Корпоративний шпіонаж,

або Як захистити конфіденційну інформацію клієнта від хакерів?

Вміст комп’ютерів правників часто-густо є мішенню для «нападу» корпоративних шпигунів. Водночас найслабшою ланкою у системі захисту інформації є працівники, адже невміле використання ними технологій може відкрити доступ до таємних відомостей. Експерти із США дають кілька порад, як мінімізувати ризик витоку даних та яких правил слід дотримуватись, аби захистити конфіденційну інформацію споживача юридичних послуг.

П’ять головних ризиків

«Юридичні фірми часто стають мішенню для хакерів, тому що вони, по-перше, здаються уразливими, по-друге, мають у своєму розпорядженні відомості, які хакери можуть визнати цінними», пояснив старший віце-президент компанії з вивчення і розроблення нових технологій для юридичних фірм Габріела Берон. За її словами, юрфірми часто згадуються в ЗМІ у зв’язку з судовою тяганиною, і з тим, щоб знайти в Інтернеті інформацію, яку корпорацію представляє та чи інша компанія, не буде жодних труднощів.

На сайті Law Technology News подано перелік головних ризиків витоку конфіденційної інформації у роботі юриста з технологіями:

— недбале ставлення до робочого устаткування і використання на роботі особистих пристроїв, утрачені та вкрадені гаджети, слабкий контроль за мобільними девайсами;

— «хмарні» сервіси: фірми поспішають освоїти «хмару», не маючи достатнього розуміння того, які правила і закони регулюють умови використання технології в різних країнах;

— шкідливі програми, фішинг (отримання даних шахрайським шляхом), проникнення в захищені системи шляхом використання прийомів індивідуальної або соціальної психології, цілеспрямовані хакерські атаки з метою розкриття таємних даних;

— відсутність чітко сформульованих правил, що обмежують використання електронної пошти і сервісів з обміну файлами;

— загроза проникнення в таємні бази даних з боку національних урядів, «хактивістів» (тих, хто використовує комп’ютер і мережі для просування політичних ідей), хакерів тощо.

Коли ризики відомі, слід виробити правильний підхід до убезпечення інформації, дотримуючись загальних правил: розвивати і втілювати в життя нові методи захисту інформації, розробити організаційну політику і стратегію захисту даних; реалізувати програму покращення обізнаності працівників щодо використання комп’ютера, розробити систему виявлення небезпеки і протидії їй; розробити і запровадити систему захисту конфіденційних даних.

Сім причин для хвилювання

Найбільш згубний вплив чинять завантаження, що заражають комп’ютер вірусами або шпигунськими програмами. Атаки за допомогою завантажених файлів можливі, коли користувач скачує файл, не знаючи, що він містить шкідливу програму, або коли завантаження відбувається автоматично, наприклад, при відвідуванні того чи іншого сайту.

Щоб зменшити ризик небажаного втручання, можна вжити таких заходів: проводити для працівників щорічні тренінги на тему безпеки даних; використовувати перевірені способи роботи з даними (шифрування, надійні паролі тощо); фінансувати усунення вразливих місць у системі безпеки і робити це оперативно.

Вашингтонський юрист-консультант Джоел Бреннер нагадує американським юристам, які їдуть за кордон, що міжнародні фірми є мішенню для систематичних атак. За його словами, особливо кепські справи з цим у Росії та Китаї: комп’ютер приїжджого юриста зловмисники можуть ретельно перевірити ще до того, як гість приїде до готелю, тому що там, на його переконання, злочинці вважають таку перевірку звичайною практикою бізнесу.

«Прогноз ризиків на 2014 рік» від McAfee Labs — центру, що досліджує ризики кіберпростору, — називає 7 головних причин для хвилювання: шкідливі програми, віртуальні валюти, кіберзлочинність і кібервійни, атаки, що експлуатують людську психологію, атаки на ПК і сервери, великі масиви даних і атаки на «хмару». Понад 80% бізнес-користувачів «хмари» не знають, яких ризиків зазнають. Юристи часто обмінюються інформацією між собою або з клієнтами через віддалені сервіси, такі як, наприклад, Dropbox.

Для того щоб убезпечити інформацію, варто дотримуватись деяких правил, вважають у McAfee Labs. Зокрема, звернутися до фахівців з інформаційних технологій компанії або сторонніх консультантів, щоб визначити уразливість технології; залучати консультантів, аби оцінити, протестувати або відновити безпеку IT і «хмари»; постійно перевіряти програми на наявність вірусів або вразливих місць системи та швидко реагувати, якщо шкідлива програма проникне в IT або «хмару».

