FÖRFATTNINGAR OCH ANVISNINGAR GÄLLANDE ADVOKATVERKSAMHET

Transkript

1 B 5.2 INFORMATIONSSÄKERHETSGUIDE ( ) Med informationssäkerhet avses ändamålsenligt skydd av information, system och tjänster. Informationens konfidentialitet, integritet och tillgänglighet skyddas mot fel av olika slag, naturföreteelser samt hot och skador till följd av uppsåtligt eller oaktsamt handlande eller olyckor. Hoten mot informationssäkerheten är verkliga och uppträder varje dag. Ju mer information som behandlas i elektronisk form, desto mer framhävs betydelsen av informationssäkerhet. För advokater som hanterar stora mängder konfidentiell information är det absolut nödvändigt att beakta informationssäkerheten. Informationssäkerhet är ett brett begrepp som inbegriper flera delfaktorer. Om någon stjäl din bärbara dator eller en utomstående kommer åt att använda byråns datorer utan övervakning, hjälper det inte med en dyr brandvägg eller ens det nyaste antivirusprogrammet. Tillräcklig informationssäkerhetsnivå Informationssäkerheten är exakt så bra som den svagaste länken i informationsbehandlingen. Den svagaste länken är vanligen den som behandlar informationen. Informationssäkerheten kan därutöver påverkas genom tillgängliga tekniska lösningar och utbildning av personalen. En berättigad fråga är alltid vad som är en tillräcklig nivå på informationssäkerheten. Som tillräcklig kan som regel anses vara en nivå som klienten i den aktuella situationen ser som nödvändig för att skydda den information som han eller hon lämnat till advokaten. 1. Lokaler Inbrott, brand och andra liknande skador på lokalerna bör förebyggas. Lokalernas låssystem och eventuella larmsystem är den främsta förutsättningen för en informationssäker byrå. Till exempel det allmänna låssystemet och skyddet i byggnaden i fråga liksom andra aktörer i samma byggnad kan påverka nivån på skyddet av lokalerna. Beroende på lokalens storlek och antalet anställda kan det finnas skäl att indela lokalen i sektioner med låsbara mellandörrar. Dörrarna till arbetsrum och andra utrymmen bör kunna låsas. Servrarna bör placeras i låsbara rum som bara särskilt utsedda personer har tillträde till. 1.1 Utrustningens placering Det är viktigt att utrustningen placeras så att utomstående inte kommer åt att läsa exempelvis handlingar som anländer per fax eller skrivs ut. Också vid hanteringen av FAF / Februari 2013 B 5 / (17)

2 post bör man beakta kraven på informationssäkerhet. Dessa funktioner ska helst inte placeras i entréhallar eller mottagningsrum. 1.2 Planering av lokalerna och besökares möjlighet att röra sig i lokalerna Möjligheten för klienter och andra utomståenden personer att röra sig och vistas i lokalerna ska planeras så att inte byråns informationssäkerhet äventyras. Detta måste beaktas också vid planeringen av konferensrum. Klienter och andra utomstående personer ska tas emot när de anländer till byrån och personalen ska visa dem till rätt ställe. Man bör särskilt kunna identifiera servicepersonal. Om byrån har många anställda kan till exempel passersedlar eller andra ID-kort användas för att identifiera dem. En passersedel ska dras in genast när anställningen upphör. 1.3 Låsning av datorer och förvaring av annat material Byråns datorer ska låsa sig om de inte används på ett tag. För att låsa upp datorn behöver ett lösenord anges. I synnerhet datorerna i mottagnings- och besöksrum ska låsas också när man lämnar rummet bara för en kort stund. Det rekommenderas att man stänger av maskiner och utrustning vid arbetsdagens slut och inte låter dem stå i standby-läge, om det inte är nödvändigt till exempel på grund av säkerhetskopiering. Också när det gäller förvaringen av handlingar och annat material är det viktigt att beakta informationssäkerheten. Handlingar kan