Технології: Небезпечні послуги

Алеся КОСМИНА

З кожним роком корпоративний світ витрачає все більше зусиль на боротьбу із кіберзлочинністю та побудову надійного захисту, а чимало українських юридичних фірм чомусь і досі вважають, що їх це не стосується

Відсутність з боку більшості українських юрфірм уваги до проблеми кібер­злочинності не означає, що такої проблеми немає. Нехтування правилами кібербезпеки і правильною організацією захисту даних обов’язково спричинить величезні проблеми, якщо не сьогодні, то як мінімум у найближчій перспективі.

За словами партнера практики IT та медіаправа АО «Юскутум» Дмитра Гадомського, одна з величезних проблем України — кіберзлочинність, але про це мало говорять і мало пишуть. «За даними Kaspersky Lab, за кількістю ініційованих атак (близько 2 % від усіх атак) Україна посідає у світі 6 місце, — наводить він статистичні дані. — Для порівняння, США — на першому місці, Росія та Голландія — на другому і третьому. За кількістю кібератак ми випереджаємо Велику Британію, Китай і Францію. Щоб перевести відсотки в гроші, можна взяти статистику Symantec: загальні втрати від кіберзлочинності у світі за рік складають орієнтовно 100 мільярдів доларів. Тобто, наші 2 % атак створюють загрозу в 2 мільярди доларів. При цьому про якість роботи міліції з цією категорією справ навіть жартувати не хочеться».

 

Старі стандарти

Юридичні фірми, наряду із банками та іншими компаніями, що мають справу з персональними даними та фінансовою інформацією, є бажаною мішенню для хакерів у всьому світі, і Україна — у цьому не виняток. І якщо великі юридичні компанії більш-менш серйозно замислюються над питанням безпеки, то переважна більшість компаній скромнішого розміру обмежуються антивірусними програмами та проханням до співробітників не відкривати підозрілі листи.

«Незважаючи на актуальність питання безпечності даних, наразі реальний захист корпоративних даних у багатьох учасників юридичної галузі на низькому рівні, оскільки не відповідає сучасним реаліям, — стверджує керуючий партнер компанії Airvice Consulting Руслан Яременко. — Дані не централізовані, а часто просто зберігаються на робочих комп’ютерах. Відсутні структуровані бази даних і знань. Не використовуються спеціалізовані юридичні ERP/CRM системи. Корпоративні дані не шифруються».

За його словами, тільки частина компаній приділяють справді достатньо уваги безпеці своїх електронних активів. У більшості ж фірм зробленого для безпеки замало. Утім, позиція власників компаній щодо захисту електронної частини свого бізнесу хоч і зі скрипом, але потроху змінюється — питання безпеки даних та комунікацій упевнено займає місце серед пріоритетних завдань розвитку у все більшій кількості компаній.

Причин таких змін Руслан Яременко виділяє декілька, але основ­ною, на його думку, є те, що власники бізнесу активно використовують у повсякденному житті багато портативної техніки і рівень їхньої базової обізнаності в IT-сфері підвищився. Їм стало зрозуміло, що їхні застарілі IT-системи не надають необхідних сервісів і не здатні ефективно протистояти сучасним IT-загрозам, що можуть паралізувати роботу компанії. Тому підвищення захищеності даних корпоративних IT-систем — серед пріоритетів у багатьох компаній.

Також, за його спостереженнями, наразі власників бізнесу цікавить не тільки питання захисту даних, вони дивляться на проблему ширше і хочуть отримати комплексні захищені IT-системи, в яких є все необхідне для роботи, а дані і бази вже в зашифрованому вигляді і доступні тільки згідно з налаштуваннями безпеки. «Такі безпечні системи дають змогу розширити кількість корпоративних сервісів, підвищити їхню якість, доступність, поліпшують продуктивність працівників. Недостатньо встановити програму для захисту даних, питання безпечності і захищеності інформаційних активів потребує більш комплексного підходу, що дасть змогу і безпеку підвищити, і ефективність роботи поліпшити», — розповідає Руслан Яременко.

