В современном обществе вопросам информационной безопасности отводится одно из ключевых мест. Если раньше угрозой номер один считались компьютерные вирусы, то теперь на первый план выходят безопасное хранение данных и их передача по Сети, защищенные финансовые транcакции и конфиденциальность электронно-цифровой подписи. Широкое распространение технических средств обработки и передачи данных лишь усугубляет ситуацию: как показывает практика, даже самые защищенные базы подвержены взлому. Кроме того, далеко не все пользователи осведомлены и соблюдают базовые правила работы с информацией, что облегчает работу промышленным шпионам и киберпреступникам.

Юридический бизнес сталкивается с теми же рисками, что и другие пользователи информационных технологий. Но последствия информационных утечек могут быть очень серьезными, ведь юридическая фирма работает с информацией клиента, и именно она зачастую становится объектом атаки. Если информация о «сливе» станет достоянием общественности, избежать негатива от факта разглашения конфиденциальных данных практически невозможно, да и сама эта информация может запятнать имидж юрфирмы.

Соответственно, защищенность баз данных юрфирмы, как правило, должна быть сопоставимой с политиками конфиденциальности крупнейших корпораций и в любом случае выше традиционных мер, предпринимаемых мелким и средним бизнесом (а абсолютное большинство юридических фирм относится именно к данной категории). При этом следует соразмерять средства, инвестируемые компанией в свою информационную безопасность, и стоимость информации, которая может быть похищена. Обеспечение безопасности информации — дорогое дело, и не только из-за затрат на закупку или установку средств защиты, но также из-за того, что трудно квалифицированно определить границы разумной безопасности и обеспечить соответствующее поддержание системы в работоспособном состоянии. Не следует забывать и о мобильности применяемых решений, что подразумевает возможность легко защитить все компьютеры (в том числе портативные), которые используются в работе. Поскольку IT-решения, применяемые в области крупного бизнеса, для юристов не всегда приемлемы, стоит задуматься над разработкой собственной системы либо с привлечением специалистов адаптировать к своим потребностям традиционные средства информационной защиты — специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных. И в любом случае надо помнить, что 100 % защиты не существует.

Что угрожает

Среди главных опасностей в работе юриста с технологиями первые места отводятся даже не уязвимости информационной системы к внешним вредоносным воздействиям, а пресловутому человеческому фактору — риск утечки данных повышается из-за небрежного отношения к рабочему оборудованию и использования на работе личных устройств, из-за потерянных и украденных гаджетов, слабого контроля за мобильными девайсами. Далеко не во всех юридических фирмах разработаны правила использования электронной почты и сервисов по обмену файлами, а также материальных носителей — дисков, флешек. Многие юрфирмы открыли для себя облачные сервисы и активно их используют, не всегда понимая, какие правила и законы регулируют условия применения этой технологии в разных странах. К примеру, многие государства участвуют в договорах по взаимной правовой поддержке, позволяющих доступ к данным в облаке. К таким странам относятся США, Австралия, Канада, Великобритания, Франция, Германия, Ирландия, Испания, Дания и Япония. «Хранение данных в облаке технически не исключает возможность получения доступа к ней провайдером», — отмечает Дмитрий Гадомский, партнер практики IT и медиа права АО «Юскутум», добавляя, что в его фирме облачные сервисы не используются, поскольку отсутствуют способы технической защиты информации клиентов. А Юрий Крайняк, управляющий партнер ЮК Jurimex, придерживается мнения, что для небольшого бизнеса популярные облачные сервисы могут вполне сгодиться, но чем выше ценность хранимой юристом информации, тем серьезнее возможные последствия для фирмы и ее клиентов от потери информации и, соответственно, выше должен быть уровень требований к ее безопасности.

Информационная система юридической фирмы также подвержена рискам со стороны компьютерных вирусов и вредоносных программ, фишинга (получения данных мошенническим способом), попыток несанкционированного проникновения путем использования индивидуальной или социальной психологии, целенаправленных атак хакеров. Для глобальных юрфирм актуальны и угрозы проникновения в секретные базы данных со стороны национальных правительств — на Украине скорее можно ожидать обыск и выемку в офисе юрфирмы.

Как защищать

Каким образом хранить информацию в электронном виде и какими методами гарантировать ее конфиденциальность и безопасность? На этот вопрос каждая юридическая фирма отвечает по-своему. Специалисты рекомендуют как минимум следовать проверенным способам обращения с данными: постоянная проверка программ на наличие вирусов или уязвимых мест системы, шифрование, надежные пароли и т.д.; имплементировать новые методы защиты информации; разработать организационную политику и стратегию для защиты данных; оперативно реагировать на выявленные и потенциальные угрозы. Крупным юрфирмам целесообразно развивать собственную IT-службу, и абсолютно всем целесообразно также прибегать к помощи внешних консультантов, чтобы определить уязвимости технологии. Контроль максимально возможного количества каналов коммуникации позволяет свести к минимуму риск потенциальной утечки информации.

Нельзя пренебрегать и формальной стороной вопроса — следует разработать политики и регламенты работы с информацией с указанием, в каких случаях и как именно следует поступать; ввести в действие программу повышения осведомленности сотрудников об использовании компьютера и работе с информацией; разработать систему обнаружения опасностей и борьбы с ними. Такие шаги позволят обеспечить юрфирме достаточно высокий уровень информационной безопасности. Регулярное обучение персонала азам компьютерной безопасности также приветствуется.

