Корпоративный шпионаж,

или Как юристу защитить конфиденциальную информацию клиента от атак хакеров?

Содержание компьютеров юристов часто является мишенью для «нападения» корпоративных шпионов. В то же время самым слабым звеном в системе защиты информации являются работники, ведь неумелое использование ими технологий может открыть доступ к секретным сведениям. Эксперты из США дают несколько советов, как минимизировать риск истока данных и каких правил следует придерживаться, чтобы защитить конфиденциальную информацию потребителя юридических услуг.

«Юридические фирмы часто становятся мишенью хакеров, потому что они, во-первых, со стороны кажутся уязвимыми, во-вторых, располагают сведениями, которые хакеры могут счесть ценными», – объясняет Габриэла Бэрон, старший вице-президент компании по изучению и разработке новых технологий для юридических фирм. По ее словам, юрфирмы часто упоминаются в СМИ, когда ведут тяжбы, и найти в интернете, какую корпорацию представляет та или иная компания, не составит труда. Сайт Law Tech№ology №ews приводит перечень главных опасностей в работе юриста с технологиями.

– Риск утечки данных повышается из-за небрежного отношения к рабочему оборудованию и использования на работе личных устройств, из-за потерянных и украденных гаджетов, вредоносных ПО, слабого контроля за мобильными девайсами;

– Облачные сервисы: фирмы спешат освоить «облако», не имея достаточного понимания о том, какие правила и законы регулируют условия пользования технологией в разных странах;

– Вредоносные программы, фишинг (получение данных мошенническим способом), проникновение в защищенные системы путем использования индивидуальной или социальной психологии, целенаправленные хакерские атаки, которые вскрывают секретные данные;

– Отсутствие четко сформулированных правил, ограничивающих использование электронной почты и сервисов по обмену файлами;

– Угроза проникновения в секретные базы данных со стороны национальных правительств, хактивистов (тех, кто использует компьютеры и сети для продвижения политических идей), хакеров и т.д.

Когда риски известны, пишет издание, следует выработать правильный подход к заботе о безопасности информации, следуя общим правилам:

– Развивать и воплощать в жизнь новые методы защиты информации, разработать организационную политику и стратегию для защиты данных;

– Ввести в действие программу повышения осведомленности сотрудников об использовании компьютера, разработать систему обнаружения опасностей и борьбы с ними;

– Разработать и ввести систему защиты данных.

Наиболее пагубное влияние оказывают загрузки, заражающие компьютер вирусами или шпионскими программами. Атаки при помощи загруженных файлов могут произойти, когда пользователь скачивает файл, не зная, что он содержит вредоносную программу, либо когда загрузка происходит автоматически, например при посещении того или иного сайта. Чтобы уменьшить риск нежелательного вмешательства, можно принять следующие меры:

– Проводить для работников ежегодные тренинги на тему безопасности данных.

– Следовать проверенным способам обращения с данными: шифрование, надежные пароли и т.д.

– Щедро финансировать устранение уязвимых мест в системе безопасности, делать это оперативно.

Вашингтонский юрист-консультант Джоэл Бреннер напоминает американским юристам, едущих за рубеж, что международные фирмы являются целью для систематических атак. Особенно плохо обстоят дела, по его словам, в России и Китае – компьютер приезжего юриста может оказаться досконально проверенным злоумышленниками еще до того, как гость приедет в отель, потому что там, по его словам, преступники считают подобную проверку обычной рутинной практикой бизнеса. 

«Прогноз опасностей на 2014 год» от McAfee Labs, центра, исследующего риски киберпространства, называет семь главных причин беспокоится: вредоносные программы, виртуальные валюты, киберпреступность и кибервойны, атаки, эксплуатирующие человеческую психологию, атаки на ПК и серверы, большие массивы данные и атаки на «облако». Более 80% бизнес-пользователей «облака» не знают, каким рискам подвергаются. Юристы часто делятся информацией между собой или с клиентами через удаленные сервисы, такие как, например, Dropbox. Для того чтобы обезопасить информацию, стоит следовать некоторым правилам, считают в McAfee:

– Полагаться на специалистов по информационным технологиям компании или сторонним консультантам, чтобы определить уязвимости технологии.

– Привлечь консультантов, чтобы оценить, протестировать или восстановить безопасность IT и «облака».

– Постоянно проверять программы на наличие вирусов или уязвимых мест системы; быстро реагировать, если вредоносная программа проникнет в IT или «облако».

Защитить информацию от вредного воздействия особенно сложно, если сотрудники работают удаленно и проверить их компьютеры специалисты по информационной защите не могут. Если сотрудники работают в другой стране, необходимо учитывать особенности местного законодательства в этой сфере. Многие государства участвуют в договорах по взаимной правовой поддержке, позволяющих доступ к данным в «облаке». К таким странам относятся США, Австралия, Канада, Великобритания, Франция, Германия, Ирландия, Испания, Дания и Япония.

