Prijava

U središtu

ISO ide, mala! - Vodič kroz postupak jačanja kibernetičke otpornosti u odvjetničkim uredima

09.07.2025

"Početak ljeta je idealno vrijeme da sve završimo, posložimo klijentske i interne stvari i odemo na godišnji na miru." — nitko nikad u odvjetničkom uredu.

U sezoni “daj samo da još ovo pošaljemo klijentu prije godišnjeg”, spominjanje sređivanja internih procesa spada u kategoriju neugodnih tema. I dok nam čisti stolovi daju lažni dojam kontrole, digitalni kaos u kojem poslujemo je tema koju i dalje guramo pod tepih, da tamo čeka neka mirnija vremena.

Kibernetičko pravo danas čini sastavni dio svakog ozbiljnog compliance okvira naših korporativnih klijenata, ne samo unutar tehnološkog sektora. Tematika je zaista kompleksna i očekivano je da nas puno ne zna od kud krenuti, no, kao i uvijek, najbolje je krenuti od vlastitog dvorišta.

Interno usklađivanje odvjetničkih ureda svakako nije prioritet na +40, no možda i nije loše da se i takve ideje malo „kuhaju“ preko ljeta, zajedno s nama.

U našoj odvjetničkoj zajednici, većina lokalnih odvjetničkih ureda nastala je organskim rastom, bez unaprijed složene strategije i korporativne strukture. U pravilu ih vode ljudi pravne struke, koji su o poslovanju učili usput, kroz praksu, iskustvo i poslovne izazove. Fokus je uvijek bio (i ostao) na pružanju pravnih usluga, dok se poslovnoj strani često pristupa onoliko koliko je to nužno da bi ured funkcionirao.

Digitalni kontekst toliko je izmijenio ono što radimo i način na koji to radimo, ali način na koji upravljamo poslovanjem ostao je gotovo nepromijenjen. Naravno da nemamo sektore za upravljanje rizicima, no u mnogim uredima ni sam pojam procesa ne postoji kao formalna kategorija.

Ipak, unatoč uglavnom skromnim resursima investiranim u razvoj poslovanja i decentraliziranom načinu rada, odvjetnici i dalje uspijevaju izgraditi respektabilnu i održivu zajednicu. Ovo nije kritika, nego opis stvarnosti koja je do sada uglavnom vrlo uspješno funkcionirala.

No jesmo li spremni priznati da dosadašnje metode možda više nisu dovoljne?

Kontekst u kojem poslujemo je odavno digitalan i svaka naša aktivnost zahtijeva znatno veću pažnju jer povjerenje u odvjetničku struku više ne može biti potpuno bez sigurnosti digitalnih okruženja u kojima poslujemo.

To što u svom uredu nemate jasno definirane odjele ili procese ne znači da ih nemate. Način na koji radite posao su vaši procesi, a ljudi koji ga obavljaju, vaši su odjeli. Nema ništa loše fleksibilnosti manjih organizacija, dapače, no u ovom kontekstu problem leži u tome što je, kad nešto nije jasno artikulirano, teško postaviti prave mehanizme zaštite.

Kibernetička otpornost postala je dio savjesnog poslovanja, a mnogim našim klijentima i zakonska obveza. Obveza zaštite odvjetničke tajne (dakle, klijentskih podataka) prelazi okvire analognog svijeta, a i naši vlastiti poslovni svjetovi koje marljivo gradimo također su uglavnom digitalizirani. I gdje smo onda mi odvjetnici u priči o kibernetičkoj otpornosti?

ISO što?

ISO 27001 je međunarodni standard za upravljanje sigurnošću informacija, a norma u svom punom nazivu (… Informacijska sigurnost, kibernetička sigurnost i zaštita privatnosti – Sustavi upravljanja informacijskom sigurnošću …) u kontekstu odvjetničkog ureda koji broji manje od 10 ljudi na prvu može zvučati kao pretjerivanje.

Koji vas je klijent na to natjerao? Pitanje je koje ćete dobiti od kolega ako se upustite u proces certifikacije. Drugi očigledan zaključak je da to radite jer vam treba „papir za neki natječaj“.