förvaras till exempel i skåp i arbetsrummen så att de inte kan ses av andra personer. Ett skriftligt sekretessavtal kan vid behov ingås med utomstående servicegivare, till exempel städ- eller IT-personal. förebygg skador lås datorn också när du lämnar rummet bara för en kort stund ta hand om handlingar och elektroniskt material tänk informationssäkert 2. Skydd av utrustning som innehåller konfidentiellt material Bärbara datorer och andra minnesmedia (t.ex. externa hårddiskar eller USB-minnen) kan bli föremål för stöld eller försvinna till följd av användarens oaktsamhet. De som använder USB-minnen ska välja en modell som i sig innehåller en teknisk möjlighet till kryptering. I bärbara datorer och externa hårddiskar ska utrustningens egen krypteringsmöjlighet användas, om en sådan finns. I annat fall måste användaren se till att utrustningen används och förvaras så att befintlig konfidentiell information är skyddad och vid behov kan förstöras på distans om utrustningen försvinner. 2.1 Bärbara och stationära datorer I fråga om bärbara datorer är risken att falla offer för stöld större än när det gäller stationära datorer, och därför bör sekretessen särskilt beaktas när dessa används. FAF / Februari 2013 B 5 / (17)

3 Enbart ett användarnamn och ett lösenord skyddar mot obehörig inloggning i en PC eller annan utrustning, men inte det innehåll/den information som finns i datorn, på en extern hårddisk, i en telefon, i ett minne eller på en hårddisk. Det är lätt att komma förbi koderna, och då går det att komma åt informationen. Därför rekommenderas det att hårddisken krypteras. Om datorn stjäls, kan filerna inte läsas utan ett lösenord till den krypterade disken. Stationära datorer ska åtminstone skyddas med ett lösenord. Hårddisken och filerna i en stationär dator kan också krypteras, vilket gör det svårare att komma åt filerna om datorn blir stulen. I stationära datorer är det också nödvändigt med bra användarnamn och lösenord, såväl på arbetsplatsen som hemma (se avsnitt 4). Ett effektivt sätt att förebygga stöld är att alltid placera utrustningen utom synhåll, så att den inte drar till sig uppmärksamhet. Vid stöld kan de materiella skadorna vara små, men förlorad information kan vara oersättlig. Informationen ska säkerhetskopieras regelbundet (se avsnitt 6). Det är bra att skydda konfidentiella filer genom kryptering! När bärbara datorer används utanför byrån bör man se till att förbipasserande eller utomstående som finns i närheten inte kan läsa de filer som visas på skärmen. Den som rör sig mycket rekommenderas att montera en skyddsfilm på skärmen, framför allt de som arbetar i offentliga rum eller reser och vistas till exempel på flygplatser eller tåg. Om datorn används hemma som arbetsdator, ska inte andra familjemedlemmar tillåtas att använda den för att surfa på nätet eller för spel. Datorn är blott och enbart ett arbetsredskap för användaren och innehåller bara program som behövs i arbetet. Ungdomar laddar ofta ner bl.a. musik, filmer, spel och andra filer från nätet och kan inte nödvändigtvis förutse följderna. 2.2 USB-minnen och externa hårddiskar Det finn numera ett stort utbud av USB-minnen och externa hårddiskar och användningen har ökat. På ett USB-minne är det lätt att spara också viktiga filer, men på grund av lagringsmediets ringa storlek är det lätt att tappa bort. Därför rekommenderas inte användningen av USB-minnen. Om det ändå är nödvändigt att transportera konfidentiellt material på ett USB-minne, bör man använda väl krypterade minnen med ett särskilt inbyggt krypteringssystem. Också externa hårddiskar kan behöva krypteras om man förvarar konfidentiell information på dem. För tjuvar är det lätt att ta med sig en extern hårddisk. Därför bör man kryptera hela hårddisken eller minnet. Se också avsnitt 10 Försäljning eller förstöring av utrustning som innehåller information. FAF / Februari 2013 B 5 / (17)

