ПРАВО.ru
Зарубежная практика
21 апреля 2014, 3:00

Как защитить тайну клиента от хакеров

Как защитить тайну клиента от хакеров
Фото PhotoXPress

Эдвард Сноуден доказал, что американские спецслужбы следят за юристами по всему миру, зачастую даже без соответствующего решения суда. Но содержимое компьютеров юристов чаще волнует не государственных шпионов, а корпоративных. Особенно высок риск утечки данных в России, считают эксперты из США. Они же и рассказывают, как защитить конфиденциальную информацию.

"Юридические фирмы часто становятся мишенью хакеров, потому что они, во-первых, со стороны кажутся уязвимыми, во-вторых, располагают сведениями, которые хакеры могут счесть ценными", – объясняет Габриэла Бэрон, старший вице-президент компании по изучению и разработке новых технологий для юридических фирм Xerox Litigation Services. По словам Бэрон, юрфирмы часто упоминаются в СМИ, когда ведут тяжбы, и найти в интернете, какую корпорацию представляет та или иная компания, не составит труда. Сайт Law Technology News приводит перечень главных опасностей в работе юриста с технологиями.

– Риск утечки данных повышается из-за небрежного отношения к рабочему оборудованию и использования на работе личных устройств, из-за потерянных и украденных гаджетов, вредоносных ПО, слабого контроля за мобильными девайсами;

– Облачные сервисы: фирмы спешат освоить "облако", не имея достаточного понимания о том, какие правила и законы регулируют условия пользования технологией в разных странах;

– Вредоносные программы, фишинг (получение данных мошенническим способом), проникновение в защищенные системы путем использования индивидуальной или социальной психологии, целенаправленные хакерские атаки, которые вскрывают секретные данные;

– Отсутствие четко сформулированных правил, ограничивающих использование электронной почты и сервисов по обмену файлами;

– Угроза проникновения в секретные базы данных со стороны национальных правительств, хактивистов (тех, кто использует компьютеры и сети для продвижения политических идей), хакеров и т.д.

Когда риски известны, пишет издание, следует выработать правильный подход к заботе о безопасности информации, следуя общим правилам:

– Развивать и воплощать в жизнь новые методы защиты информации, разработать организационную политику и стратегию для защиты данных;

– Ввести в действие программу повышения осведомленности сотрудников об использовании компьютера, разработать систему обнаружения опасностей и борьбы с ними;

– Разработать и ввести систему защиты данных.

Наиболее пагубное влияние оказывают загрузки, заражающие компьютер вирусами или шпионскими программами. Атаки при помощи загруженных файлов могут произойти, когда пользователь скачивает файл, не зная, что он содержит вредоносную программу, либо когда загрузка происходит автоматически, например при посещении того или иного сайта. Чтобы уменьшить риск нежелательного вмешательства, можно принять следующие меры:

– Проводить для работников ежегодные тренинги на тему безопасности данных.

– Следовать проверенным способам обращения с данными: шифрование, надежные пароли и т.д.

– Щедро финансировать устранение уязвимых мест в системе безопасности, делать это оперативно.

Вашингтонский юрист-консультант Джоэл Бреннер напоминает американским юристам, едущих за рубеж, что международные фирмы являются целью для систематических атак. Особенно плохо обстоят дела, по его словам, в России и Китае – компьютер приезжего юриста может оказаться досконально проверенным злоумышленниками еще до того, как гость приедет в отель, потому что там, по его словам, преступники считают подобную проверку обычной рутинной практикой бизнеса. 

"Прогноз опасностей на 2014 год" от McAfee Labs, центра, исследующего риски киберпространства, называет семь главных причин беспокоится: вредоносные программы, виртуальные валюты, киберпреступность и кибервойны, атаки, эксплуатирующие человеческую психологию, атаки на ПК и серверы, большие массивы данные и атаки на "облако". Более 80% бизнес-пользователей "облака" не знают, каким рискам подвергаются. Юристы часто делятся информацией между собой или с клиентами через удаленные сервисы, такие как, например, Dropbox. Для того чтобы обезопасить информацию, стоит следовать некоторым правилам, считают в McAfee:

– Полагаться на специалистов по информационным технологиям компании или сторонним консультантам, чтобы определить уязвимости технологии.

– Привлечь консультантов, чтобы оценить, протестировать или восстановить безопасность IT и "облака".

– Постоянно проверять программы на наличие вирусов или уязвимых мест системы; быстро реагировать, если вредоносная программа проникнет в IT или "облако".

Защитить информацию от вредного воздействия особенно сложно, если сотрудники работают удаленно и проверить их компьютеры специалисты по информационной защите не могут. Если сотрудники работают в другой стране, необходимо учитывать особенности местного законодательства в этой сфере. Многие государства участвуют в договорах по взаимной правовой поддержке, позволяющих доступ к данным в "облаке". К таким странам относятся США, Австралия, Канада, Великобритания, Франция, Германия, Ирландия, Испания, Дания и Япония.

Джон Томажевски, главный консультант международной юридической фирмы Seyfarth Shaw, предупреждает, что неумелое использование технологий может открыть доступ к секретным сведениям. "К примеру, беспроводные роутеры идут с паролем по умолчанию. Если вы его не поменяли, прежде чем использовать, вы оставляете сеть открытой для любого, кто пройдет мимо с ноутбуком", – говорит он.

Чем сложнее процесс обмена данными и интерактивная структура, тем больше риски. Иногда достаточно небольшой ошибки, простого момента рассеянности, чтобы нанести непоправимой урон конфиденциальности информации. "Очень часто случается, – рассказывает Адам Лузи, юрист Foley & Lardner и президент компании по юридическому сопровождению IT-проектов IT-Lex, – Что имейлы с конфиденциальной информацией или сведениями с ограниченным доступом пересылаются не тому человеку, потому что отправитель нажал не ту кнопку. Если человек использует рабочий компьютер для личной переписки, он запросто может отправить служебные сведения не туда, отослав их другу или введя неправильный адрес, а последствия этого могут быть очень серьезными. Совет прост: используйте надежный пароль и думайте, прежде чем нажать кнопку".

Самое слабое звено – люди. Во-первых, потому, что именно от них зависит, насколько надежно будет работать система безопасности. Во-вторых, непроверенный сотрудник может оказаться неблагонадежным, оказавшись соучастником хакеров или просто легкомысленным. "В широкомасштабной, с большим количеством данных, тяжбе риск неизбежен, – говорит Бэрон. – В наши дни обычное дело, что все работают на своих ноутбуках в самолетах, поездах и общественных местах", при этом защитные экраны мало кто использует. "Люди полагают, – продолжает она, – Что прохожий не разглядит экран или просто не заинтересуется, а это не очень разумное предположение".

Клиенты теперь внимательнее присматриваются к юридическим фирмам, в особенности к тому, как будут защищаться их данные. "Клиенты должны спросить: 1) находятся ли базы данных в собственности самой фирмы или их предоставляет сторонняя организация и 2) какие протоколы управления данными используются", – объясняет Джейсон Томас, менеджер по инновациям в Thomson Reuters, – Помимо этого они должны попросить отчет о всех протоколах, чтобы убедиться, что их данные в сохранности".