Odluka da angažirate nekoga da vas netko provede kroz veliko interno pospremanje i ojačavanje kibernetičke otpornosti još uvijek nije mainstream u našoj industriji, ali će za koju godinu vjerojatno postati. Ako ne našom željom, onda razvojem okolnosti koje već sada dovoljno konkretno pozivaju na pažnju, kako u kontekstu sve veće pojavnosti kibernetičkih napada i ostalih incidenata te, s tim u svezi, sve čvršći regulatorni okvir koji tome svemu pokušava stati na kraj.

Definiranje problema prvi je korak i vjerujem da nema dileme da je potreba jačanja kibernetičke otpornosti u odvjetničkim uredima potreba, ali i dužnost. Ciljevi i očekivanja su definirani, a puteva do njihova ostvarenja ima više.

Formalna certifikacija još uvijek nije uvjet kibernetičke otpornosti i naravno da i bez certifikata možete biti usklađeni.

Mi smo (prema mojim informacijama) treći odvjetnički ured u Hrvatskoj koji je odlučio krenuti tim putem, ali put do odluke o kretanju u postupak certifikacije bio je dosta kompleksan. U nastavku ću se dotaknuti nekih naših glavnih dilema i predrasuda u odnosu na postupak koji smo mi prošli, što će nekome možda uštediti sate razmišljanja i olakšati donošenje odluke.

Mi smo mali, tko bi nas hakirao

Ne morate biti velika organizacija da biste postali meta. Dovoljno je da ste vrata prema nekome tko jest. I što ste manji, to ste češće i lošije zaštićeni, a to je upravo ono što napadači traže. Uostalom, većinu napada rade automatizirani botovi koji ne percipiraju „važnost“ po ljudskim standardima.

Uzmimo za primjer Target (nomen est omen!), jedan od najvećih maloprodajnih lanaca u SAD-u, koji je doživio kibernetički napad koji i danas predstavlja prekretnicu u povijesti kibernetičke sigurnosti. U prosincu 2013. godine, hakeri su se infiltrirali u mrežu iskoristivši ranjivost dobavljača sustava grijanja i hlađenja i tom prilikom je kompromitirana enormna količina osobnih podataka, uključujući i podatke o kreditnim karticama više od 40 milijuna kupaca.

Dečki za klimu nisu ni sanjali da će završiti u sigurnosnim izvješćima FBI-ja, a na nama je da naučimo iz njihova primjera i napustimo iluziju da smo nezanimljivi ako smo mali.

ISO certifikacija je skupa

Ovo je očekivano jedna od glavnih tema, no, kako je Albert lijepo rekao – sve je relativno.

Troškove cijele priče možemo ugrubo podijeliti na tri skupine:

1) Konzultanti - ukratko obuhvaća svu podršku u kontekstu revizije, definiranja i dorade procesa i dokumentacije. Usluga uglavnom obuhvaća svu podršku do ishođenja certifikata, a opseg pa i cijena ovise o vašim internim procesima i zatečenom stupnju pripremljenosti. Mi smo razgovarali s nekoliko velikih i nekoliko manjih pružatelja konzultantskih usluga i svi redom su bili fantastični, tako da je izbor širok i vrlo kvalitetan. I cijene variraju o tome koliko je veliko društvo koje pruža konzultantske usluge i trebate sami procijeniti tko najviše odgovara veličini i potrebama vaše organizacije. Jako ih je malo (troje, najviše) koji imaju iskustvo rada na certifikaciji odvjetničkih ureda, no važnije od te reference je da tijek projekta kako ga vide konzultanti odgovara vama.

2) Certifikacija – u pravilu obuhvaća trošak 3 radna dana auditora i trošak izdavanja certifikata na odabranim jezicima i uglavnom ne odstupa previše među certifikacijskim tijelima.

