International: Віртуальна практика

Алеся КОСМИНА

Скільки б компанії та регулятори не намагалися перешкодити діяльності кібершахраїв, останні завжди на крок попереду — вони не лише постійно вдосконалюють свої методи роботи, а й звертають увагу на нові об’єкти для нападу, серед яких опинилися і юрфірми

Безпека у мережі з кожним роком набуває все більшої актуальності, адже все більше процесів переміщуються з реальності у віртуальність. У 2004 році навіть був запроваджений День безпечного Інтернету, що відзначається другого вівторка лютого. Тож зрозуміло, що найбільше різноманітних заходів, ініціатив та обговорень цих ініціатив припадає якраз на лютий.

Так, 7 лютого цього року свою стратегію забезпечення безпеки кіберпростору представила Європейська комісія, основним пріоритетом якої є створення гармонійної міжнародної політики у сфері кіберзахисту, створення рамок для спільної роботи публічного та приватного сектору, зниження кіберзлочинності тощо. Крім того, 23 січня комітет Європарламенту ухвалив проект Директиви ЄС з мережевої та інформаційної безпеки (EU directive on network and information security), в народі — Кібердиректива, яка чітко вказує, кого, кому і як захищати.

У свою чергу, європейське агентство з кібербезпеки ENISA у січні оголосило про те, що постачальники хмарних послуг мають ліпше розкривати інформацію про кібернебезпечні інциденти. Сьогодні, за законом, повідомляти про інциденти мусять лише організації з жорстко регульованих індустрій, таких як фінансовий і телекомунікаційний сектори. У звіті, який надало агентство, йдеться про чотири основних сценарії надання хмарних послуг: послуги, якими користуються оператори критично-важливих об’єктів інфраструктури; послуги, якими користуються споживачі у декількох найважливіших секторах економіки; державні «хмари»; хмарні послуги, якими користуються малі та середні підприємства і громадськість.

Загалом усе йде до того, щоб змусити бізнес більше займатися своєю безпекою, а уряди — безпекою інфраструктурних об’єктів та вчасно доповідати компетентним органам про кіберпроблеми. Урядам така пропозиція не зовсім подобається через додаткові витрати, а бізнесу — і через можливу шкоду репутації від розголошення проблеми із захистом даних. Тим часом страхові компанії вже розробляють відповідні продукти, а юристи готуються відвойовувати репутацію та кошти своїх клієнтів, конкуруючи за це із бухгалтерами, які останнім часом постійно намагаються «відгризти» в юристів шматок ринку.

Загрозлива поведінка

На сьогодні є три загальних типи кіберзлочинців.

і. Традиційні злочинці, які здійснюють шахрайські дії для фінансової вигоди. Вони прагнуть отримати дані, що дають їм змогу красти гроші, використовуючи відомості про рахунки.

іі. Це шпіонаж, оплачуваний державою. І в цьому сенсі європейці дружно показують пальцями на Китай та Росію, вважаючи, що влада в цих юрисдикціях санкціонує зламування західних компаній. Вони вважають, що є декілька груп у цих країнах, які спеціалізуються на промисловому шпіонажі, тобто збиранні конфіденційної інформації щодо цінової політики та бізнес-планів західних корпорацій. Їх цікавить, як і де розвиваються певні продукти, де відбувається розвідка нафтових родовищ тощо. Утім, багато російських та китайських хакерів працюють не на державу, а на звичайні компанії. Приналежність до цих країн видає, у тому числі, графік активності їхніх дій — вони збігаються із початком та закінченням робочого дня, можна побачити навіть перерву на обід. Це вказує на те, що для людей це офіційна робота.

ііі. Хактивісти. Це ідеологічно вмотивовані хакери, які прагнуть заподіяти шкоду корпоративній репутації компаній або оприлюднити певну інформацію. Вони можуть також «завалити» систему або здійснити атаки, мета яких — позбавити компанію здатності функціонувати ефективно.

