i de fleste systemene. Eksempler slike funksjoner er:

  • Timeføring etter bokføringsforskriften og håndtering av utlegg.
  • Fakturering og kundereskontro.
  • Håndtering av klientmidler.
  • Kontaktregister med konfliktsøk.
  • Historikk og oversikt over all kommunikasjon, herunder både brev og e-post, disse bør også kunne ordnes etter tilhørende sak.
  • Dokumenthåndtering og arkiv. Det brukes gjerne tilpassede dokumentmaler og systemet er ofte integrert med Microsoft Office.
  • Fristhåndtering.
  • Gode søkemuligheter i systemet.
  • Tilgangstyring.
  • Rapportering og statistikk.

Leverandørene av disse systemene har gjerne gode partnere som kan drifte disse systemene og levere dem som en komplett løsning med Microsoft Office og e-post med Microsoft Exchange Server. Ofte tilbys tilgang til tjenestene gjennom bruk av Windows Terminalserver eller Citrix.

Aktuelle leverandører for mindre og mellomstore advokatkontorer er: www.advisor.no; www.datalex.no og www.jussys.no.

Aktuelle leverandører for større advokatkontorer: www.advania.no og www.deltek.com

Disse løsningene integreres med avanserte dedikerte dokumenthåndteringssystemer. Leverandør av slike systemer er: www.contesto.no og www.irislink.com

Praktiske råd

Advokatforeningen gir medlemmer av foreningen tilbud om en samtale vedrørende bruk av IKT-verktøy i egen advokatvirksomhet. Hva bør man tenke på ved anskaffelse av IKT-verktøy og hvilke verktøy finnes i advokatmarkedet? Send en e-post til post@advokatforeningen.no eller ring 22 03 50 50 og be om å få snakke med foreningens rådgiver på området.