3) Informatička infrastruktura i usluge – ovo je najneodređenija kategorija, no dobra vijest je što trošak možete kontrolirati. Sam opseg ulaganja u infrastrukturu nije definiran te uvelike ovisi i o vašoj postojećoj razini opreme. Razina ulaganja definira se razgovorima na tri razine u koje ste uključeni vi kao organizacija koji definirate zatečeno stanje i procese, konzultant koji definira zahtjeve norme i informatičar koji predlaže kako te ciljeve ostvariti. Mnoge rizike možete mitigirati ili barem kontrolirati procesima, umjesto ulaganjem u tehničku infrastrukturu, a i mnoge usluge nabave i instalacije pojedinih programa možete odraditi i sami. Mi smo konkretno u nekim aspektima uložili u tehničke mjere puno više nego što se očekuje od relativno male organizacije, jer znamo koje su nam ljudske slabosti. Primjerice, ako imate člana tima koji ponekad ostavi mobitel na krovu automobila, tu raspisani procesi ne mogu pomoći i rizik se konkretno može mitigirati samo tehničkim mjerama.

Sve skupa kad se zbroji daje cifru koja nije zanemariva, ali, kako rekoh uvodno, treba je staviti u kontekst poslovnih rizika koje ovime stavljate pod kontrolu. Troškovi vođenja poslovanja i zapošljavanja konstantno divljaju, ali kad sagledate ovo ulaganje kao neki temelj da bi taj posao i dalje postojao u budućnosti, rekla bih da se isplati. Da budem još konkretnija, sigurna sam da bi svaki naš klijent rado pristao da godinu-dvije ne dobije božićni poklon od nas, znajući da je taj budžet alociran u sigurnost njihovih poslovnih podataka.

ISO certifikacija zahtijeva puno vremena i fokusa najskupljih ljudi u redu

Točno. U našem slučaju, postupak je trajao otprilike 4 i pol mjeseca, što je operativno značilo točno 120 sati rada upravljačkih partnera. Dodatno, svi ostali članovi tima su morali uložiti otprilike po 10 sati na sudjelovanje u doradi procesa i informatičke infrastrukture te na interne edukacije. Ovo je vrijeme koje smo uložili na zaista detaljan pristup temi.

Vjerujem da bismo certifikat dobili i s duplo manje uloženog vremena, ali nam nije bila ideja da netko drugi raspiše naše procese i da imamo jedno stanje na papiru, a drugo u stvarnosti, čime bi cijela priča ostala samo puka forma. Poseban trud uložili smo u razumijevanje rizika i traženje načina da se oni kontroliraju tako da odgovara upravo našoj organizaciji. Upravo zato na projektu mora biti angažirana osoba koja najbolje poznaje procese, ali i ljude u organizaciji te može samostalno donositi odluke. Sve ostalo nema smisla.

Cijeli proces, uz veliku predanost, moguće je odraditi bez prekida uobičajenog posla jer je najveći dio na upravljačkim partnerima koji se ionako bave stvarima koje nisu isključivo rad za klijente. Iako smo te sate mogli alocirati u rad za klijente, kao i u prethodnoj točki, ovo se ne može smatrati gubitkom sati, nego ulaganjem. S druge strane, vrijeme nam svima leti, tih par mjeseci je apsolutno nebitna kategorija u životnom ciklusu odvjetničkog ureda.

Poslovanje odvjetničkog ureda je toliko specifično da se ne može uklopiti u općenite okvire certifikacije

Netočno. Istina je da smo visoko regulirana profesija s vrlo specifičnim pravnim okvirom djelovanja, ali osim toga, u našim procesima puno je dodirnih točaka s ostalim poslovnim organizacijama koje posluju na tržištu. Istina je i to da smo i samim konzultantima i auditorima vrlo egzotična bića no cijeli proces, po našem iskustvu, razmjena je mišljenja, pogleda i stavova na vrlo visokoj razini, kroz koje se oblikuju najbolja rješenja koja uzimaju u kontekst sve naše specifičnosti.

