Долг хранить адвокатскую тайну налагает на юристов обязанности по ее технической защите. Узнать передовые подходы к обеспечению безопасности позволяет наработка Совета адвокатов и юридических обществ Европы (CCBE) под названием «Руководство CCBE по повышению IT-безопасности адвокатов против незаконного наблюдения» — CCBE Guidance on Improving the IT Security of Lawyers Against Unlawful Surveillance (Руководство). В этом документе подчеркивается: адвокатская тайна превращается в ценность, которая подвергается всевозрастающей угрозе посредством незаконного вмешательства со стороны третьих лиц или «неадекватно регулируемого» государственного наблюдения.

Сообщество призывает законодателей внести необходимые поправки, обеспечивающие гарантии неприкосновенности информации. В то же время отдельные адвокаты и юрфирмы уже сегодня могут предпринять шаги по обеспечению сохранности данных. Руководство разделено на две части: 1) общий обзор того, как юристы могут подходить к вопросам безопасности IT; 2) конкретное руководство в отношении технических мер, которые могут быть предприняты адвокатами для защиты от незаконной слежки или вмешательства в работу систем.

 

Стандартные решения

Как гласит Руководство, несмотря на наличие рисков, адвокаты не могут практиковать без использования IT-систем. Признается, что, в отличие от крупных юридических компаний, не все субъекты рынка имеют необходимые средства на техническую экспертизу. Минимальный набор знаний потребуется любому юристу, даже если он перепоручает отдельные аспекты подрядчику. При этом авторы данной разработки уточняют, что не собираются перегружать читателя техническими подробностями. Ставится задача очертить общие подходы.

Стандарт Common Criteria, регламентирующий порядок шифрования флеш-накопителей и защиты банкоматов, «не является подходящим образцом для вопросов, рассматриваемых в настоящем Руководстве».

Другим широко используемым глобальным стандартом является COBIT (Control Objectives for Information and Related Technology). Отмечается, что данный стандарт может быть полезен «только для организаций, которые имеют сложную IT-инфраструктуру». «Этот стандарт явно имеет совершенно иной фокус, чем проблема, с которой сталкиваются большинство юристов и мелких практик», — отмечается в Руководстве.

Из небольшого числа стандартов безопасности только два применимы для управления рисками информационной безопасности юристов, а именно: 1) FIPS 800-53 и FIPS Cybersecurity Framework (и соответствующие стандарты), разработанные Национальным институтом стандартов и технологий США (NIST); 2) стандарты на основе ISO 27000.

При этом сказано, что стандарт FIPS 800-53 широко применяем, но, возможно, он слишком детализирован для размера средней европейской юридической фирмы. В свою очередь преимуществом стандарта FIPS Cybersecurity Framework является то, что он рассчитан на более широкий круг компаний. Так, уже были предоставлены разъяснения для небольших фирм и опубликованы рекомендации для небольших компаний по имплементации стандартов на базе ISO 27000.

 

Первые шаги

Затем озвучиваются практические рекомендации по управлению безопасностью. Специалисты предлагают для начала определить основные информационные активы, особенно информацию и документы клиентов, ключевые службы и реестры, которые имеют решающее значение для функционирования. Вторым шагом указано выявление сбоев в системе безопасности, которые оказали бы наиболее серьезное влияние на бизнес. В связи с этим нужно установить последствия таких сбоев (порядок действий) и определить пути минимизации рисков.

Среди обязательных элементов минимизации рисков упоминаются следующие:

1)  контроль доступа к ключевым информационным ресурсам (включая идентификацию пользователей и предоставление им только необходимых прав доступа);

2) безопасность удаления и извлечения оборудования (включая мобильные устройства и немобильные носители данных) и безопасность использования оборудования за пределами помещений (off-premises security of equipment);

3) безопасность сети (особенно использование общих инфраструктур, таких как беспроводные и проводные сети);

4) операционные процедуры по обеспечению защиты от вредоносного кода;

5) управление паролями, резервное копирование, отчетность об инцидентах безопасности и т.д.

 

Мобильные проблемы

Особое внимание уделяется рискам, связанным с мобильными (переносными) устройствами (страница 13). Использование мобильных телефонов, флеш-накопителей и ноутбуков за пределами офисных помещений подвержено риску потери и повреждения. «Если злоумышленник получает какое-либо из этих устройств, он сможет запустить очень широкий спектр атак безопасности», — уточняется в Руководстве. Такие устройства должны быть надежно защищены. К примеру, шифрование информации для ноутбука куда важнее, чем для настольного ПК. На мобильных устройствах тоже нужно установить антивирус.

При этом речь идет не только о пароле. В связи с этим предлагается использование карманного замка (pocket-sized lock) для защиты ноутбуков от кражи в грубой форме («схватил и убежал»). Что касается элементарных мер предосторожности, то это перенос мобильных устройств в ручной клади, а не в зарегистрированном багаже в самолетах.

 

Атака издалека

Угрозы, исходящие от флеш-накопителей, существуют, но в наше время вирусы поступают, как правило, через интернет. Говорится, что вредоносное ПО может серьезно повредить или уничтожить компьютерные ресурсы, обеспечить несанкционированный доступ к сохраненным данным (для любой злонамеренной цели) или, например, отправить клиентам «неудобные» сообщения.