4 2.3 Telefoner Telefonen är numera en multifunktionell enhet som alla bär med sig. I leverantörens inställningar finns förfrågan om säkerhetskod kvar och möjligheten att ställa in telefonen så att den låses efter en viss tid när den inte längre används aktivt, men fortfarande är påslagen. Det är viktigt att den som använder telefonen är medveten om säkerhetsrisken. Utomstående, som inte har behörighet att ta del av de konfidentiella uppgifter som finns i telefonen, kan komma åt den. Risken kan i första hand minimeras genom att man ser till att telefonen inte innehåller några särskilt känsliga uppgifter. Också e- postmeddelanden, kontaktuppgifter och kalenderanteckningar är konfidentiell information! En enkel försiktighetsåtgärd är att aktivera PIN-kodsförfrågan och möjligheten till låsning och tömning av telefonen på distans. Den som verkligen vill kryptera informationen i telefonen, ska beakta det vid valet av telefon och telefonmodell. Möjligheterna att kryptera informationen i telefonen varierar mellan olika telefonmodeller. I praktiken har krypteringen betydelse bara när telefonen är stängd. När informationen krypteras bör man komma ihåg att all information i telefonen går förlorad om man glömmer lösenordet. 2.4 Uppdatering av operativsystem och program Datorernas operativsystem (t.ex. Windows, Apple, Linux) och andra program som används ska uppdateras alltid när det finns tillgång till nya uppdateringar. I operativsystemen ingår en automatisk uppdateringsfunktion, som tillverkaren ofta använder för att distribuera säkerhetsuppdateringar. I de nyaste operativsystemen uppdateras också de inbyggda programvarorna (drivrutinerna) automatiskt. Uppdateringarna ökar operativsystemets säkerhet och kan tillföra kontorsprogrammen nya egenskaper. Obs: Uppdateringar skickas praktiskt taget aldrig som e-postbilaga! Också webbläsaren och övriga program behöver uppdateras när det erbjuds nya uppdateringar. Det rekommenderas att alla program uppdateras regelbundet. Om man tillåter automatiska uppdateringar kommer dessa också att laddas ner automatiskt på datorn. Det rekommenderas att man ställer in programmen så att de uppdateras automatiskt! Manuella uppdateringar som man utför själv bör bara göras via officiella uppdateringssidor. Ett operativsystem som inte längre kan uppdateras, måste förnyas. Se till att det fortfarande finns stöd för ditt operativsystem och att det går att få uppdateringar från programtillverkaren. Till exempel Microsofts, Apples ja Linux äldre operativsystem uppdateras inte längre. Det lönar sig att dra ner systemets alla fildelningsinställningar till miniminivå eller avlägsna dem helt och hållet, om det inte på kontoret finns en arbetsgrupp eller arbetsgrupper som behöver kunna dela material. Fildelningsmappen är en mapp som kan användas för delning av innehållet i mappen mellan flera datorer i ett internt FAF / Februari 2013 B 5 / (17)

5 nätverk. Också rättigheten att använda och redigera delningsmappar som är avsedda för en filserver bör vara i skick så att inte utomstående eller personer som inte har något att göra med uppgifterna kommer åt dem. Fildelning ska inte användas utan särskilda skäl! kryptera konfidentiell information låt ingen annan använda din dator skydda också informationen på externa hårddiskar och USB-minnen beakta den säkerhetsrisk som telefoner medför välj en telefonmodell som är så säker som möjligt aktivera förfrågan om säkerhetskod och möjligheten att låsa och tömma telefonen på distans uppdatera regelbundet program och operativsystem använd inte fildelning utan särskilda skäl tänk informationssäkert 3. Skydd av trådlösa förbindelser 3.1 Trådlösa