Большинство юридических компаний и инхаус-отделов сталкиваются с проблемой защиты данных. Те, у кого случается прокол в системе безопасности, иногда попадают в заголовки – как в случае с панамской юрфирмой Mossack Fonseca. Но чаще о проблемах с безопасностью предпочитают молчать. Каковы масштабы утечки данных из компаний, почему юристы их не раскрывают и как обезопасить компанию хотя бы от самых популярных способов взлома системы безопасности?
2,6 терабайта данных или 1,5 млн страниц в формате А4 – такой объём информации о внутренней деятельности панамской юрфирмы Mossack Fonseca, занимающейся сопровождением сделок и регистрацией офшоров, попал в руки журналистов. Результат – "Панамский архив", вскрытая сеть из сотен тысяч офшоров в более чем 150 юрисдикций. Среди владельцев компаний оказались сотни политиков и бизнесменов, включая и 12 российских чиновников. Пока СМИ говорят об одном из самых крупных журналистских антикоррупционных расследований, в самой компании, оказавшейся в центре скандала, уверены: сведения были получены незаконно. "Это уголовное преступление. Конфиденциальность – фундаментальное право человека, которое все больше и больше размывается в современном мире", – заявил Рамон Фонсека, один из основателей юрфирмы. Но что бы ни говорил основатель, на репутации его фирмы поставлен крест. Инцидент с Mossack Fonseca один из самых ярких, но далеко не единственный случай утечки данных клиентов из юридической компании – просто большинство компаний предпочитают об этом молчать.
Фонсека и другие
«Каждый человек имеет право на неприкосновенность частной жизни, будь он король или нищий», – заявил Фонсека уже после обнародования данных расследования, основанного на документах клиентов компании. Кто именно виноват в утечке в компании – пока неизвестно: ранее фирма "никогда не была осуждена или обвинена в каких-либо нарушениях", подчеркнул Фонсека. "Вариантов несколько: либо это хакерский "взлом" корпоративных аккаунтов, либо "слив" кого-либо из сотрудников», – считает Евгений Жилин, управляющий партер Юридической фирмы "ЮСТ" – один из немногих партнеров российских юрфирм, кто вообще согласился комментировать запрос Право.ru, касающийся информационной безопасности компаний. В любом случае, по репутации фирмы нанесен сокрушительный удар, признаёт он. Вскрывшиеся данные, касающиеся клиентов компании, уже не могут не спровоцировать расследования: президент Панамы Хуан Карлос Варела уже пообещал сотрудничать с международными судами по будущим делам.
Неделей раньше СМИ осветили событие, которое обсуждалось гораздо меньше, но являлось ничуть не менее значимым для юридических компаний и безопасности их клиентов. В прессе появились сообщения об утечке данных – заявили 48 крупных юридических американских и международных компаний, среди которых как минимум две входят в так называемый "magic circle" – круг мировых лидеров юрбизнеса, традиционно включающих пять компаний: Allen & Overy, Clifford Chance, Freshfields Bruckhaus Deringer, Linklaters и Slaughter and May. В числе жертв хакеров, по неофициальным данным, оказались Hogan Lovells, Allen & Overy и Freshfields. Официальное заявление об утечке данных сделала Cravath Swaine & Moore, попытавшись осветить возможные последствия для клиентов как минимальные и подчеркнув, что никаких последствий пока не выявлено. Официальной информации о том, какие именно данные были украдены, и о последствиях взлома также пока нет: правоохранители пытаются выяснить, были ли данные использованы для инсайдерской торговли. Большинство остальных жертв хакера – по версии The Law Society Gazette, выходца из России – предпочли воздержаться от заявлений. Промолчать – типичная реакция юрфирм на информацию о том, что данные клиентов могут быть под угрозой.
Почему молчат юрфирмы?
На фоне ситуации Mossack Fonseca другим фирмам необходимо тщательным образом проверить свои системы безопасности вне зависимости от того, что послужило причиной этой утечки, говорит Евгений Жилин: "В современном мире утаить информацию и надежно ее защитить становится все сложнее, и данный эпизод это очень наглядно демонстрирует" .
Статистика подтверждает: юрфирмам надо всерьёз задуматься о защите информации. Каждая четвертая юрфирма в США сталкивалась с хакерскими атаками, приводит данные юридическое издание Law360. Другие оценки ещё более тревожны: по меньшей мере 80% из 100 крупнейший юрфирм в США сталкивались с утечками данных, говорит Питер Тайрелл, руководитель компании по защите данных Digital Guardian, а в ФБР говорят об утечках в практически каждой крупной компании.
Тем не менее, официальной информации по этому поводу нет: в отличие от финансовых организаций, юрфирмы не обязаны раскрывать информацию. Отсутствием обязательств компании с удовольствием пользуются и к прозрачности не стремятся. Обычно сведения об утечках данных становятся публичными только после публикаций в СМИ или в ходе профессиональных бесед на юрфорумах, пишет The New York Times. Утечки не хотят афишировать, опасаясь потерять репутацию и клиентов. Юристы уверены: не стоит заранее беспокоить клиентов, ведь взлом системы безопасности совсем необязательно приведет к тяжёлым последствиям. А вот репутационные риски при обнародовании информации и взломе существенно возрастают.