Слабое звено

Вся система информационной безопасности при всем совершенстве и надежности технических средств неизбежно связана с человеческим фактором. Речь даже не о целенаправленных утечках. Ведь именно от грамотно подобранных специалистов зависит, насколько надежно будет работать система безопасности. Кроме того, сотрудник, имеющий доступ к конфиденциальным сведениям, может неосознанно передать сведения третьим лицам или допустить утечку из-за элементарного разгильдяйства. Так, вполне обыденным может стать отправка письма ненадлежащему адресату, случайно кликнутая ссылка чревата заражением компьютера вирусом, а использование облака, как правило, открывает доступ к данным как минимум со стороны провайдера услуги. Защитить информацию от вредного воздействия особенно сложно, если сотрудники работают удаленно и тем более используют собственную технику, проверить которую специалисты IТ-подразделений юрфирмы не могут. А ведь, к примеру, незапароленный роутер может перечеркнуть все усилия IT-службы и открыть доступ к корпоративной сети.

Отдельно выделим «физические» риски. Даже если не рассматривать уж совсем экзотические варианты: данные, с которыми работает юрист, подсмотрел сосед по креслу в самолете, потеря ноутбука или планшета в такси, «вынос» информации на флешке или в распечатанном виде — такие явления, к сожалению, вполне обыденные. Поэтому в построении системы информационной безопасности тщательный отбор персонала, его мотивация и постоянный контроль работы не менее важны, чем использование технических средств.

---

Мнение

Уровни доступа

Юрий КРАЙНЯК,
управляющий партнер ЮК Jurimex

Телекоммуникации и облачные технологии, с одной стороны, серьезно облегчают жизнь юриста (и не только его), но с другой — снижают защиту информации с контролируемых тобой 100 % (это когда информация на накопителе, а накопитель отключен от всего и лежит в каком-нибудь надежном месте) до значений, которые ты сам контролировать уже не можешь и возлагаешь это на специалистов и технику. И основные риски здесь традиционны: потеря конфиденциальной информации о клиентах и их деятельности, потеря или искажение информации по какому-нибудь актуальному проекту, разрушение рабочих баз данных документов и прочее.

Известно, что Интернет начинался именно как способ децентрализации мест хранения стратегической информации Минобороны США. В принципе сегодня концепция осталась та же, но широкая доступность ресурсов Сети выдвигает требования не только к размещению информации на различных удаленных серверах, но и к ее защите. Для небольшого бизнеса популярные облачные сервисы могут вполне сгодиться, но чем выше ценность хранимой юристом информации, чем серьезнее возможные последствия для фирмы и ее клиентов от потери информации, тем выше уровень требований к ее безопасности.

---

БЛИЦ-ИНТЕРВЬЮ

Системная защита

Дмитрий ГАДОМСКИЙ,
партнер практики IT и медиа права АО «Юскутум»

— С какими основными рисками может столкнуться юрфирма при использовании современных технологий хранения и доступа к информации?

— Юридическая фирма сталкивается с теми же рисками, что и другие пользователи информационных технологий. Вот только последствия рисков выше, ведь юридическая фирма работает с информацией клиента, и утеря или утечка информации чревата материальной и репутационной ответственностью перед клиентом.

Другими словами, если юридическая компания не обеспечила шифрование информации на ноутбуке сотрудника и ноутбук был утерян, третье лицо получает доступ к информации клиентов. Аналогично, если компания не обеспечила защиту своей внутренней сети от взлома или компьютеры пользователей не защищены от вирусов. Существует масса способов для кражи информации в Сети, подавляющее большинство из них связаны с недостаточной грамотностью пользователя или же с излишней доверчивостью.

Есть риски и для информации самой юридической фирмы. Взломав почтовый ящик, злоумышленник может получить доступ к административной панели управления доменным именем. Если в почте хранится паспорт лица, на которое зарегистрирован сайт, или же регистрационные документы юридической фирмы, управляющий партнер обнаружит на своем домене вместо привычного сайта, например, порносайт. Это значит, что злоумышленник перенес домен на другой хостинг и вернуть его без участия суда можно будет только в случае очень оперативных действий.

Еще одна уловка для юридических фирм состоит в использовании Saa S-решений. Если компания работает, скажем, с GoogleApps, то есть почта хранится на сервере Google, в договоре о предоставлении юридических услуг следует указать, что юридическая фирма может хранить информацию на сторонних серверах. Ведь хранение данных в облаке технически не исключает возможности получения к ней доступа провайдером (в данном случае техническими специалистами Google).

 

— Как в вашей юрфирме организована работа с информацией, в том числе при работе юристов удаленно?

— Все диски на компьютерах юристов зашифрованы. Кроме того, установлены пароли на операционную систему. Сотрудникам запрещено оставлять компьютер без постановки в защищенный режим. Юристы не имеют административных прав самостоятельно устанавливать программное обеспечение на свои рабочие компьютеры. Мы не используем облачные сервисы, потому как не видим способов технической защиты информации клиентов.

 

— Какие еще меры информационной защиты вами предпринимаются?

— Мы ведем уголовные дела по хакингу, работаем в комитете по кибербезопасности в Независимой ассоциации банков Украины, среди наших клиентов есть разработчики антивирусов и специалисты по информационной безопасности IТ, так что со способами взлома и контрмерами большинство наших юристов знакомы по умолчанию. Те же, кто не знаком, изучают их на внутренних тренингах.

 

(Беседовал Алексей НАСАДЮК,
«Юридическая практика»)