 

Побудувати захист

Є безліч рекомендацій з кіберзахисту, розроблених світовими лідерами з IT, урядовими організаціями, дослідницькими інститутами України та світу. Зазвичай рекомендується на корпоративному рівні видати такий собі звід правил, що чітко рег­ламентують хоча б такі аспекти, як доступ до даних залежно від посади та обов’язків, доступ до внутрішньої мережі для різного типу девайсів, обмеження для співробітників щодо копіювання даних на переносні прист­рої, бекап інформації, встановлення на девайсах співробітників додатків та програмного забезпечення, рівень доступу до внутрішньої мережі для клієнтів (у тому числі через спеціальні додатки), проведення інструктажу для персоналу щодо захисту даних, захисту від вірусів, захист мережі Wi-Fi.

На жаль, навіть така лайт-версія у переважної більшості українських фірм (і юридичних фірм) мало того, що не запроваджена, але й не планується у найближчому майбутньому. «Не кожна компанія має окремі правила, що регламентують роботу користувачів з IT-системами та корпоративними даними. У ­більшості невеликих компаній це просто усні інструкції з ­користування IT-засобами», — говорить пан ­Яременко.

За його словами, лише середні і великі юридичні фірми розробляють інструкції та процедури більш ретельно, оскільки там вища плинність кадрів і процес входження у курс справи нового співробітника повинен бути максимально швидкий. Вони ж частіше і ширше використовують розмежування доступу до даних та сервісів, централізовані системи антивірусного захисту, «фізично» розділяють робочі та гостьові Wi-Fi-мережі.

Так, у МЮГ AstapovLawyers ос­новні правила захисту даних описані у Політиці забезпечення інформаційної безпеки. Згідно з цим документом, розділені права та обов’язки кожного співробітника компанії і його персональна відповідальність за збереження даних. Права доступу до серверу документообігу, а також окремих папок і програм надаються індивідуально кожному співробітнику залежно від посади та юридичної практики, в якій він працює. Наприклад, жоден юрист практики податкового права не має доступу до документів, з якими працюють юристи — практики міжнародного арбітражу тощо.

Доступ до внутрішньої мережі для власних гаджетів співробітників AstapovLawyers заборонено. Телефони, планшети та інша не корпоративна техніка під’єднується винятково до окремої мережі, яка на фізичному рівні розділена з корпоративною мережею. «Це збільшує потребу в додатковому апаратному забезпеченні, але не дозволяє співробітникам випадково занести вірус у корпоративну мережу або без відома власника пристрою розсилати СПАМ з мережі компанії», — говорить керівник IT-департаменту компанії Владислав Самко. А гостьовий доступ до мережі Wi-Fi надається за допомогою ваучерів з обмеженим строком дії сесії. Тобто, немає єдиного паролю, за яким можна постійно отримувати доступ до мережі.

Загалом, за спостереженнями пана Яременка, приділяти увагу захисту IT-систем і накопичених даних бізнес починає не раніше, ніж за рік-два після заснування. І часто це трапляється після серйозного збою, який спричинив втрату частини інформації. Але правильно — не чекати, а розпочати захист одразу і системно. Це вбереже бізнес від несподіваних витрат і потрясінь. Крім того, він радить заборонити використання особистих пристроїв у роботі з корпоративною інформацією, якщо компанія не має можливості забезпечити їхнє безпечне використання. Службові ж гаджети мають бути спеціально налаштовані, а користувачі проінструктовані, як ними правильно користуватися і які обмеження для підвищення безпечності накладаються IT-фахівціми компанії.

Загалом же він упевнений, що юридична фірми повинна обов’язково мати політику користування IT-засобами і системами компанії, і ця політика має періодично переглядатися, щоб відповідати сучасним вимогам. Крім того, IT-підрозділи повинні регулярно проводити роз’яснювальну роботу серед користувачів стосовно актуальних IT-загроз і як їм протистояти. «Важливо розуміти, що кінцеві користувачі (через недостатню поінформованість) якраз і є основними причинами вразливості IT-систем — людський фактор має вирішальне значення, тому його потрібно максимально мінімізувати для забезпечення безпеки корпоративних систем», — наголошує Руслан Яременко.