Jedan od prvih dodira s tim specifičnostima jest definiranje opsega certifikacije. Opseg ISMS-a (Information Security Management System – sustav upravljanja informacijskom sigurnošću) u suštini znači jasno definirano područje primjene tog sustava u organizaciji i jedna je od prvih stvari koje ćete trebati definirati. Odvjetnički uredi poput našega u suštini se bave pružanjem pravne podrške gospodarskim subjektima, no opseg naše certifikacije službeno ipak citira Zakon o odvjetništvu koji u svojoj definiciji iz čl. 3 odvjetničku djelatnost definira kao pružanje svih oblika pravne pomoći, a osobito davanje pravnih savjeta, sastavljanje isprava (ugovora, oporuka, izjava i dr.), sastavljanje tužbi, žalbi, prijedloga, zahtjeva, molbi, izvanrednih pravnih lijekova i drugih podnesaka te zastupanje stranaka.

Tu smo odustali od progresivnih ideja, ali veselimo se vidjeti hoće li budućnost donijeti neke izmjene i po tom pitanju.

Jednom kad uđeš u sustav certifikacije, to je trajna obveza i ulaganje

Točno. Certifikat treba obnavljati periodički i zaista jest trajna obveza i ulaganje, ali nikada na razini inicijalne certifikacije. Jednom kad se udare dobri temelji, praćenje tematike disperzira se na sve članove tima i vremenski ulog je zaista zanemariv, posebno zato što to više nije bavljenje ISO-om, već način na koji obavljamo posao, na koji evidentiramo događaje i upravljamo procesima. Financijski aspekt troška konzultanata u narednim godinama može se smanjiti time da položite za edukaciju za internog auditora (zašto ne?), a trošak recertifikacije je fiksan, ali nešto niži u odnosu na inicijalni.

U kontekstu još jedne obveze u nizu, mislim da nam je ova zapravo vrlo korisna. Dok na informacijsku sigurnost svi još gledamo kao na nešto što bi trebalo napraviti, a nikad nije pravo vrijeme, imati u kalendaru upisan rok recertifikacije i, u međuvremenu, niz manjih ali vrlo određenih ciljeva, drži nas trajno uključenim u temu, bez prevelikog uloga vremena.

Primjerice, postaviti ponavljajuću obvezu da se jednom mjesečno provjere ažuriranja na računalima može zvučati kao noćna mora u kontekstu svih ostalih obveza i rokova koje imamo svi u kalendarima, ali to je način da se na to naviknemo i da to počnemo raditi automatski, primjerice dok telefoniramo.

Ni kad se certificiraš nisi siguran

Točno! Nema neprobojnih sustava, no prošavši kroz ovakav proces barem znate da ste napravili sve što je u vašoj moći da rizike ograničite. Za početak, spoznat ćete koji su vaši rizici, gdje vam se što nalazi, kako to štitite. Ako vam se i dogodi incident, brzo ćete moći procijeniti njegov opseg i težinu te reagirati u skladu s tim, kako prema nadzornim tijelima, ali i prema svojim klijentima.

Naravno, tek kad sve to spoznaš, tek onda znaš da ništa ne znaš, ali ova spoznaja je prvi korak ka napretku u shvaćanju i prihvaćanju kibernetičkog prava kao minimuma svakog poslovanja – našeg i onog naših klijenata.

Proces je zamoran i dosadan

Ovisi. O ovome nisam razmišljala ranije, no proces svakako donosi malo previše Excel tablica za moj ukus. Sretna okolnost je bila ta što smo imali super tim kod konzultanta koji nas je s lakoćom i dobrom energijom proveo kroz objektivno zamoran posao. Osim cijene, svakako neka vam kriterij odabira konzultanta bude i tim ljudi koji bi radili na vašem projektu. Trenutno naš termin prve recertifikacije ne vezujem uz tablice, nego uz to što ću ponovno biti u kontaktu s dragim i pametnim ljudima. Kognitivno preoblikovanje u svom punom sjaju!

Sve predrasude su naizgled istinite, ali… pročitajte jednom i za sebe ta sitna slova

Ako ste samo preletjeli kroz ovaj članak, naravno da je ovo sve zvuči previše u svakom pogledu, ali ključ je u detaljima koje vrijedi barem razmotriti i odabrati svoj način jačanja ovog aspekta vlastitih organizacija.