Основною метою всіх трьох типів є перш за все банки.

Усі, кого це стосується

Справді, аналізуючи проект Кібердирективи, юристи можуть радісно потирати руки, адже її положення стосуються об’єктів забезпечення (державне управління, транспорт, охорона здоров’я, енергоресурси), а також онлайн-середовища, від якого суспільство залежить усе більше (соціальні мережі, пошукові системи, хмарні сервіси, платіжні сервіси, онлайн-магазини тощо). Тож якщо до недавна через дію законодавства про захист персональних даних під жорстким контролем були лише компанії, які мали справу з даними великої кількості людей, то у разі прийняття директиви контролюватися також будуть й інші сфери — виробництво електроенергії, розвідка та видобування нафти і газу, транспортна інфраструктура та деякі галузі виробництва. Повідомлення про інциденти, пов’язані з кібернападами, замість добровільного стане обов’язковим. Більше того, влада зможе визначати, чи треба доносити деталі якогось порушення до громадськості, що може означати великі репутаційні ризики.

Попри те, що Кібердиректива існує поки що лише в проекті, клієнти вже хочуть мати якесь уявлення про те, що їх очікує. Перш за все це стосується варіантів імплементації систем захисту та роз’яснень щодо можливих ризиків. Клієнти також починають з’ясувати, як можна отримати страховий захист. Сьогодні у США спостерігається чимале зростання ринку кіберстрахування, в Європі можна очікувати того ж. Крім того, за прогнозами, європейський ринок кібербезпеки має у найближчі три-чотири роки збільшитися удвоє.

З огляду на це з метою своєчасного реагування юридичні фірми потроху підсилюють свої IT-команди. Як кажуть, є два види компаній — ті, що вже здійснили порушення, і ті, які ще про це не знають. Треба бути готовими вчасно відреагувати.

Загрозлива статистика

Актуальною проблема кібербезпеки є не лише для юридичної практики, а й для юридичного бізнесу. З огляду на неабияку активність так званих хактивістів (хакерів-активістів) юридичним фірмам час замислитися над захистом даних своїх клієнтів. Юридичні фірми, що тримають конфіденційні дані, для хакерів є справді клондайком. І не в такому далекому минулому той момент, коли юрисконсульти великих компаній (особливо банків) перш ніж наймати консультанта, наполягатимуть на аудиті його інформаційної безпеки. Для самої юридичної фірми «діри» у кіберзахисті можуть обернутися репутаційними та фінансовими проблемами.

Деякі юристи вважають, що насправді проблема дещо перебільшена, і це просто піар-кампанія IT-сектора, а термін «кібербезпека» — просто данина моді. Свою точку зору вони аргументують тим, що насправді кібербезпека — це просто інший аспект захисту персональних даних, якому юрфірми і так приділяють чимало уваги.

У той же час важко не погодитися з тим, що технології та хакери крокують уперед і проблема перестає бути простою. П’ятнадцять-двадцять років тому бізнесу достатньо було встановити брандмауер та забезпечити регулярне оновлення серверів. Сьогодні це навіть не вважається безпекою, оскільки складність та різноманітність способів, якими користуються нападники, а також суми винагород за напади роблять інформаційну безпеку набагато складнішою процедурою. Кібербезпека юридичної фірми — це більше не зав­дання, що може бути покладене на сисадміна з бек-офісу, це проблема рівня керуючого партнера.

За даними дослідження щодо ризиків у кіберпросторі, проведеного міжнародною консалтинговою компанією Salamanca Group, за минулі півтора року кількість кібернападів лише на британські компанії збільшилася на 40 %. А у 2012 році ці напади коштували британській економіці близько 28 мільярдів фунтів стерлінгів (близько 46,8 мільярда доларів США).