nätverk 3.2 Kryptering I dagens läge gör trådlösa kommunikationsnät det avsevärt lättare att organisera funktionerna på en byrå. Men när man bygger nätverket är det viktigt att komma ihåg att vilken utomstående person som helst utan några kunskaper om IT-området kan koppla upp sig på ett oskyddat trådlöst nätverk. Därför behöver man skydda byråns nätverk och, om tekniken tillåter, också dölja det så att ingen av en händelse kan upptäcka det. I den mån det är möjligt ska nätverket skyddas med sådan krypteringsteknik som för tillfället anses omöjliggöra intrång. Ett eventuellt nätverk för klienter ska hållas åtskilt från byråns eget nätverk. Vid krypteringen av nätverket bör man beakta helhetslösningarna för datasystemet. Krypteringen ska genomföras med hänsyn till trafiken i nätverket och med beaktande av vem som kan vidarekoppla sig och via vilket nätverk. Det lönar sig alltid att anlita experthjälp för genomförandet av olika tekniska lösningar. Vid valet av serviceproducent bör man om möjligt kontrollera företagets bakgrund. När systemen ska uppdateras är det viktigt att kontrollera att den som ska utföra arbetet verkligen är anställd hos serviceproducenten i fråga. skydda och (om möjligt) dölj byråns trådlösa kommunikationsnät håll ett öppet nätverk avsett för besökare åtskilt från byråns nätverk FAF / Februari 2013 B 5 / (17)

6 tänk informationssäkert 4. Användarnamn och lösenord 4.1 Val av lösenord Syftet med en omdömesgill användning av lösenord är att minimera utomståendes möjligheter att göra intrång i organisationens informationssäkerhetssystem och minska informationsläckaget. För att identifiera personer kan man använda bl.a. lösenord, krypterade nätverksnycklar, användarnamn och fingeravtryck (fingeravtrycksläsare). Om risken för stöld är större än normalt behöver datorerna ha ett starkare skydd än ett lösenord för inloggningen i operativsystemet. Lösenordsskyddet hindrar bara en icke sakkunnig från att försöka använda datorn. Vilken dator som helst kan dock startas med en CD-skiva, t.ex. i operativsystemet Linux, och på så sätt kan man komma förbi lösenordet och få tillgång till alla filer i datorn. Det finns också startskivor med vars hjälp datorns lösenord kan nollas eller bytas ut. Dessa metoder kräver dock tekniska kunskaper utöver det vanliga och förutsätter naturligtvis uppsåt. Det lösenord som används för att logga in i företagets nätverk eller på arbetsstationerna får inte användas som lösenord för webbtjänster. Om det är fråga om webbtjänster som är kritiska med tanke på informationssäkerheten, bör man använda olika lösenord för olika tjänster och alltid kontrollera att man loggar in på vald tjänst. Bara för att en uppmaning om kontakt visas på skärmen, innebär det inte att man ska skriva in lösenordet. Undvik alla exceptionella uppmaningar om kontakt. Godkänn inte heller operativsystemets förslag att spara lösenordet. Byt genast lösenord om du upptäcker något som avviker från det normala när du loggar in. Undvik alla teckensträngar som är verkliga ord, namn, ord- eller sifferkombinationer i något språk när du ska skapa lösenord till dig själv, eftersom de program som används för att spåra lösenord utnyttjar omfattande ordböcker och kan också kombinera ord, också om de är skrivna baklänges. Det bästa lösenordet är en påhittad teckensträng (till exempel en förkortning av en mening som du inte kan glömma). Det är inte tillåtet att skriva ner lösenord och användarnamn på papperslappar, spara dem på datorn, meddela dem per e-post eller förvara dem så att de är tillgängliga för obehöriga. Se dock till att det går att komma åt uppgifterna t.ex. vid olyckor och sjukdomsfall. Kom också ihåg att regelbundet byta lösenord, åtminstone med några månaders intervaller. Utmärkande för ett bra lösenord: - omöjligt att gissa sig till - lätt att komma ihåg - har inte använts tidigare - innehåller minst 8 tecken (rekommendation 2012) FAF / Februari 2013 B 5 / (17)