Чтобы принять правильное решение о том, какие антивирусные программы нужно покупать, следует учитывать не только цену, но и результаты, опубликованные независимыми европейскими испытательными лабораториями относительно эффективности защиты, говорится в Руководстве. Постоянное обновление антивируса не является панацеей. Между возникновением нового вируса и его регистрации антивирусом проходит некоторое время. Кроме того, установка обновлений может нарушить работу программ, которые ранее работали без проблем. По этой причине фирмам рекомендуется «сначала протестировать любые обновления в соответствующей тестовой среде, а не на компьютере, который используется для бизнеса клиента».

В случае инфицирования вирусом следует обращаться к специалистам, а не восстанавливать данные из резервных источников, а также немедленно информировать клиента об инцидентах.

Поскольку данные клиентов являются одними из самых ценных активов юристов, то они должны быть защищены даже после того, как не будут востребованы. Простое удаление сохраненных данных или форматирование устройства не остановит определенное лицо от процесса восстановления данных. Такие носители данных не нужно продавать или кому-либо передавать. Во многих случаях потребуется физическое уничтожение носителя (помощь сторонних специалистов, возможно, потребуется при ликвидации жесткого диска).

 

Законы давления

Переходя к вопросу несанкционированной слежки, эксперты указывают на важные трансграничные аспекты: могут возникать ситуации, когда акт наблюдения, который должен осуществляться властями одной страны, является законным в этой стране, но он вне закона во всех странах, попавших под наблюдение, например, в стране другой стороны сообщения (страница 15). Такие проблемы должны устраняться путем взаимодействия правоохранителей, что не всегда происходит на практике даже внутри ЕС.

Телефонные линии могут быть защищены физически (например, в закрытых кабинетах), но защиту можно обойти внутри здания. Уточняется, что в ЕС провайдеры телекоммуникационных услуг и услуг электронной связи обязаны предоставлять доступ властям к информации. Хотя электронная почта и обмен мгновенными сообщениями (чаты) рассматриваются как электронная связь, такие услуги, как Skype, Viber или подобные им, использующие вызовы «inapp» (OTT-сервисы), не всегда рассматриваются как услуги электронной связи во всех странах — членах ЕС. Иногда силовым и правоохранительным органам удается наладить сотрудничество с такими компаниями с целью перехвата важной информации. При этом подчеркивается, что если у поставщика OTT-сервисов нет технического присутствия в стране (например, есть только торговый персонал), большинству ведомств трудно оказывать давление на таких поставщиков, если они не хотят сотрудничать.

 

Инструменты будущего

Констатируется, что использование дополнительных мер по обеспечению защиты может сделать пользование коммуникационными средствами менее удобным, хотя соображения конфиденциальности должны превалировать. Как говорится в Руководстве, надежным способом обеспечения защищенности является шифрование разговоров.

Тем не менее авторы руководства все же называют средства, позволяющие шифровать как телефонные звонки, так и звонки с помощью OTT-сервисов:

1) смартфон Blackphone 2 и приложение GoSilent, разработанные Silent Circle (США);

2) смартфон Hoox от разработчика Atos (Франция);

3) криптофон Cryptophone от GSMK (Германия).

Криптофоны используют технологию IP-телефонии и считаются более надежными. Но и здесь есть нюансы: технические (обе стороны коммуникации должны использовать совместимые устройства) и политические (ряд стран ЕС, включая Венгрию, запретили использование криптофонов).

Сквозное шифрование (end-to-end encryption) может быть обеспечено за счет запуска специального программного обеспечения на смартфоне или планшете (WhatsApp и Viber). Также адвокатам предлагается обратить внимание на продукты компаний Cellcrypt, Chatsecure и Signal Private Messenger. Большинство программных решений не будут использовать традиционные мобильные номера для обмена сообщениями. При этом шифрование не исключает риска атаки на «софт» мобильного устройства, отмечают специалисты.

Еще одним вариантом ухода от контроля может быть использование незарегистрированных телефонных номеров (в странах, где покупка сим-карт проходит без идентификации абонента).

 

Последние предостережения

Неподходящим для работы с конфиденциальной информацией называется использование беспроводной сети: «Адвокаты должны воздерживаться от использования Wi-Fi без VPN, если не может быть установлено, что пароль для Wi-Fi был изменен за последний день или два». Рекомендуется вводить аутентификацию «гостевых» пользователей, а еще лучше — использовать мобильный интернет вместо беспроводного.

Рекомендуется высылать по e-mail вложенные файлы с шифрованием, а ключ — по отдельному каналу коммуникации (например, СМС). Адвокатов вместе с тем предупреждают: утрата ключа к шифру может привести к полной утрате сведений. Также существуют риски при использовании сервисов электронного суда для пересылки сообщений: к таким каналам связи имеет прямое отношение государство.

В конце данного документа авторы признают, что стопроцентной гарантии безопасности в эпоху IT-технологий нет. Но задача юристов — продемонстрировать, что данным рискам они уделили надлежащее внимание и предприняли нужные меры.