Що слід робити правникам та їхнім працедавцям, аби не потрапити на гачок корпоративних хакерів?
Під час спеціальних заходів, що проводяться для юридичної спільноти, її представники дедалі частіше торкаються теми захисту інформації про клієнта від зазіхань хакерів. Це закономірно, адже юрфірми володіють даними, що становлять певний інтерес для корпоративних шпигунів. Тож «ЗіБ» поцікавився у відомих вітчизняних правників, що слід робити, аби захистити приватну інформацію споживача правових послуг? Виявляється, якщо дотримуватися нескладних правил, можна мінімізувати можливість здійснення атаки на секретні дані клієнта.
Світ без меж та кордонів
Нині, коли значна частина даних зберігається на віртуальних носіях, дедалі більшої актуальності набуває питання щодо незаконного доступу до конфіденційної інформації, і юридичні фірми — не виняток. Найпоширеніший спосіб отримання необхідної інформації при шпіонажі, за словами партнера Адвокатського об’єднання AVER LEX Ігоря Федоренка, — це її негласне зняття з каналів зв’язку: незаконний доступ до телефонних переговорів, злом і зчитування електронних баз, в яких зберігається банківська та інша інформація, адреса електронної пошти тощо. Разом з тим нерідко використовується стеження або отримання необхідних відомостей від працівників підприємства або його контрагентів. «У такому разі застосовують вербування або ж користуються банальним незнанням співробітниками комп’ютерних програм і недбалим використанням ними робочих комп’ютерів та Інтернету», — коментує ситуацію адвокат.
Водночас він наводить три прості правила безпеки, дотримання яких дозволить мінімізувати випадки витоку інформації про клієнта та його діяльність. По-перше, слід зменшити обсяг даних, які передаються за допомогою телефонного зв’язку, розмежувати інформаційні потоки, а також використовувати захисні механізми для зберігання інформації.
По-друге, необхідно визначити категорії працівників, котрі матимуть доступ до інформації, відслідковувати чинники, які можуть свідчити про її витік, та звертатися по відповідні консультації до фахівців з економічної (інформаційної) безпеки. І нарешті, варто здійснювати періодичний моніторинг ситуації на предмет того, хто і в зв’язку з чим може бути зацікавлений у негласному отриманні інформації про конкретний юридичний бізнес.
Однак практичне застосування цього рецепта, на переконання І.Федоренка, навряд чи дасть позитивні результати без комплексного вирішення проблеми, тобто із залученням відповідних фахівців і правоохоронних органів. Адже за незаконне зняття інформації з каналів зв’язку, втручання в роботу автоматизованих систем і баз даних, розголошення комерційної таємниці та інші діяння при економічному шпіонажі, в тім числі й хакерстві, передбачено кримінальну відповідальність. «У встановлених законодавством і договорами випадках, а також за належного підтвердження розміру збитків можливе застосування цивільно-правових і фінансових способів захисту своїх прав від указаних протиправних дій», — зауважує адвокат.
Натомість старший юрист Юридичної фірми «Василь Кісіль і партнери», адвокат Владислав Подоляк переконаний, що в боротьбі з кіберзлочинністю власники інформації — компанії, банки, інші комерційні структури чи самозайняті професіонали — мають використовувати не стільки правові, скільки організаційні й технічні методи. Адже, по-перше, інтелектуальні й техресурси кіберзлочинців, як правило, переважають можливості правоохоронних органів; по-друге, робота останніх здебільшого спрямована на боротьбу з наслідками злочинів, а не на їх профілактику; по-третє, фронт боротьби з кіберзлочинністю наразі перемістився з реального світу у віртуальний, який не має видимих меж та державних кордонів.
Більше того, В.Подоляк уважає, що для побудови ефективної системи захисту інформації слід визнати неможливість законодавства наздогнати чи випередити науково-технічний прогрес. За словами адвоката, воно має містити лише універсальні, «нестаріючі» правові норми і правила, які встановлюватимуть право кожного захищати інформацію за допомогою широкого арсеналу технічних і технологічних новинок, що існують наразі чи будуть винайдені в майбутньому.
Не тільки інтерес, а й санкції
На шляху досягнення максимального убезпечення інформації про клієнта юридичній фірмі навряд чи вдасться уникнути певних фінансових витрат. У цьому контексті радник Юридичного бюро «Єгоров, Пугінскій, Афанасьєв і партнери», адвокат Сергій Гребенюк відзначає, що наразі юркомпанії використовують чи не всі відомі їм новинки технічного прогресу й організовують роботу таким чином, аби забезпечити захист такої інформації від несанкціонованого доступу ззовні, обмежити доступ до відповідних даних усередині фірми та зберігати їх належним чином. За словами експерта, мова в цьому випадку може йти про використання спеціальних каналів зв’язку та передачі даних, шифрування інформації, розміщення її на віддалених серверах тощо.
То чому ж, витрачаючи значні ресурси для забезпечення захисту конфіденційної інформації, її власникам не завжди вдається звести нанівець можливість її несанкціонованого використання? Відповідь дуже проста: крім технічних засобів, у забезпеченні конфіденційності велике значення має так званий людський фактор. «Кадрова політика компанії, її вимоги до працівників та рівень останніх є чи не найважливішим чинником у забезпеченні конфіденційності. Дедалі частіше укладаються угоди про конфіденційність як між клієнтом та юридичною компанією, так і між фірмою та працівником», — зазначає С.Гребенюк.
Погоджується з позицією колеги і В.Подоляк. Так, він уважає, що на рівні роботи з персоналом компанії керівник принаймні повинен прийняти внутрішні акти, які містять перелік відомостей, що становлять комерційну таємницю, порядок доступу до неї, правила використання даних та запобігання незаконному розголошенню. Крім того, за словами експерта, украй важливо врегулювати питання щодо використання в роботі як корпоративних, так і приватних мобільних телефонів, комп’ютерів, електронної пошти та інших засобів комунікації. Профілактична робота передбачає формування в кожного працівника дбайливого та відповідального ставлення до інформації, яка використовується в роботі.
До речі, за інформацією В.Подоляка, аби унеможливити витік даних про клієнтів, окремі юркомпанії активно укладають із працівниками так звані угоди про неконкуренцію, які встановлюють певні обмеження щодо роботи на конкурентів у разі звільнення.
Водночас адвокат звертає увагу на таку типову проблему у відносинах «компанія — клієнт», як неповідомлення споживача правових послуг про факти незаконного доступу до відповідної інформації, її знищення чи розголошення. «Клієнт, перебуваючи в невіданні, не має змоги зі свого боку вжити заходів щодо захисту власних інтересів, зменшення певних збитків чи іншим чином відреагувати на подію», — відзначає В.Подоляк. З огляду на це він рекомендує юркомпаніям не тільки цікавитися питаннями інформаційної безпеки своїх контрагентів, а й передбачати штрафні санкції за неповідомлення про певний інцидент — кіберзлочин, розголошення комерційної таємниці, запит державного органу, несанкціонований доступ тощо, навіть якщо він стався не з вини контрагента.
Керівникам юркомпаній слід здійснювати профілактичну роботу із працівниками, яка формуватиме в них відповідальне ставлення до інформації, що використовується в роботі.
Коментарі
До статті поки що не залишили жодного коментаря. Напишіть свій — і будьте першим!