Два питання клієнтів

Захистити інформацію від шкідливої дії особливо складно, якщо співробітники працюють віддалено і перевірити їхні комп’ютери фахівці з інформаційного захисту не мають змоги. Якщо йдеться про іншу країну, необхідно враховувати особливості місцевого законодавства в цій сфері. Багато держав беруть участь у договорах із взаємної правової підтримки, що дозволяють доступ до даних у «хмарі». До таких країн належать США, Австралія, Канада, Велика Британія, Франція, Німеччина, Ірландія, Іспанія, Данія та Японія.

Головний консультант міжнародної юридичної фірми Seyfarth Shaw Джон Томажевський попереджає, що невміле використання технологій може відкрити доступ до таємних відомостей. «Наприклад, бездротові роутери випускають із паролем за умовчанням. Якщо ви його не змінили перед використанням, мережа залишається відкритою для будь-кого, хто пройде повз із ноутбу-ком», — пояснив він.

Чим складніші процес обміну даними та інтерактивна структура, тим більші ризики. Іноді достатньо навіть незначної помилки, банальної неуважності, щоб створити непоправну загрозу конфіденційності інформації. Юрист Foley & Lardner і президент компанії з юридичного супроводу IT-проектів IT-Lex Адам Лузі розповів: «Дуже часто трапляється, що імейли з конфіденційною інформацією або відомостями з обмеженим доступом пересилаються не тій людині, тому що відправник натиснув не ту кнопку. Якщо людина використовує робочий комп’ютер для особистого листування, вона запросто може відправити службові відомості не туди, надіславши їх другу або ввівши неправильну адресу, а наслідки цього можуть бути дуже серйозними. Порада проста: використовуйте надійний пароль і думайте, перш ніж натиснути кнопку».

Найслабша ланка — це люди. По-перше, тому, що саме від них залежить, наскільки надійно працюватиме система безпеки. По-друге, неперевірений співробітник може виявитися неблагонадійним, будучи співучасником хакерів або просто легковажною людиною. «У широкомасштабній, з великою кількістю даних, тяганині ризик є неминучим, — говорить Г.Берон. — У наші дні є звичним, коли всі працюють на своїх ноутбуках у літаках, потягах і в громадських місцях, при цьому захисні екрани мало хто використовує. Люди вважають, що перехожий не розгледить зображення на екрані або просто не зацікавиться, а це не дуже розумне припущення».

Клієнти тепер уважніше приглядаються до юридичних фірм, особливо до захисту їхніх даних. Менеджер з інновацій в Thomson Reuters Джейсон Томас пояснює: клієнти повинні запитати, по-перше, про те, чи перебувають бази даних у власності самої фірми чи їх надає стороння організація, і, по-друге, які протоколи управління даними використовуються. Крім цього, їм варто попросити звіт про всі протоколи, аби переконатися в тому, що їхні дані будуть збережені.

КОМЕНТАРІ

Владислав ПОДОЛЯК, старший юрист Юридичної фірми «Василь Кісіль і партнери», адвокат:

Профілактична робота включає виховання у кожного працівника дбайливого та відповідального ставлення до інформації

— Фронт боротьби з кіберзлочинністю переноситься з реального світу у віртуальний, який не має видимих меж та державних кордонів. Тому боротьба з кіберзлочинністю здебільшого полягає у використанні не правових, а організаційних та технічних методів безпосередньо власниками інформації — компаніями, банками, іншими комерційними структурами чи самозайнятими професіоналами.

На рівні роботи з персоналом компанії керівник повинен принаймні прийняти внутрішні акти, які встановлюють перелік відомостей, які становлять комерційну таємницю, порядок доступу до неї, правила використання даних та запобігання незаконному розголошенню. Важливо врегулювати питання щодо використання у роботі як корпоративних, так і приватних мобільних телефонів, комп’ютерів, електронної пошти та інших засобів комунікації.

Профілактична робота включає виховання у кожного працівника дбайливого та відповідального ставлення до інформації, яка використовується у роботі. Окремі компанії активно укладають з працівниками так звані угоди про «неконкуренцію» (№o№-competitio№), які встановлюють для працівників певні обмеження щодо роботи на конкурентів у разі звільнення, тим самим обмежуючи витік інформації.

Як правило, у договорах сторони зазначають, що умови договору є конфіденційними, однак цією фразою реалізація завершується. Проблема у відносинах «компанія — клієнт» полягає в тому, що не завжди компанія повідомляє клієнту про факти незаконного доступу до інформації, її знищення чи розголошення. Тобто клієнт, будучи непоінформованим, не може зі свого боку вжити заходів щодо захисту своїх інтересів, зменшення певних збитків чи іншим чином відреагувати на подію. Тому компаніям рекомендовано не тільки опікуватися питаннями інформаційної безпеки своїх контрагентів, а й передбачати певні штрафні санкції за неповідомлення про певний інцидент: кіберзлочин, розголошення комерційної таємниці, запит державного органу, несанкціонований доступ тощо, навіть якщо вони сталися не з вини контрагента.