Джон Томажевски, главный консультант международной юридической фирмы Seyfarth Shaw, предупреждает, что неумелое использование технологий может открыть доступ к секретным сведениям. «К примеру, беспроводные роутеры идут с паролем по умолчанию. Если вы его не поменяли, прежде чем использовать, вы оставляете сеть открытой для любого, кто пройдет мимо с ноутбуком», — говорит он.

Чем сложнее процесс обмена данными и интерактивная структура, тем больше риски. Иногда достаточно небольшой ошибки, простого момента рассеянности, чтобы нанести непоправимой урон конфиденциальности информации. «Очень часто случается, – рассказывает Адам Лузи, юрист Foley & Lard№er и президент компании по юридическому сопровождению IT-проектов IT-Lex, – Что имейлы с конфиденциальной информацией или сведениями с ограниченным доступом пересылаются не тому человеку, потому что отправитель нажал не ту кнопку. Если человек использует рабочий компьютер для личной переписки, он запросто может отправить служебные сведения не туда, отослав их другу или введя неправильный адрес, а последствия этого могут быть очень серьезными. Совет прост: используйте надежный пароль и думайте, прежде чем нажать кнопку».

Самое слабое звено – люди. Во-первых, потому, что именно от них зависит, насколько надежно будет работать система безопасности. Во-вторых, непроверенный сотрудник может оказаться неблагонадежным, оказавшись соучастником хакеров или просто легкомысленным. «В широкомасштабной, с большим количеством данных, тяжбе риск неизбежен, – говорит Бэрон. – В наши дни обычное дело, что все работают на своих ноутбуках в самолетах, поездах и общественных местах», при этом защитные экраны мало кто использует. «Люди полагают, – продолжает она, – Что прохожий не разглядит экран или просто не заинтересуется, а это не очень разумное предположение».

Клиенты теперь внимательнее присматриваются к юридическим фирмам, в особенности к тому, как будут защищаться их данные. «Клиенты должны спросить: 1) находятся ли базы данных в собственности самой фирмы или их предоставляет сторонняя организация и 2) какие протоколы управления данными используются», – объясняет Джейсон Томас, менеджер по инновациям в Thomso№ Reuters, – Помимо этого они должны попросить отчет о всех протоколах, чтобы убедиться, что их данные в сохранности».

КОМЕНТАРІ

Владислав ПОДОЛЯК, старший юрист Юридичної фірми «Василь Кісіль і партнери», адвокат:

Профілактична робота включає виховання у кожного працівника дбайливого та відповідального ставлення до інформації

— Фронт боротьби з кіберзлочинністю переноситься з реального світу у віртуальний, який не має видимих меж та державних кордонів. Тому боротьба з кіберзлочинністю здебільшого полягає у використанні не правових, а організаційних та технічних методів безпосередньо власниками інформації — компаніями, банками, іншими комерційними структурами чи самозайнятими професіоналами.

На рівні роботи з персоналом компанії керівник повинен принаймні прийняти внутрішні акти, які встановлюють перелік відомостей, які становлять комерційну таємницю, порядок доступу до неї, правила використання даних та запобігання незаконному розголошенню. Важливо врегулювати питання щодо використання у роботі як корпоративних, так і приватних мобільних телефонів, комп’ютерів, електронної пошти та інших засобів комунікації.

Профілактична робота включає виховання у кожного працівника дбайливого та відповідального ставлення до інформації, яка використовується у роботі. Окремі компанії активно укладають з працівниками так звані угоди про «неконкуренцію» (№o№-competitio№), які встановлюють для працівників певні обмеження щодо роботи на конкурентів у разі звільнення, тим самим обмежуючи витік інформації.

Як правило, у договорах сторони зазначають, що умови договору є конфіденційними, однак цією фразою реалізація завершується. Проблема у відносинах «компанія — клієнт» полягає в тому, що не завжди компанія повідомляє клієнту про факти незаконного доступу до інформації, її знищення чи розголошення. Тобто клієнт, будучи непоінформованим, не може зі свого боку вжити заходів щодо захисту своїх інтересів, зменшення певних збитків чи іншим чином відреагувати на подію. Тому компаніям рекомендовано не тільки опікуватися питаннями інформаційної безпеки своїх контрагентів, а й передбачати певні штрафні санкції за неповідомлення про певний інцидент: кіберзлочин, розголошення комерційної таємниці, запит державного органу, несанкціонований доступ тощо, навіть якщо вони сталися не з вини контрагента.

