Od 14 października 2025 r. system operacyjny Windows 10 (w wersjach Home i Pro) przestał być wspierany przez producenta – Microsoft Corporation. Oznacza to brak dalszych aktualizacji bezpieczeństwa oraz brak reakcji producenta na wykryte podatności. Kontynuowanie pracy w środowisku opartym na takim systemie będzie równoznaczne z utrzymywaniem trwałej luki w zabezpieczeniach teleinformatycznych.
W przypadku kancelarii adwokackich ryzyko to ma szczególną wagę. Z jednej strony wynika ono z obowiązków ustawowych dotyczących ochrony danych osobowych, z drugiej – z fundamentalnej zasady zachowania tajemnicy adwokackiej.
Obowiązki prawne w zakresie bezpieczeństwa systemów IT
1. Ochrona danych osobowych (RODO)
Na gruncie art. 32 ust. 1 RODO adwokat, jako administrator danych, ma obowiązek zapewnienia bezpieczeństwa przetwarzanych informacji poprzez zastosowanie „odpowiednich środków technicznych i organizacyjnych”. Do tych środków zalicza się m.in. zapewnienie ciągłej poufności, integralności i dostępności systemów.
Korzystanie z systemu operacyjnego, dla którego producent zaprzestał udostępniania poprawek bezpieczeństwa, jest sprzeczne z powyższymi wymogami. Każda nowa luka staje się trwałym, niemożliwym do usunięcia zagrożeniem. W takim stanie rzeczy kancelaria nie jest w stanie wykazać, że podjęła adekwatne działania minimalizujące ryzyko, co narusza zasadę rozliczalności (art. 5 ust. 2 RODO).
2. Tajemnica zawodowa adwokata
Art. 6 ustawy – Prawo o adwokaturze oraz § 19 Zbioru Zasad Etyki Adwokackiej i Godności Zawodu nakładają na adwokatów obowiązek szczególnej ochrony tajemnicy zawodowej, obejmującej również dane cyfrowe. Brak aktualizacji systemów operacyjnych oznacza zwiększoną podatność na cyberataki, które mogą skutkować wyciekiem bądź utratą danych klientów.
Możliwe działania w kancelarii adwokackiej
W obliczu zakończenia wsparcia dla systemu Windows 10 kancelarie mogą rozważyć przeprowadzenie planu dostosowania swoich środowisk teleinformatycznych. Proces ten może obejmować następujące etapy:
1. Inwentaryzacja i audyt IT
Pierwszym krokiem jest sporządzenie pełnej listy komputerów oraz sprawdzenie, z jakiej wersji systemu korzystają. Istotne jest także ustalenie, które urządzenia nadają się do aktualizacji, a które mogą wymagać wymiany.
Warto zwrócić uwagę, że nie każdy komputer z Windows 10 może obsłużyć Windows 11. Producent wprowadził szczegółowe wymagania sprzętowe – m.in. obowiązek posiadania modułu bezpieczeństwa TPM 2.0, procesora z nowszej generacji oraz odpowiedniej ilości pamięci i przestrzeni dyskowej. W praktyce oznacza to, że starsze urządzenia – mimo że działają poprawnie – mogą być technicznie niekompatybilne i konieczna będzie ich wymiana.
2. Opracowanie planu migracji
Na podstawie audytu możliwe jest przygotowanie planu działania obejmującego:
- harmonogram przejścia na nowy system,
- budżet na licencje i ewentualną modernizację sprzętu,
- analizę kompatybilności kluczowego oprogramowania wykorzystywanego w kancelarii (m.in. systemy prawnicze, narzędzia do podpisu elektronicznego, oprogramowanie do obiegu dokumentów).
3. Realizacja migracji
Proces zmiany systemu może być przeprowadzany etapami, aby nie zakłócać bieżącej pracy. Typowe działania obejmują:
- wykonanie kopii zapasowych wszystkich danych,
- wdrożenie nowego systemu w pierwszej kolejności na ograniczonej liczbie stanowisk testowych,
- rozszerzenie wdrożenia dopiero po upewnieniu się, że kluczowe aplikacje działają prawidłowo.
