Навряд сьогодні можна зустріти юриста, адвоката чи суддю, який переймався б питаннями кібербезпеки, а не змінами до законодавства. Проте кожен рік ХХІ століття сміливо можна вважати ще одним гучним ударом годинника, який знаменує прихід нової епохи — епохи технологій та електроніки.
Усі вже більш-менш оговталися після першої фази шоку від вводу електронних систем у повсякденне життя юриста. Отримати цифровий підпис виявилося досить легко, а подати електронну декларацію чи отримати витяг з реєстру юридичних осіб — дуже швидко і зручно. Проте заглибившись у користування подарунками прогресу, майже ніхто не задумується над можливою небезпекою кіберпростору.
Згідно з результатами досліджень, майже всі юридичні фірми мають відкриті критичні прогалини на ПК і серверах, половина — на мережевому обладнанні. 65% юрфірм не мають навіть мінімальної системи захисту, 60% уразливі для дій інсайдерів, а 70% — не захищені від зовнішніх загроз. Причинами цього є відсутність шифрування даних, процесів забезпечення безпеки і реагування на інциденти; відкриті права доступу; з усіх засобів захисту в основному присутні тільки антивірус і слабкі паролі.
На практиці для юридичної фірми або адвокатського об’єднання це означає ряд дуже неприємних речей, а саме:
Тобто у разі вчинення кібератаки юридична компанія може не лише втратити особисті дані клієнтів та продукти своєї інтелектуальної праці, а й навіть не зуміти вчасно зреагувати на те, що трапилось. І наслідки такої інформаційної недбалості можуть бути глобальні. Порушення конфіденційності даних юридичної фірми та її клієнтів часто призводить до вимагання та шантажу, інсайдерської торгівлі та недобросовісної конкуренції. І це може не лише завдати шкоди репутації — юридична фірма понесе відповідальність, починаючи від фінансової та закінчуючи кримінальною.
Для побудови фундаменту правильної та надійної стратегії кібербезпеки юридичній компанії необхідно врахувати ряд аспектів, що допоможуть вберегтися хоча б на мінімальному, початковому рівні кібератак, а у разі вже наявного факту такої атаки вийти з ситуації з найменшими втратами.
Стратегія реагування та захисту
Є дві міжнародні, офіційно визнані експертами плани-стратегії, які потрібно розробити кожній юридичній компанії, що турбується про свою кібербезпеку. Перша — це стратегія безперервності бізнесу (англ. Business Continuity Planning), друга — стратегія аварійного відновлення (англ. Disaster Recovery Plan).
Перша — це комплексний стратегічний ряд організаційних заходів, спрямованих на зниження ризиків переривання бізнес-процесів і мінімізацію негативних наслідків у разі збоїв ІТ-інфраструктури. Друга — стратегія повного розуміння, як потрібно реагувати на стихійне лихо або іншу надзвичайну подію, які можуть вплинути на інформаційні системи, та мінімізувати негативний вплив на діяльність компанії.
План-стратегія — це внутрішній документ компанії, який буде визначати кроки і дії, які необхідно вчинити у випадку кібератаки. Розробка такого плану має бути процесом щоденним та динамічним, оскільки способи кібератак постійно змінюються, а отже, план також має змінюватись та відповідно підлаштовуватись.
Робота зі співробітниками
Загальновідомо, що людський фактор є чи не найважливішим у будь-якій справі, а особливо у юриспруденції. І у питаннях кібербезпеки він є, як правило, найслабшою ланкою в ланцюжку.
Саме на рядових співробітників і їх слабкості та інтереси орієнтуються хакери, кожного разу розробляючи нові способи атак. Постійне вивчення цієї теми, достатня кількість інформації, освітні заходи для юристів мають стати невід’ємною частиною роботи. При постійному дослідженні та вивченні питання кібербезпеки ази її дотримання закарбуються у пам’яті та стануть звичними у повсякденних справах. Адже кожен юрист знає, що незнання не звільняє від відповідальності, тоді як знання допоможе не лише попередити можливість виникнення такого інциденту, а й швидше і краще визначити, якщо такий інцидент вже почався.
«Відкрити очі» на пробої у системі
Як показали масштабні кібератаки в Україні 27 червня 2017 року, вправні хакери можуть зламати будь-яку систему, незважаючи на масштаб компанії та її ресурси. І тут критично важливо саме вчасно виявити пролом у системі. Поки що у нас нормою є, коли про пролом дізнаються через рік, а може, й взагалі не дізнаються. У такому разі, як правило, вже пізно щось змінювати, наслідки невідворотні. Часом ідентифікувати пролом зовсім не так просто, як здається на перший погляд.
Ґрунтовний аналіз кібератаки може бути здійснений лише тоді, коли відомо, як і за яких умов вона відбулася, який обсяг даних було скомпрометовано тощо. Відповіді на ці питання можуть допомогти вибудувати правильну позицію захисту та повідомлення для клієнтів, дані яких були викрадені.
Продумати взаємодію з клієнтами
Важливим фактором є те, що у випадку атаки на юридичний софт 65% інформації, до якої отримують доступ хакери, належить клієнтам компанії. Юристам слід врахувати, як вирішувати проблему з персональними даними, та прописати ці моменти у договорі про надання юридичних послуг. Звісно, багатьом перспектива атаки здається примарною та навіть неможливою, проте прописавши у договорі можливі ризики, ви убезпечите і клієнтів, і себе.
9 травня 2018 року вступив у силу ЗУ «Про основні засади забезпечення кібербезпеки України», що створює засади національної системи кібербезпеки як сукупності політичних, соціальних, економічних та інформаційних відносин разом із організаційно-адміністративними та техніко-технологічними заходами державного і приватного секторів та громадянського суспільства. Прийняття цього Закону було непростим, без дискусій та проблем не обійшлося, адже це вперше в українському законодавчому просторі з’являлися такі терміни, як кібербезпека, кіберзагроза, кіберпростір, кіберінцидент, кібершпигунство, кібертероризм тощо.
Названим Законом визначено перелік об'єктів кіберзахисту, зокрема:
За кібербезпеку в межах своїх повноважень відповідальні міністерства, місцеві держадміністрації, органи місцевого самоврядування, правоохоронні органи, розвідка і контррозвідка, суб'єкти оперативно-розшукової діяльності, ЗСУ, Нацбанк, підприємства, які належать до об'єктів критичної інфраструктури, підприємства і громадяни, які працюють у сфері національних інформаційних ресурсів, інформаційних електронних послуг.
На офіційному сайті CERT-UA (команда реагування на комп’ютерні надзвичайні ситуації в Україні) кожен користувач або компанія може знайти найпростіші рекомендації стосовно кібербезпеки, зокрема, як розпізнати фейк, опис шкідливого обладнання, основні правила кібергігієни тощо.
Такі поняття, як кібергігієна, кібератака і кібербезпека, сьогодні ще не досить звичні та легкі для розуміння середньостатистичного мешканця України, але прийняття таких змін та розуміння необхідності регулювання цих питань як на державному, так і на особистісному рівні вже стає частиною курсу в майбутнє та розвитку у нашій країні. Вже майже жодна правова конференція не обходиться без виступів спеціалістів на тему кібербезпеки у юридичному світі. Проте кожному варто пам’ятати, що кібербезпека починається з персональної відповідальності кожного та дотримання найпростіших правил кібергігієни.
Нагадаємо, раніше «Судово-юридична газета» розповідала про законопроект про підвищення податків для ІТ-сфери.
Також нещодавно ми писали про готовність українських судів переходити на електронну систему.