 

Понад хмарами

Окремим питанням є використання хмарних сервісів, яке стає дедалі більш поширеним, та все ж таки і досі викликає побоювання. За словами пана Яременка, ініціатива щодо переходу у хмари йде від співробітників компаній, які, маючи різноманітні гаджети, впевнені, що використання хмарних сервісів є простим і зручним. Тому наразі IT-фахівці багатьох компаній планують використання хмарних програм, але всіх турбує питання безпечності цих сервісів та конфіденційність даних, що на них розміщуються.

«Найкращим рішенням для юридичних фірм є використання гібридних хмар, де частина даних знаходиться на локальних серверах фірми, а інша частина в приватній хмарі дата-центру, — переконаний Владислав Самко. — Саме таким чином побудована ІТ-інфраструктура компанії AstapovLawyers. Доступ до даних у хмарі можливий тільки з корпоративної мережі компанії, тому стороннє втручання на сервери приватної хмари виключене, а активність усередині корпоративної мережі контрольована. Захист даних у гібридній мережі контролюється апаратними шлюзами доступу, через які створений VPN-тунель (Virtual Private Network) між хмарою та корпоративною мережею. VPN-тунелі захищені 2048-bit шифруванням даних, а це означає, що інформація, котра передається з використанням VPN-тунелю через Інтернет, не може бути скомпрометована навіть на рівні інтернет-провайдера».

Що стосується загальних правил безпеки у хмарах, то Руслан Яременко також звертає увагу на те, що провайдери хмарних сервісів сьогодні докладають багато зусиль для забезпечення конфіденційності та захисту інформації клієнтів на їхньому обладнанні. Це і шифрування з’єднання з сервісом, і обмеження доступу фахівців провайдера до даних клієнта, і розміщення сервісу у надійних дата-центрах, і резервні копії, і резервні IT-системи. Тож основ­ну увагу при захисті роботи з хмарними сервісами він радить приділяти кінцевим робочим місцям, оскільки вони насправді є найслабшою ланкою, а не провайдер хмарного сервісу. Зараження комп’ютера/планшета/телефону вірусом для викрадення авторизаційних даних набагато простіше і дешевше, ніж злам якісного та захищеного хмарного сервісу.

«Використання антивірусних програм, правильне налаштування фаєрволу, обмеження дозволів користувача, — окреслює пан Яременко мінімально необхідні дії для того, щоб почуватися у безпеці під час використання хмарних сервісів. — Також за можливості потрібно забезпечити шифрування кінцевих пристроїв, з яких ви працюєте, бо там дуже часто зберігаються дані по доступу до сервісів (наприклад, збережені паролі та номери карток). І не треба забувати при роботі з хмарними сервісами регулярно зберігати копії всіх даних сервісу. Така можливість є у всіх якісних провайдерів хмарних сервісів — або у вигляді можливості вивантажити/скопіювати дані до себе, або у вигляді регулярного створення резервних копій даних».

Власне, такі рекомендації стосуються не лише хмарних сервісів — пильність та обережність користувачів, а також регулярний бекап мають бути обов’язковими навіть у тій компанії, яка не досить відповідально ставиться до кібербезпеки.

З іншого боку, при побудові надійної системи захисту з обмеженнями не варто і перебільшувати. IT-фахівець не повинен ставати для юристів тим самим, чим занадто завбачливі юристи є для клієнтів — гальмівним механізмом, що заважає розвитку бізнесу. «Не треба забувати, що будь-яку систему можна зламати. Наприклад, є добре відомий хак системи захисту компанії Sony: тоді на WikiLeaks виклали всю переписку з корпоративної пошти. Умови договорів на використання програмного забезпечення, яке зазвичай використовується в офісі, аж ніяк не викликають упевненості в цілковитій кібербезпеці. Тому не варто божеволіти і копіювати систему захисту Пентагону. При забезпеченні захисту інформації варто не забувати про зручність: клієнту та юристам має бути комфортно працювати. Тому якщо клієнт не може поговорити з юристом за допомогою скайпу або вайбера, напевно, з часом ви його втратите», — застерігає Дмитро Гадомський.