7 - innehåller åtminstone en siffra - innehåller åtminstone en versal - innehåller åtminstone ett specialtecken (.,-!"#%&/()=?+ osv.) - påminner inte om användarnamnet - välj lösenord med omsorg med iakttagande av anvisningarna ovan - använd olika lösenord för informationssystemen på arbetsplatsen, för webbtjänster som du använder på din fritid och för e-posttjänster - skydda lösenorden så att inte någon annan kommer åt dem - byt lösenord regelbundet - se till att det går att komma åt uppgifterna i en nödsituation - tänk informationssäkert 5. Virusbekämpning och brandvägg 5.1 Virusbekämpning Virus och olika typer av skadliga program kan innebära risker för advokatverksamheten. De största riskerna orsakas av virus som avsiktligt förstör filer eller information, skadliga program som genom att ta sig förbi de normala säkerhetsmekanismerna ger utomstående tillgång till datorn samt spionprogram som samlar in information och skickar den till sin värd. En advokatbyrå ska ha ett fungerande och aktuellt antivirusprogram som förhindrar att virus och andra skadliga program smittar ner byråns system och datorer. Programmet ska automatiskt uppdatera virusdatabaserna, helst varje dag. Ett antivirusprogram ska gå igenom inkommande e-postmeddelanden samt filer och program innan de öppnas eller åtgärdas. Det rekommenderas att man ställer in programmet så att det kontrollerar hela datorn t.ex. en gång i månaden. Virusbekämpning är nödvändigt oberoende av vilket operativsystem som används (Windows, Mac, Linux). Personalen på advokatbyrån bör få utbildning i hur den ska gå tillväga för att minimera riskerna för spridning av virus. Det är viktigt att inte ens öppna e- postmeddelanden från okända avsändare, i synnerhet om rubriken eller innehållet ser misstänkt ut, och framför allt inte öppna länkar eller bilagor till meddelandena. Man bör också vara medveten om att uppgifterna om avsändare kan vara oriktiga, dvs. meddelandet behöver inte nödvändigtvis ha skickats av den som anges som avsändare. Bilagan eller länken kan också vara någonting helt annat än det som påstås i meddelandet. Man bör förhålla sig avvaktande till alla misstänkta meddelanden. Advokatbyråns datorer ska inte användas för besök på sådana webbsidor som är kända för att sprida skadliga program (t.ex. sidor för vuxenunderhållning eller ha- FAF / Februari 2013 B 5 / (17)

8 5.2 Brandvägg (firewall) sardspel). Det finns också skäl att vara kritisk till reklam, länkar och program som erbjuds på webbsidor som i och för sig är sakliga. Om man på ett USB-minne eller något annat medium har sparat information från ett system utanför det egna datasystemet (t.ex. från Internet) eller om någon annan har använt det, bör det kontrolleras med ett antivirusprogram. Vid misstanke om virus i datorn ska man använda programmet för att kontrollera och rensa datorn från virus. Om datorn eller byråns system blir långsammare eller annars börjar bete sig avvikande, kan det bero på virus eller något annat skadligt program. Man ska då stänga alla program, koppla bort den dator som misstänks vara smittad från nätverket (om den är ansluten till ett trådlöst nätverk ska också WLANförbindelsen brytas), kontrollera datorn med ett antivirusprogram och ta bort viruset om det är möjligt. Också eventuella andra medier som varit anslutna till datorn (t.ex. USB-minnen) ska viruskontrolleras. Advokatbyrån ska också se till att de datorer och den utrustning som personalen använder utanför byrån har ett ändamålsenligt antivirusskydd. En advokatbyrå ska ha en brandvägg. Brandväggen behövs för att skydda advokatbyråns interna