Захист інформації про клієнта та його діяльність — запорука довіри клієнта та тривалих відносин. А тому компанія повинна визнати, що без відповідних фінансових витрат та реальних механізмів не обійтись.

Сергій ГРЕБЕНЮК, радник Юридичного бюро «Єгоров, Пугінскій, Афанасьєв і партнери», адвокат:

Кадрова політика компанії, її вимоги до працівників є чи не найважливішим чинником у забезпеченні конфіденційності інформації

— Юридичні фірми зазвичай витрачають значні ресурси для забезпечення захисту конфіденційної інформації. Використовуючи найсучасніші досягнення технічного прогресу, юркомпанії організовують роботу таким чином, щоб забезпечити захист отриманої від клієнта інформації від несанкціонованого доступу ззовні, обмежити доступ до такої інформації всередині фірми та забезпечити її відповідне зберігання.

Проте крім «технічних засобів», у забезпеченні конфіденційності велику роль відіграє і «людський фактор». Кадрова політика компанії, її вимоги до працівників та рівень таких працівників є чи не найважливішим чинником у забезпеченні конфіденційності. Дедалі частіше укладаються угоди про конфіденційність як між клієнтом та юркомпанією, так і між фірмою та працівником.

Хотів би окремо звернути увагу на проблему порушення вимоги про конфіденційність інформації щодо адвокатської таємниці. Незважаючи на те, що за це передбачено досить серйозну відповідальність, навіть кримінальну, насправді на рівні держави забезпечення належного рівня захисту інформації є вкрай недостатнім. Більше того, якщо проаналізувати практику притягнення до відповідальності в цій категорії справ, ми побачимо, що з цим видом кримінальних злочинів майже не ведеться боротьба.

Особливе занепокоєння викликають окремі випадки, коли самі правоохоронні органи порушують вимоги законодавства. Так, інколи правоохоронні органи вважають, що «немає нічого страшного» в незаконному прослуховуванні адвокатів (у той час, як їх розмови за своєю суттю вже є адвокатською таємницею), незаконному вилученні документів, які містять адвокатську таємницю, незаконному розголошенні правоохоронними органами адвокатської таємниці, яка з тих чи інших підстав потрапила до правоохоронних органів, і навіть у прямому примушуванні адвокатів розкривати адвокатську таємницю. І доки така практика матиме місце, жодні гарантії забезпечення збереження адвокатської таємниці не будуть ефективними.

До вирішення цієї проблеми потрібно підійти комплексно. На мій погляд, доцільно було б посилити кримінальну відповідальність за такі дії, що мало б стримувальний ефект, та забезпечити ефективне та незалежне розслідування всіх фактів таких порушень.

Ігор Федоренко, партнер Адвокатського об’єднання AVER LEX:

У випадках шпіонажу більш результативним буде комплексне вирішення проблеми за участю відповідних фахівців і правоохоронних органів

— Найпоширенішим способом отримання необхідної інформації при шпіонажі є її негласне зняття з каналів зв’язку: незаконний доступ до телефонних переговорів, злом і зчитування електронних баз, в яких зберігається банківська та інша інформація, адреса електронної пошти, тощо.

Нерідко використовується стеження або отримання необхідних відомостей від співробітників підприємства або його контрагентів. У такому разі можуть застосувати вербування або ж скористатися банальним незнанням співробітниками комп’ютерних програм і недбалим використанням ними робочих комп’ютерів та Інтернету.

Для того аби мінімізувати випадки просочування інформації, необхідно дотримуватися простих правил безпеки.

По-перше, слід зменшити обсяг інформації, яка передається по каналах телефонного зв’язку, розмежувати інформаційні потоки, використати захисні механізми для зберігання інформації.

По-друге, визначити категорії доступу співробітників до інформації, контролювати питання лояльності та чинники, які можуть свідчити про просочування інформації, звертатися по консультацію до фахівця з економічної (інформаційною) безпеки.

По-третє, слід здійснювати моніторинг ситуації на предмет того, хто і в зв’язку з чим може бути зацікавлений у негласному отриманні інформації про ваш бізнес.

При цьому необхідно розуміти, що при шпіонажі, хакерських атаках більш результативним буде комплексне вирішення проблеми за участю відповідних фахівців і правоохоронних органів.

Так, незаконне зняття інформації з каналів зв’язку, втручання в роботу автоматизованих систем і баз даних, розголошення комерційної таємниці та інші діяння, які здійснюються при економічному шпіонажі, в т.ч. і хакерстві, підпадають під дії відповідних статей Кримінального кодексу, що встановлюють кримінальну відповідальність за такі дії.

У встановлених законодавством і договорами випадках, а також за належного підтвердження розміру збитків можливе застосування цивільно-правових і фінансових способів захисту своїх прав від указаних протиправних дій.