Загальносвітові цифри, зрозуміло, є ще більш вражаючими. В одній лише нафтогазовій галузі фіксується 2,7 мільйона кібернападів щотижня. А один міжнародний банк, із США, стверджує, що відбиває близько мільйона нападів щоденно по всьому світу.

Більшість таких нападів є автоматизованими і легко відбиваються лише брандмауерами. Друга за кількістю частка — авантюрні атаки дрібних хакерів, від яких банк також добре захищений, проте вони є досить складними і можуть викликати занепокоєння.

Дослідження Salamanca Group також руйнує міф про те, що хакери полюють виянтково на глобальних гігантів — міжнародні фінансові установи, енергетичні та фармацевтичні компанії. Половина від усіх нападів, здійснених минулого року у Великій Британії, були спрямовані на компанії зі штатом менш ніж 2 500 осіб. Правда у тому, що чим меншою є компанія, тим вона є більш уразливою, що чудово розуміють і хакери. І юридичні фірми знаходяться якраз серед уразливих.

Врятувати, запобігти, допомогти

На думку IT-фахівців, найбільший ризик для професії юриста сьогодні — це його нинішній спосіб роботи. Мобільні пристрої, флешки, ноутбуки, які вони носять з роботи додому і назад, а також усе активніше користування соціальними мережами — це все полегшує роботу для зловмисників. І великі клієнти, зокрема банки, все частіше грізно запитують у своїх консультантів про заходи безпеки, оскільки самі вже чимало витратили на них. Юрфірми ж тримають таку конфіденційну інформацію, яку клієнти не розкрили б навіть при розслідуваннях. Тож незабаром при виборі консультанта питання безпеки має стати одним із головних критеріїв вибору радника. А юрфірми, у свою чергу, широко рекламуватимуть свою кіберзахи­щеність.

IT-компанії, відчувши тенденцію, вже пропонують юридичним фірмам здійснити перевірку безпеки, спробувавши застосувати різноманітні хакерські методи для здобуття інформації. Таке «етичне зламування» сьогодні є досить ефективним методом оцінки ризиків. Щоправда, ті ж фахівці одностайно зізнаються, що стовідсотковий захист побудувати неможливо — юрфірмі може трапитися розумний хакер, який усе одно знайде спосіб вломитися до її бази даних.

Що ж робити фірмі у разі виявлення кібершпіонської діяльності? Як не дивно, експерти радять не поспішати з діями, оскільки зловмисник може знаходитися у системі вже впродовж тривалого часу і дуже доб­ре там «окопатися». Інстинктивно хочеться одразу від’єднати від мережі комп’ютер, на якому був подоланий захист. Але це лише може зумовити шахрая прискоритися та почати швидко забирати решту інформації, поки не будуть виявлені та знешкоджені інші механізми, запущені ним у мережі. Важливо також здійснювати постійний контроль систем та мати співробітника, наділеного пов­новаженнями швидко реагувати на вторгнення.

Фахівці звертають увагу і на те, що хакерські технології, які здебільшого ґрунтуються на запуску «троянського коня» у мережу жертви, еволюціонували за останні кілька років. Історично найпоширенішим способом шахрайства є фішинг, тобто дії, спрямовані на отримання даних від конкретної особи. З огляду на повальну присутність юристів у соцмережі фішинг вдосконалився. Тепер хакер, перш ніж запустити трояна до мережі, з’ясовує деякі моменти особистого життя жертви через LinkedIn або Facebook.

Приміром, це може бути інформація про тенісний клуб юриста, яку він розмістив, щоб стати ближчим для клієнта. Хакер надсилає листа нібито від цього клубу з додатком, відкриття якого призводить до запуску шпіонської програми. Сучасні фільтри дуже добре вираховують шкідливі листи, тому зловмисники намагаються зробити такі листи якомога непідозрілими, надісланими від особи або міста, яким жертва довіряє.

Не варто забувати і про те, що популярними нині є методи зараження лише одного комп’ютера конкретної жертви, без подальшого заглиблення в мережу, оскільки масове зараження спрощує вирахування шпіонського ПЗ антивірусною програмою.