Презумпція безпеки

Дмитро ГАДОМСЬКИЙ,

адвокат, партнер практики IT і медіаправа АО «Юскутум»

Ми навіть не ставимо питання про те, чи варто юристу захищати інформацію. Не ставить це питання і клієнт. Безпека його даних презюмується. А от реалізувати цю презумпцію непросто. В уявленні клієнта юрист користується винятково захищеними каналами зв’язку, інформація на його лептопі зашифрована, юрист щомісяця звіряє надійність свого антивірусного ПЗ із Virus Bulletin і щодня створює нові правила в корпоративному фаєрволі. Реальність, звичайно, відрізняється від цього уявлення. У когось більше, у когось менше.

Не думаю, що хтось із юристів погодиться розповісти всю правду про свої підходи до безпеки. Про нас можу лише сказати, що публічні хмари ми не використовуємо, адже умови договорів на їхнє використання не дають нам змоги переконатися у безпеці даних.

Попередити та знешкодити

Владислав САМКО,

керівник департаменту ІТ МЮГ AstapovLawyers

Оскільки всі сервіси компанії доступні винятково в корпоративній мережі, єдиною «гарячою» точкою є корпоративна пошта, на яку майже щодня надсилаються листи з інфікованими додатками. Тому до корпоративної пошти має бути привернуто найбільше уваги. Будь-який лист, що надходить на наш поштовий сервер, перед тим як відобразитися в папці вхідних повідомлень у користувача, має пройти ряд перевірок. Перш за все, лист перевіряється на присутність у базах СПАМ-розсилок, далі його перевіряє Антивірус, якщо все добре, то лист потрапляє на сервер, звідки розподіляється в папку отримувача. Але це ще не все, вже після того, як лист отриманий, він повторно перевіряється Антивірусним програмним забезпеченням на причетність до СПАМ та наявність вірусів, і у разі виявлення загрози буде автоматично видалений. Усі інші «аномальні» спроби доступу до зовнішніх сервісів компанії фіксуються та блокуються мережевим екраном. Такі заходи є ефективними і виправдовують себе в повсякденній роботі.

Для захисту даних ми користуємося системою Data Loss Prevention (DLP) із запобігання витоку даних зсередини фірми. Адже найбільше ризиків для компанії несуть самі співробітники, тому зберігання, передача та обробка даних усередині компанії має бути контрольована. Невід’ємною складовою в забезпеченні цілісності і доступності даних є антивірусне програмне забезпечення, яке ми встановлюємо на всі корпоративні комп’ютери.

Вічна проблема

Руслан ЯРЕМЕНКО,

керуючий партнер Airvice Consulting

Український юридичний бізнес уже давно використовує комп’ютерні засоби та системи у своїй роботі і накопичив чималий обсяг електронних даних. Вони є дуже важливим активом юридичних компаній, бо оптимізують внутрішні бізнес-процеси та підвищують швидкість і якість обслуговування клієнтів.

Завдання захисту і збереження цих активів завжди було актуальним для власників бізнесу. Але партнери юридичних фірм — юристи, тому розробку та впровадження систем із захисту і збереження електронних активів фірми, природно, доручали штатним ІТ-фахівцям. І періодично контролювали якість виконання необхідних завдань та процедур, бо вільного часу у партнерів небагато. Тобто безпека і захист інформаційних активів компанії повністю залежала від IT-фахівців, від їхнього фаху та відповідальності. Але самостійних та відповідальних IT-фахівців, здатних не тільки розробити та впровадити всі необхідні процедури, але й методично та якісно їх виконувати, виявилося не так багато. Результат такого підходу був очікувано незадовільний — періодичні витоки та втрата інформації, збитки від простоїв, незадоволені користувачі та клієнти, репутаційні ризики.

Звичайно, основний чинник такого підходу — брак фінансування і недостатня увага з боку керівництва компаній до подібних ризиків. Їхні IT-фахівці (чи їхні IT-аутсорсингові партнери) виявилися не готовими самостійно розробити сучасну та ефективну ІТ-стратегію для захисту даних компанії і переконати керівництво в її безпечності та необхідності. Коло замкнулося — керівництво чекає ініціатив з боку IT-фахівців, а IT-фахівці не мотивовані робити якісь зміни (або через нестачу кваліфікації, або через просте небажання збільшувати обсяг роботи при незмінній оплаті). Тому продовжується використання застарілих класичних підходів, хоча вони більше не забезпечують необхідний рівень безпеки.