Кібербезпека: чому не вчать на юридичному факультеті

Втрата даних - справа дуже неприємна. Але вона стає ще неприємнішою, коли це стосується даних, які містять адвокатську таємницю, або інших відомостей, розголошення яких може сильно нашкодити як клієнту, так і юридичній компанії.

Одним із поширених способів зберігання даних є використання хмарних технологій. Хмарні сервіси, що дозволяють перенести обчислювальні ресурси й дані на віддалені інтернет-сервери, в останні роки стали одним з основних трендів розвитку IT-технологій. Самі технології являють собою певну інфраструктуру - сервери, сховища даних, програмне забезпечення, мережі, - які надаються провайдером для роботи необхідних клієнту систем. Все це знаходиться онлайн, а, отже, не вимагає від користувача власного обладнання - його забезпечує постачальник послуги. Звісно, провайдери хмарних технологій обіцяють захист критично важливої інформації від крадіжки (або ж витоку), але за інформацією LexisNexis все не так вже й безхмарно.

ІТ-безпека подібна до безпеки водіння автомобілем - навіть бездоганні показники безпеки не врятують від дорожніх пригод. Так само і з хмарними технологіями: безпека передбачається, але повністю не гарантується. Доцільно зазначити, що слабкі місця є і в традиційних серверах і обладнанні, тобто ризики є всюди, проте в хмарних технологіях вони дещо відрізняються. Але юристи, які хочуть захистити свою фірму, кар’єру та репутацію, мають знати про ці ризики.

В своїй статті для Law360 Шон Джемісон зазначив, що юридична діяльність не звільняється від кібератак, оскільки юристи мають справу з конфіденційною інформацією своїх клієнтів та часто працюють в невеликих компаніях або як самозайняті особи, а відтак стають основною мішенню для кібератак. 

Бути основною мішенню означає, що юридичним компаніям потрібно робити все можливе, щоб убезпечити свою інформацію. Так, Джейсон Ташеа наголошує на етичному обов’язку юристів по захисту конфіденційної інформації, що зберігається у «хмарі». «Дистанційне зберігання даних для особистого використання чи роботи вже стало звичним для мільйонів американців. Однак ці та інші інтернет-технології можуть викликати певні етичні труднощі для юристів. Разом з цим останні не можуть постійно робити одне і теж, оскільки перебувають у постійному стані еволюції і розвитку, щоб не відставати від передових практик», - стверджує пан Ташеа.

Відповідно до 3-го щорічного звіту McAfee про впровадження хмарних технологій та їх безпеки, зберігання даних на публічних хмарних сервісах спричинює крадіжки даних у 1-ї з 4-х компаній, в той час коли 1 з 5-и компаній зазнавала сильних атак на їх хмарну інфраструктуру. Ці цифри відображають відсутність безпеки даних, що й відчувають більшість сучасних компаній. Лише 16% компаній впевнені, що їх заходи безпеки зможуть захистити дані.

Незважаючи на ці побоювання, твердження про те, що хмарні технології є небезпечними по своїй суті, - міф. Для деяких компаній хмарні технології, зважаючи на надійність постачальника послуг, можуть бути кращим рішенням, якщо вони не хочуть витрачати час і гроші на побудову власної системи. Навіть якщо хмарні технології і пропонують ефективну стратегію безпеки, потрібно розуміти, що це не 100% гарантія, а відтак потрібно пам’ятати про певні недоліки хмарних технологій.

Найбільш очевидними ризиками є:

- втрата і витік даних;

- порушення конфіденційності;

- неправильне налаштування хмарних платформ;

- відсутність кваліфікованих кадрів.

Менш очевидним ризиком є права працівників. Так, колишній співробітник не потребує VPN-з'єднання для доступу до додатку SaaS компанії і може зробити це з іншого пристрою зі своїми обліковими даними, тому при звільненні працівника важливо перевірити, чи не залишилося в нього доступу.

Ще один ризик - використання ПО, що обходить політики використання «хмари» і використовує незатверджені технології без згоди користувача. Так, велика компанія зіткнулася з проблемою, коли члени юридичної команди завантажували контракти в онлайн-конвертери PDF, в умовах обслуговування яких зазначалося, що вони беруть на себе повне володіння усіма документами, що були завантажені в систему, і що мають право поширювати дані будь-якій третій стороні. Юридична команда піддала свою компанію значному ризику, завантаживши конфіденційну інформацію в сервіс, який міг вільно поширювати цю інформацію будь-якій зацікавленій стороні.

Отже, яким чином можна мінімізувати ці ризики? Основними методами є:

- шифрування даних організації, в тому числі на рівні браузерів;

- розуміння, куди спрямовуються дані і як постачальник буде утримувати їх від розголошення;

- можливості провпайдера використовувати 3 види шифрування: in-transit, at-risk, end-to-end;

- розуміння умов надання послуг та політики конфіденційності потенційних постачальників послуг.

Джерело