nätverk och byråns datorer för angrepp utifrån (Internet). Syftet med en brandvägg är att den bara släpper igenom önskad nättrafik. Också bärbara enheter ska skyddas med lämplig brandvägg. Om det inte finns någon ordentlig brandvägg, kan en hacker eller annan aktör göra intrång i datorerna och läsa handlingarna där och göra i princip vad som helst med maskinerna. Brandväggen kan vara inbyggd i nätverksutrustningen eller som programvara. Ofta är det tillrådligt att bygga ett brandväggssystem som kombinerar båda alternativen. Programvaran och utrustningen ska hållas i funktionsdugligt skick och uppdaterade. Det är viktigt att regelbundet kontrollera om det kommit nya uppdateringar. Automatiska uppdateringar bör tillåtas. - advokatbyrån ska ha ett antivirusprogram och en brandvägg som fungerar och är uppdaterad - se till att antivirus- och brandväggsprogrammen och brandväggsutrustningen hålls funktionsdugliga och uppdaterade - undvik att öppna misstänkta e-postmeddelanden samt länkar och bilagor till dem - undvik sidor som är kända för att sprida skadlig programvara - tänk informationssäkert FAF / Februari 2013 B 5 / (17)

9 6. Lagring och säkerhetskopiering av handlingar 6.1 Lagring av handlingar Advokater är skyldiga att spara och förvara brevväxling som gäller deras uppdrag. Skyldigheten kan också uppfyllas genom att brevväxlingen lagras i elektronisk form på ett säkert och betryggande sätt. Det är säkrare att lagra filer på en server än på särskilda anordningar. Nya elektroniska kommunikationsmetoder har ersatt den muntliga kommunikationen och samtidigt fördunklat gränsen mellan samtal och brevväxling som ska lagras. För advokater är det särskilt viktigt att det finns klara anvisningar och rutiner för hur material ska behandlas och lagras så att inte utomstående kan komma åt materialet. Bara personer som behöver den konfidentiella informationen för sina arbetsuppgifter ska ha tillgång till handlingarna i fråga. Också inom byrån ska åtkomsten till handlingar vid behov begränsas; det är nödvändigt till exempel när det är fråga om insiderärenden. Även de utrymmen där handlingarna lagras ska vara tillräckligt skyddade. Läs också: B 10 Rekommendation för bevarande av handlingar ( 6.2 Syftet med säkerhetskopiering Genom säkerhetskopiering kan man kontrollera de risker som beror på t.ex. att utrustningen går sönder eller förstörs, att utrustningen stjäls, att skadlig programvara installeras eller att användaren av misstag raderar informationen Information som ska säkerhetskopieras Central information som gäller advokatverksamheten ska säkerhetskopieras. Det rekommenderas att åtminstone följande uppgifter säkerhetskopieras: Information som uppkommit i arbetet och som ännu inte har arkiverats, såsom textfiler, kalkylfiler och andra arbetsfiler om arkiveringen sköts elektroniskt, ska de arkiverade filerna säkerhetskopieras ärendehanteringssystem och faktureringsuppgifter e-postmeddelanden, åtminstone om meddelanden som behövs inte förvaras någon annanstans än i e-postprogrammet eller e-postsystemet elektroniska kalendrar det viktigaste innehållet i mobila enheter Ofta kan det vara rationellt att säkerhetskopiera hela innehållet i datorn genom att använda ett lämpligt redskap i operativsystemet. Då kan hela systemet liksom också programinställningarna och användarens inställningar lätt återställas. FAF / Februari 2013 B 5 / (17)