Серед механізмів захисту сьогодні поширеним є винесення всіх даних на віддалені сервери. Це справді допомагає у певних випадках захистити дані клієнта, особливо у країнах, де на дані юрфірм можуть полювати не лише хакери, а й місцеві регулятори. Проте варто ретельно обирати юрисдикцію, в якій знаходитиметься цей сервер, адже не всі держави гарантують недоторканність інформації.

Опікуючись кібербезпекою, втім, не варто забувати і про безпеку реальну. Ще є шахраї, які діють старими добрими способами здобування інформації. Фахівці з Salamanca Group радять звернути увагу на такі моменти: чи є у компанії політика «чистого столу», хто за цим стежить, хто контролює відвідувачів тощо. Не забувають шахраї і про підслуховування (у тому числі й під час перекурів та обідів у ресторанах поруч). Ну і, звичайно ж, соціальні мережі є нескінченним джерелом інформації.

Американські ініціативи

Своя концепція кібербезпеки з’явилася у лютому також у США. Документ було розроблено компаніями країни, під керівництвом національного інституту зі стандартів та технологій. Концепція описує способи захисту персональних даних, комерційних таємниць та іншої конфіденційної інформації.

Більш ніж за рік до того, у листопаді 2012 року, американський президент Барак Обама ухвалив секретний план з кібербезпеки — так звану Директику № 20 (Presidental Policy Directive 20 або PP20). Документ містить правила та порядок дій, яким мають слідувати федеральні органи у випадках кібератак та загроз критично важливим елементам інфраструктури США.

Про зміст цієї директиви відомо лише у загальних рисах. Так, новий документ чітко прописує позицію США до загроз у кіберпросторі та дає військовим право діяти більш агресивно в цивільних та військових мережах з метою подавлення кібератак. Проведено у документі і межу між захистом мереж та здійсненням кібероперацій. Найпростішим прик­ладом таких дій є відключення зв’язку між зарубіжним сервером та локальним комп’ютером, на який спрямована атака. Щоправда, міри нападу оборонного характеру мають здійснюватися лише за згодою Білого дому.

Крім цього, директива має на меті забезпечити високий рівень захисту особистих даних американських громадян, для чого використовуватимуться не лише традиційні методи забезпечення безпеки, а й допомога військових підрозділів. Слизькі формулювання щодо питань приватності та дотримання громадянських свобод в Інтернеті насторожила низку громадських організацій, проте їхні запити залишилися без уваги.

Утім, ще за півроку до того у пресі з’являлися дані про те, що США вже використовує ударну кіберзброю, зокрема щоб вивести зі строю ядерні об’єкти в Ірані.

Управління ризиками

У випадку, коли юридична фірма піддалася кібернападу і була порушена конфіденційність, найскладнішим для її партнерів є розмова про це з клієнтом та подальші дії останнього. Фінансові санкції можуть бути нівельовані одним лише дзвінком компанії, яка застрахувала ­професійну відповідальність юрфірми. Проте, як кажуть самі юристи, щоб довести вину юрфірми в неналежному захисті інформації, треба дуже постаратися. Клієнт має довести халатність юрфірми. Але в IT-індустрії прийнято вважати, що жодна система не може бути ідеальною. І той факт, що вас могли зламати, не означає, що у вас поганий захист. Тому шансів успішно подати позов у клієнта дуже мало.

З іншого боку, так само важко притягнути до відповідальності через викрадення інформації постачальників хмарних послуг. Як правило, при укладенні угоди вони не беруть на себе стовідсоткову відповідальність за такі ризики.

Загалом для юрфірми не буде зай­вим зашифровувати конфіденційну інформацію, особливо якщо вона переміщується з одного носія інформації на інший. І, звісно, пояснити співробітникам правила поведінки у соціальних мережах.