Юрфирмы как главная брешь в безопасности банков
О том, что риски для безопасности юридических компаний существенно возросли, представителей ведущих американских компаний предупреждало ФБР. Первые предостережения относятся ещё к 2011 году: тогда представители бюро начали организовывать встречи с управляющими партнёрами лидеров юррынка Нью-Йорка и других крупнейших американских городов. На встречах говорили о новых угрозах кибербезопасности и компьютерного шпионажа, в том числе, как уточняет NY Times, со стороны России и Китая. Однако общение с партнёрами было и остаётся скорее монологом, чем диалогом, признают представители ведомства.
Ещё одним сигналом о том, что юрфирмам не стоит относиться к хакерам легкомысленно, стал доклад Citigroup, посвященный киберугрозам. В докладе отмечали, что одна из главных опасностей для банков исходит со стороны юрфирм. Проблему усугубляет то, что компании всячески стараются избегать публичности в вопросах кибербезопасности. Однако это не значит, что кибербезопасность юристов не волнует – по данным исследования Legal Tech, для глав компаний сохранение конфиденциальности клиентских данных проблема номер один, ведь единственный взлом может полностью уничтожить репутацию компании. Как свидетельствуют результаты исследования, общее число хакерских взломов юрфирм возросло по сравнению с предыдущим годом независимо от размеров и типов компаний.
Значительно чаще стали атаковать крупные компании – у фирм с более 500 юристами в штате число взломов выросло на 6%, а у компаний, число юристов в которых колеблется от 100 до 499, – на 13%. Попытки взломать системы юристов, практикующих индивидуально, остались на том же уровне, рост атак на компании с 2–9 юристов составил 3%, а вот компании средней величины, в штате которых от 10 до 49 юристов, число успешных атак сократилось на 5%. Последнее, возможно, стало результатом того, что политике безопасности в этих компаниях стали уделять больше внимания.
M&A – в зоне риска
По данным американских исследователей, в зоне риска чаще всего оказываются компании, занятые в сделках по слияниям и поглощениям, – особенно в случае с международными сделками. "Юрфирмы – очень привлекательная цель. Они получают от клиентов информацию для ведения переговоров по сделкам, в которой могут быть заинтересованы третьи лица, говорит Харви Ришикоф, сопредседатель подразделения по борьбе с киберпреступлениями Американской ассоциации адвокатов. – По этой причине информация, составляющая адвокатскую тайну, и привлекает и преступников, и зарубежные правительства".
Последние тоже нередко инициируют атаки на юридические фирмы, утверждают американские эксперты. "Если вы ведете бизнес в Китае или представляете китайских клиентов – вас взломают. Их сильно интересуют слияния и поглощения. Таким образом они проводят due diligence", – говорит Ричард Бейтлич, представитель компании FireEye, специализирующейся на защите данных.
Как взламывают системы
Сегодня возросло количество двух самых распространненых типов атак: непосредственно через сотрудников компаний и юротделов. Первый – классический "фишинг": на почту приходит письмо, где в качестве отправителя указан, например, крупный банк-партнер компании. Пользователя призывают в письме сменить пароль через ссылку, и, если он соглашается, злоумышленники получают доступ к системе. Фишинговые атаки могут быть чуть сложнее – направлены они при этом, как правило, на партнёров. С помощью размещённой онлайн-информации о человеке собирается минимум данных – например, о месте работы, практике, делах, над которыми велась работа, интересах вне офиса. После этого партнёру составляется письмо с вредоносной ссылкой, не похожее на спам. Благодаря такому "индивидуальному подходу" хакеров вероятность перехода по ссылке очень высока.
Другая угроза – ransomware, вредоносное программное обеспечение, предназначенное для вымогательства. После установки на компьютер жертвы программа зашифровывает рабочие файлы, и хотя компьютер по-прежнему работает, все данные становятся недоступны. Инструкцию и пароль для расшифровки файлов злоумышленник обещает прислать за деньги, получив опять-таки доступ к системе.
На вопросы Право.ru об утечках данных в ведущих российских юрфирмах не ответили: в России об утечках данных, как и о проблемах кибербезопасности в целом предпочитают не высказываться. Очевидно, что тема безопасности данных для российских компаний чувствительна. В целом же известно, что в российской практике довольно много фактов взлома почты – что само по себе уже составляет уголовное преступление.
Чтобы свести к минимуму киберриски, в юрфирмах работают с сотрудниками: самое малое из того, что можно сделать – объяснить, что не надо переходить по ссылкам с рабочего компьютера, использовать для работы личную почту или хранить конфиденциальные файлы в облачных сервисах вроде Dropbox или Yandex.Dis. Также компании усиливают безопасность внутренних сетей – на это с каждым годом тратится всё больше ресурсов. По данным, которые приводит Bloomberg, число компаний, усиливших защиту данных, возросло на 21% по сравнению с 2014 годом, а крупные американские юрфирмы потратили на кибербезопасность около 2% своего годового дохода, или в среднем $6,9 млн в каждой компании.