10 Om informationen har lagrats i externa tjänster av olika slag, ska man se till att den säkerhetskopiering som ingår i tjänsten är tillräcklig Metoder för säkerhetskopiering och förvaring av information För säkerhetskopiering finns ett flertal olika tekniska medier. Ett alternativ är också externa säkerhetskopieringstjänster som innebär att informationen skickas via nätet till servicegivarens server. Fördelen med en sådan tjänst kan anses vara att informationen förvaras utanför byrån på ett annat ställe än själva den information som ska säkerhetskopieras. Det är dock nödvändigt att beakta alla de aspekter som alltid är förenade med användningen av externa tjänster och behovet av att kunna skicka information på ett säkert sätt (se också avsnitt 7 ja 8). Om möjligt lönar det sig i varje fall att automatisera säkerhetskopieringen, för på så sätt ser man till att den blir gjord tillräckligt ofta. Om det på byrån inte finns något säkert förvaringsställe, rekommenderas det att åtminstone en säkerhetskopia förvaras på ett tryggt ställe utanför byrån. Detta för att undvika att säkerhetskopian försvinner eller förstörs tillsammans med originalinformationen till exempel till följd av stöld eller eldsvåda Frekvens för säkerhetskopieringen Man bör se till att informationen säkerhetskopieras regelbundet. Säkerhetskopieringen sköts ofta så att det system som används säkerhetskopierar bara förändringarna i informationen. Vid detta tillvägagångssätt är det dock viktigt att säkerhetskopiera regelbundet, till exempel en gång i månaden, och alla uppgifter för sig som en särskild sammanhållen helhet. Detta gör man för att förhindra skador som orsakas av att information försvinner eller ändras. Det rekommenderas också att man med jämna mellanrum testar att säkerhetskopieringen fungerar som avsett och att informationen vid behov snabbt och problemfritt kan återställas. Man bör dock komma ihåg att säkerhetskopiering inte ersätter en ändamålsenlig arkivering av handlingarna. se till att information som är viktig för advokatverksamheten säkerhetskopieras automatiskt och tillräckligt ofta säkerhetskopiera dagligen information som har ändrats och all information en gång i månaden förvara åtminstone en säkerhetskopia på ett säkert ställe utanför byrån testa regelbundet att säkerhetskopieringen fungerar som avsett och att informationen snabbt och problemfritt kan återställas tänk informationssäkert FAF / Februari 2013 B 5 / (17)

11 7. Utläggning av IT-tjänster För att säkerställa tillräcklig sakkunskap är det ofta nödvändigt att anlita externt ITstöd. Om externt IT-stöd anlitas, ska advokatbyrån se till att det finns behövliga sekretessavtal. Vid köp av IT-tjänster aktualiseras frågan om ifall det är möjligt att förvara, använda och överföra information som innehåller advokathemligheter på datorer som inte uteslutande kontrolleras av en advokat. Avtal om IT-tjänster ingås lätt och nästan obemärkt vid användningen av olika webbtjänster. Tjänster som underlättar arbetet kan enkelt tas i användning bara genom att användaren klickar på en länk och meddelar att han eller hon godkänner servicegivarens villkor. Många företag erbjuder tjänster som innebär att advokatbyråernas konfidentiella information körs och förvaras på servicegivarens server. Typiska tjänster för vilka externt serverutrymme utnyttjas är e-post, webbsidor, säkerhetskopiering, elektroniska kalendrar, fakturering, klient- och uppdragsregister eller nätverkskort. Sådana tjänster är också vissa program som underlättar grupparbete och alla tjänster som erbjuds av sociala medier. Att utnyttja externt serverutrymme är i vissa fall rationellt och kanske rentav den enda fungerande lösningen. 