Da se vratim na uvod članka i činjenicu da se mi pravnici oko kibernetičke regulative „još tražimo“ – jednom kad ovakav (ili sličan) proces prođete i sami, osim što ste ojačali svoju organizaciju, ojačali ste i svoje stručne kompetencije u već sad nezaobilaznoj grani prava. Osobno se nikada neću nazvati stručnjakinjom u grani prava koju poznajem samo u teoriji jer tek radom na konkretnim projektima postajemo suvereni. Ista analogija vrijedi i za tehnologiju gdje su nam pojmovi još apstraktniji, naravno. Tako primjerice kad za potrebe svoje organizacije proučite nekoliko sustava enkripcije, moći ćete puno suverenije sudjelovati u dizajniranju procesa kod klijenta ili, nedajbože, u timu za reakciju na kibernetički incident.

Naposlijetku, ali ne manje važno, nadam se da vam naslov članka nije zauvijek pokvario uživanje u ultimativnom ljetnom hitu. Ali mi pravnici smo ionako posebna sorta. Nije najčudnija stvar na svijetu da nas Kuzma & Shaka Zulu u hladu neke terase na plaži podsjete na - kibernetičku otpornost.

Iva Mišković, partnerica u Mišković & Mišković, odvjetničko društvo

Novi Zakon o izgradnji Centra za zbrinjavanje radioaktivnog otpada Prijedlog donošenja novog zakona predstavlja zakonodavni odgovor Republike Hrvatske na dugogodišnju potrebu uspostave funkcionalnog i sigurnog sustava gospodarenja radioaktivnim otpadom. Donošenje ovog zakona nameću međunarodne obveze koje proizlaze iz članstva Republike Hrvatske u Europskoj uniji,... 11.07.2025 Sud Europske unije: Zabrana oglašavanja ljekarni koja je na snazi u Poljskoj protivi se pravu Europske unije Sud Europske unije u Luxembourgu (u daljnjem tekstu: Sud) je 19. lipnja 2025. godine donio presudu u predmetu oznake C-200/24 1 povodom tužbe zbog povrede obveze na temelju članka 258. 2 Ugovora o funkcioniranju Europske unije (SL C 202, 7.6.2016., str. 1–388, u daljnjem tekstu: UFEU) koj... 10.07.2025 Pravo na fleksibilne oblike rada zbog obiteljskih obveza, europski kontekst i domaća primjena Zakon o radu Republike Hrvatske dopunjen je člankom 17.c , kojim se osigurava pravo na fleksibilne oblike rada za roditelje i pružatelje skrbi, a temelji se na Direktivi (EU) 2019/1158 o ravnoteži između poslovnog i privatnog života roditelja i njegovatelja . 07.07.2025 Srpanj na Sudu Europske unije Na Sudu Europske unije (dalje u tekstu: Sud EU-a) će tijekom srpnja biti donesene mnoge važne presude, ali će biti objavljena i važna mišljenja nezavisnih odvjetnika. 04.07.2025 Trenutne aktualnosti u sudskom registru Sudski registar je javna knjiga koju vodi trgovački sud i koja sadrži podatke o subjektima za koje je upis u registar propisan samim zakonom, a to su primjerice; trgovačka društva, bez obzira radi li se o društvu s ograničenom odgovornošću, jednostavnom društvu s ograničenom odgovornošću, dioničkom... 03.07.2025 „Prozor života“ u Republici Hrvatskoj – plemenita ideja u sudaru s pravom Socijalni i humanitarni koncept "prozor života" zamišljen je kao institut koji podrazumijeva postojanje grijanog i ventiliranog mjesta na koje roditelji mogu predati novorođeno dijete, koje se potom preuzima i osigurava mu se daljnja institucionalna skrb. Koncept je ustanovljen s ciljem sprječavanj... 02.07.2025 Pravo zadržanja (ius retentionis) Pravo zadržanja je ovlaštenje vjerovnika da dužnikovu stvar, koja se nalazi u njegovim rukama, zadrži do ispunjenja tražbine i da se naplati iz njezine vrijednosti ako izostane ispunjenje tražbine. 1 Zakon o obveznim odnosima 2 sadrži više odredbi kojima se uređuje pravo zadržanja. Osim opć... 30.06.2025 Više ...

Postavke kolačića

Scroll