выключить дудлвключить дудл

Виртуальная безопасность. Юридическая практика. №23 от 10 июня 2014. Дмитрий Гадомский

С какими рисками сталкиваются юрфирмы при использовании современных технологий хранения и доступа к информации

В современном обществе вопросам информационной безопасности отводится одно из ключевых мест. Если раньше угрозой номер один считались компьютерные вирусы, то теперь на первый план выходят безопасное хранение данных и их передача по Сети, защищенные финансовые транcакции и конфиденциальность электронно-цифровой подписи. Широкое распространение технических средств обработки и передачи данных лишь усугубляет ситуацию: как показывает практика, даже самые защищенные базы подвержены взлому. Кроме того, далеко не все пользователи осведомлены и соблюдают базовые правила работы с информацией, что облегчает работу промышленным шпионам и киберпреступникам.

Юридический бизнес сталкивается с теми же рисками, что и другие пользователи информационных технологий. Но последствия информационных утечек могут быть очень серьезными, ведь юридическая фирма работает с информацией клиента, и именно она зачастую становится объектом атаки. Если информация о «сливе» станет достоянием общественности, избежать негатива от факта разглашения конфиденциальных данных практически невозможно, да и сама эта информация может запятнать имидж юрфирмы.

Соответственно, защищенность баз данных юрфирмы, как правило, должна быть сопоставимой с политиками конфиденциальности крупнейших корпораций и в любом случае выше традиционных мер, предпринимаемых мелким и средним бизнесом (а абсолютное большинство юридических фирм относится именно к данной категории). При этом следует соразмерять средства, инвестируемые компанией в свою информационную безопасность, и стоимость информации, которая может быть похищена. Обеспечение безопасности информации — дорогое дело, и не только из-за затрат на закупку или установку средств защиты, но также из-за того, что трудно квалифицированно определить границы разумной безопасности и обеспечить соответствующее поддержание системы в работоспособном состоянии. Не следует забывать и о мобильности применяемых решений, что подразумевает возможность легко защитить все компьютеры (в том числе портативные), которые используются в работе. Поскольку IT-решения, применяемые в области крупного бизнеса, для юристов не всегда приемлемы, стоит задуматься над разработкой собственной системы либо с привлечением специалистов адаптировать к своим потребностям традиционные средства информационной защиты — специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных. И в любом случае надо помнить, что 100 % защиты не существует.

Что угрожает

Среди главных опасностей в работе юриста с технологиями первые места отводятся даже не уязвимости информационной системы к внешним вредоносным воздействиям, а пресловутому человеческому фактору — риск утечки данных повышается из-за небрежного отношения к рабочему оборудованию и использования на работе личных устройств, из-за потерянных и украденных гаджетов, слабого контроля за мобильными девайсами. Далеко не во всех юридических фирмах разработаны правила использования электронной почты и сервисов по обмену файлами, а также материальных носителей — дисков, флешек. Многие юрфирмы открыли для себя облачные сервисы и активно их используют, не всегда понимая, какие правила и законы регулируют условия применения этой технологии в разных странах. К примеру, многие государства участвуют в договорах по взаимной правовой поддержке, позволяющих доступ к данным в облаке. К таким странам относятся США, Австралия, Канада, Великобритания, Франция, Германия, Ирландия, Испания, Дания и Япония. «Хранение данных в облаке технически не исключает возможность получения доступа к ней провайдером», — отмечает Дмитрий Гадомский, партнер практики IT и медиа права АО «Юскутум», добавляя, что в его фирме облачные сервисы не используются, поскольку отсутствуют способы технической защиты информации клиентов. А Юрий Крайняк, управляющий партнер ЮК Jurimex, придерживается мнения, что для небольшого бизнеса популярные облачные сервисы могут вполне сгодиться, но чем выше ценность хранимой юристом информации, тем серьезнее возможные последствия для фирмы и ее клиентов от потери информации и, соответственно, выше должен быть уровень требований к ее безопасности.

Информационная система юридической фирмы также подвержена рискам со стороны компьютерных вирусов и вредоносных программ, фишинга (получения данных мошенническим способом), попыток несанкционированного проникновения путем использования индивидуальной или социальной психологии, целенаправленных атак хакеров. Для глобальных юрфирм актуальны и угрозы проникновения в секретные базы данных со стороны национальных правительств — на Украине скорее можно ожидать обыск и выемку в офисе юрфирмы.

Как защищать

Каким образом хранить информацию в электронном виде и какими методами гарантировать ее конфиденциальность и безопасность? На этот вопрос каждая юридическая фирма отвечает по-своему. Специалисты рекомендуют как минимум следовать проверенным способам обращения с данными: постоянная проверка программ на наличие вирусов или уязвимых мест системы, шифрование, надежные пароли и т.д.; имплементировать новые методы защиты информации; разработать организационную политику и стратегию для защиты данных; оперативно реагировать на выявленные и потенциальные угрозы. Крупным юрфирмам целесообразно развивать собственную IT-службу, и абсолютно всем целесообразно также прибегать к помощи внешних консультантов, чтобы определить уязвимости технологии. Контроль максимально возможного количества каналов коммуникации позволяет свести к минимуму риск потенциальной утечки информации.

Нельзя пренебрегать и формальной стороной вопроса — следует разработать политики и регламенты работы с информацией с указанием, в каких случаях и как именно следует поступать; ввести в действие программу повышения осведомленности сотрудников об использовании компьютера и работе с информацией; разработать систему обнаружения опасностей и борьбы с ними. Такие шаги позволят обеспечить юрфирме достаточно высокий уровень информационной безопасности. Регулярное обучение персонала азам компьютерной безопасности также приветствуется.

Слабое звено

Вся система информационной безопасности при всем совершенстве и надежности технических средств неизбежно связана с человеческим фактором. Речь даже не о целенаправленных утечках. Ведь именно от грамотно подобранных специалистов зависит, насколько надежно будет работать система безопасности. Кроме того, сотрудник, имеющий доступ к конфиденциальным сведениям, может неосознанно передать сведения третьим лицам или допустить утечку из-за элементарного разгильдяйства. Так, вполне обыденным может стать отправка письма ненадлежащему адресату, случайно кликнутая ссылка чревата заражением компьютера вирусом, а использование облака, как правило, открывает доступ к данным как минимум со стороны провайдера услуги. Защитить информацию от вредного воздействия особенно сложно, если сотрудники работают удаленно и тем более используют собственную технику, проверить которую специалисты IТ-подразделений юрфирмы не могут. А ведь, к примеру, незапароленный роутер может перечеркнуть все усилия IT-службы и открыть доступ к корпоративной сети.

Отдельно выделим «физические» риски. Даже если не рассматривать уж совсем экзотические варианты: данные, с которыми работает юрист, подсмотрел сосед по креслу в самолете, потеря ноутбука или планшета в такси, «вынос» информации на флешке или в распечатанном виде — такие явления, к сожалению, вполне обыденные. Поэтому в построении системы информационной безопасности тщательный отбор персонала, его мотивация и постоянный контроль работы не менее важны, чем использование технических средств.

по материалам Юридическая практика