Захист інформації про клієнта та його діяльність — запорука довіри клієнта та тривалих відносин. А тому компанія повинна визнати, що без відповідних фінансових витрат та реальних механізмів не обійтись.

Сергій ГРЕБЕНЮК, радник Юридичного бюро «Єгоров, Пугінскій, Афанасьєв і партнери», адвокат:

Кадрова політика компанії, її вимоги до працівників є чи не найважливішим чинником у забезпеченні конфіденційності інформації

— Юридичні фірми зазвичай витрачають значні ресурси для забезпечення захисту конфіденційної інформації. Використовуючи найсучасніші досягнення технічного прогресу, юркомпанії організовують роботу таким чином, щоб забезпечити захист отриманої від клієнта інформації від несанкціонованого доступу ззовні, обмежити доступ до такої інформації всередині фірми та забезпечити її відповідне зберігання.

Проте крім «технічних засобів», у забезпеченні конфіденційності велику роль відіграє і «людський фактор». Кадрова політика компанії, її вимоги до працівників та рівень таких працівників є чи не найважливішим чинником у забезпеченні конфіденційності. Дедалі частіше укладаються угоди про конфіденційність як між клієнтом та юркомпанією, так і між фірмою та працівником.

Хотів би окремо звернути увагу на проблему порушення вимоги про конфіденційність інформації щодо адвокатської таємниці. Незважаючи на те, що за це передбачено досить серйозну відповідальність, навіть кримінальну, насправді на рівні держави забезпечення належного рівня захисту інформації є вкрай недостатнім. Більше того, якщо проаналізувати практику притягнення до відповідальності в цій категорії справ, ми побачимо, що з цим видом кримінальних злочинів майже не ведеться боротьба.

Особливе занепокоєння викликають окремі випадки, коли самі правоохоронні органи порушують вимоги законодавства. Так, інколи правоохоронні органи вважають, що «немає нічого страшного» в незаконному прослуховуванні адвокатів (у той час, як їх розмови за своєю суттю вже є адвокатською таємницею), незаконному вилученні документів, які містять адвокатську таємницю, незаконному розголошенні правоохоронними органами адвокатської таємниці, яка з тих чи інших підстав потрапила до правоохоронних органів, і навіть у прямому примушуванні адвокатів розкривати адвокатську таємницю. І доки така практика матиме місце, жодні гарантії забезпечення збереження адвокатської таємниці не будуть ефективними.

До вирішення цієї проблеми потрібно підійти комплексно. На мій погляд, доцільно було б посилити кримінальну відповідальність за такі дії, що мало б стримувальний ефект, та забезпечити ефективне та незалежне розслідування всіх фактів таких порушень.

Ігор Федоренко, партнер Адвокатського об’єднання AVER LEX:

У випадках шпіонажу більш результативним буде комплексне вирішення проблеми за участю відповідних фахівців і правоохоронних органів

— Найпоширенішим способом отримання необхідної інформації при шпіонажі є її негласне зняття з каналів зв’язку: незаконний доступ до телефонних переговорів, злом і зчитування електронних баз, в яких зберігається банківська та інша інформація, адреса електронної пошти, тощо.

Нерідко використовується стеження або отримання необхідних відомостей від співробітників підприємства або його контрагентів. У такому разі можуть застосувати вербування або ж скористатися банальним незнанням співробітниками комп’ютерних програм і недбалим використанням ними робочих комп’ютерів та Інтернету.

Для того аби мінімізувати випадки просочування інформації, необхідно дотримуватися простих правил безпеки.

По-перше, слід зменшити обсяг інформації, яка передається по каналах телефонного зв’язку, розмежувати інформаційні потоки, використати захисні механізми для зберігання інформації.

По-друге, визначити категорії доступу співробітників до інформації, контролювати питання лояльності та чинники, які можуть свідчити про просочування інформації, звертатися по консультацію до фахівця з економічної (інформаційною) безпеки.

По-третє, слід здійснювати моніторинг ситуації на предмет того, хто і в зв’язку з чим може бути зацікавлений у негласному отриманні інформації про ваш бізнес.

При цьому необхідно розуміти, що при шпіонажі, хакерських атаках більш результативним буде комплексне вирішення проблеми за участю відповідних фахівців і правоохоронних органів.

Так, незаконне зняття інформації з каналів зв’язку, втручання в роботу автоматизованих систем і баз даних, розголошення комерційної таємниці та інші діяння, які здійснюються при економічному шпіонажі, в т.ч. і хакерстві, підпадають під дії відповідних статей Кримінального кодексу, що встановлюють кримінальну відповідальність за такі дії.

У встановлених законодавством і договорами випадках, а також за належного підтвердження розміру збитків можливе застосування цивільно-правових і фінансових способів захисту своїх прав від указаних протиправних дій.