4. Aktualizacja dokumentacji wewnętrznej
Zmiana systemu operacyjnego powinna znaleźć odzwierciedlenie w dokumentacji kancelarii. Oznacza to modyfikację polityk bezpieczeństwa, procedur ochrony danych osobowych oraz sporządzenie zapisu potwierdzającego przeprowadzenie procesu migracyjnego. Taka dokumentacja może mieć istotne znaczenie w przypadku ewentualnej kontroli.
5. Szkolenie personelu
Po wdrożeniu nowego środowiska konieczne może być przeszkolenie pracowników. Szkolenia mogą obejmować zarówno obsługę nowych funkcjonalności systemu, jak i przypomnienie zasad cyberbezpieczeństwa, takich jak stosowanie silnych haseł, unikanie otwierania podejrzanych wiadomości e-mail czy zabezpieczanie stacji roboczej podczas nieobecności użytkownika.
Dodatkowe możliwości w systemach Windows
- Wdrożenie szyfrowania dysków (BitLocker)
Szyfrowanie dysków jest dodatkowym środkiem ochrony danych. Narzędzie BitLocker, dostępne w systemach Windows w wersjach Pro i Enterprise, umożliwia zabezpieczenie danych klientów w przypadku utraty lub kradzieży komputera.
- Zasada działania polega na tym, że wszystkie dane na dysku pozostają nieczytelne bez odpowiedniego klucza odzyskiwania.
- Takie szyfrowanie może być traktowane jako przykład „odpowiednich środków technicznych” wskazanych w art. 32 RODO.
- Klucze odzyskiwania powinny być przechowywane w bezpiecznym miejscu, niedostępnym dla osób nieuprawnionych.
- Program Rozszerzonych Aktualizacji Zabezpieczeń (ESU)
Microsoft przewidział możliwość korzystania z płatnego programu Rozszerzonych Aktualizacji Zabezpieczeń (ESU) dla systemu Windows 10 w wersjach Pro i Enterprise do października 2028 r. Program ten umożliwia dalsze otrzymywanie poprawek krytycznych i aktualizacji zabezpieczeń, mimo zakończenia standardowego wsparcia technicznego.
Najważniejsze cechy ESU:
- Dostępność tylko dla wybranych wersji – program obejmuje Windows 10 Pro i Enterprise, a nie wszystkie edycje systemu.
- Krytyczne poprawki bezpieczeństwa – ESU zapewnia dostęp wyłącznie do aktualizacji oznaczonych jako krytyczne lub ważne dla bezpieczeństwa systemu. Nie obejmuje nowych funkcji ani ulepszeń wydajności.
- Opłata roczna – korzystanie z ESU wiąże się z uiszczeniem opłaty licencyjnej za każdy komputer objęty programem. Koszty te mogą być znaczące przy większej liczbie stanowisk w kancelarii.
- Rozwiązanie tymczasowe – ESU pozwala odłożyć konieczność migracji, ale nie eliminuje ryzyka związanego ze starszym oprogramowaniem.
- Wymagania techniczne – nie każdy komputer może zostać objęty ESU bez wcześniejszej aktualizacji sprzętu i systemu, np. konieczność stosowania określonych wersji systemu i włączenia niektórych funkcji zabezpieczeń.
Program ESU można traktować jako czasową opcję ograniczenia ryzyka, jeśli kancelaria nie zdąży przeprowadzić migracji przed październikiem 2025 r. Pozwala on zachować dostęp do krytycznych aktualizacji bezpieczeństwa przez kilka kolejnych lat, ale jednocześnie jest kosztowny i nie stanowi długoterminowego rozwiązania.
Wnioski
Zakończenie wsparcia dla systemu Windows 10 oznacza istotną zmianę dla wszystkich organizacji, w tym kancelarii adwokackich. Rozważenie możliwych działań w zakresie migracji na wspierane systemy, uzupełnione o środki takie jak szyfrowanie dysków, stanowi istotny element właściwego zarządzania ryzykiem, ochrony danych osobowych i zachowania tajemnicy zawodowej.