7.1 Sekretess och informationssäkerhet Vid anskaffningen av tjänster ska advokaten särskilt uppmärksamma frågan om dels de krav som sekretessen ställer, dels hur advokatbyrån ska organiseras på ett ändamålsenligt sätt. När man väljer servicegivare är det absolut nödvändigt att försäkra sig om att servicegivaren till fullo förbinder sig att iaktta sekretessen. Bara den advokat som skaffat tjänsten och advokatbyråns personal ska ha tillgång till information. Genom ett sekretessavtal med servicegivaren ska man säkerställa att informationen hålls hemlig. Servicegivarens personal ska förhindras åtkomst till advokatens uppgifter. Vid utläggning av IT-tjänster är det viktigt att informationen hålls hemlig och dessutom att advokaten själv alltid vid behov kommer åt informationen. Servicegivaren ska kunna erbjuda en teknisk informationssäkerhet av tillräckligt hög standard. Med tekniska lösningar ska det förhindras att utomstående kommer åt informationen och bevarandet av informationen ska vara säkrad. När man skaffar externa IT-tjänster finns det skäl att låta en utomstående IT-expert granska tjänsten, om advokatens IT-kunskaper inte räcker till för att bedöma nivån på informationssäkerheten. FAF / Februari 2013 B 5 / (17)

12 7.2 Molntjänster Vid valet av servicegivare bör vikt fästas också vid servicegivarens referenser och soliditet samt servrarnas etableringsland. Servicegivarens servrar kan finnas i olika delar av världen och den teknik som tillämpas inom tjänsten kan grunda sig på delning och kopiering av informationen till flera servrar. Vid valet av servicegivare lönar det sig om möjligt att kontrollera företagets bakgrund. När systemen uppdateras är det viktigt att kontrollera att den person som ska utföra arbetet verkligen är anställd av servicegivaren. IT-tjänster som ger köparen av tjänsten tillgång till IT-resurser, t.ex. programvaror, på Internet kallas för molntjänster. Tjänsten kan vara exempelvis e-post, men det kan vara fråga om textbehandlings- eller kalkylprogram, program för hantering av kundrelationer eller nästan vilken form av IT-användning som helst. Tablettdatorer och andra pekplattor och smarttelefoner har blivit vanligare, vilket sannolikt kommer att leda till att IT-resurser i allt större utsträckning används som molntjänster. Att överföra filer mellan tablettdatorer eller smarttelefoner och andra informationssystem är i praktiken enklast om man använder det virtuella lagringsutrymme som finns på Internet. De krav som i advokatverksamheten ställs på molntjänster skiljer sig inte i någon högre grad från den säkerhetsstandard som gäller för övriga externa tjänster. En del av molntjänsterna är lätta att ta i användning och erbjuds ofta gratis eller till ett mycket fördelaktigt pris. Den som vill börja använda tjänsten ska först godkänna ett standardavtal och köparen har inga förhandlingsmöjligheter när det gäller villkoren för tjänsten. Intjäningslogiken för den som erbjuder gratistjänster grundar sig ofta på reklam och därför följer servicegivaren upp användningen av tjänsten och håller sig kanske rentav à jour med innehållet i filerna och sparar informationen för egen räkning. Ett gratis textbehandlingsprogram som det är enkelt att ta i användning (t.ex. Google Docs) kan vara mycket användbart exempelvis när man behöver göra anteckningar på en kurs eller förbereda en föreläsningspresentation. I dessa tjänster lagras hela handlingar på servicegivarens servrar i olika delar av världen och nivån på informationssäkerheten är kanske inte tillräcklig för lagringen av konfidentiell information. Å andra sidan, om det är möjligt att ingå ett sekretessavtal med servicegivaren och servicegivaren också i övrigt är tillförlitlig, kan den säkraste lösningen vara att behandla och lagra informationen i molntjänster. Om informationen är ändamålsenligt krypterad är det möjligt att förvara all konfidentiell information i molntjänster utan att ha någon konfidentiell information i t.ex. tablettdatorn eller smarttelefonen. Då leder det inte till några säkerhetsskador om en enskild apparat försvinner eller annars hamnar i orätta händer. Genom att använda molntjänster slipper man också de skador som orsakas av att utrustning går sönder. FAF / Februari 2013 B 5 / (17)