№15(196)
14 квітня 2009 року
|
|
Цілком таємно Комп’ютерна безпека в юридичній фірмі Шеф-редактор «Юридичної газети» «Юридична газета»
Таємна інформація – це майже завжди джерело великого статку та результат публічного скандалу
О. Уайльд
Юридична фірма – великий механізм, кожен гвинтик якого повинен ідеально функціонувати для досягнення найкращого результату. Ще Григорій Сковорода казав: «Бери вершину – отримаєш середину», тобто ідеального результату досягти майже неможливо, однак якщо існує можливість оптимізувати якісь процеси, то варто нею скористатися. Загальновідомо, що двома основними стовпами, на яких стоїть юридична фірма, є клієнти та юристи, однак при цьому рідко вголос згадують про таку важливу деталь функціонування великого механізму як безпека. В першу чергу – про інформаційну безпеку, оскільки юридична фірма як суб’єкт бізнес-діяльності специфічна тим, що має справу з конфіденційною інформацією, розголошення якої може мати непередбачувані наслідки. У зв’язку з цим неабиякого значення набуває комп’ютерна безпека як важливий елемент ведення сучасного бізнесу. Тож давайте про неї й поговоримо.
ПРЕДМЕТ
Конфіденційна інформація – це документовані дані, доступ до яких обмежується відповідно до чинного законодавства або до внутрішніх норм суб’єкта господарської діяльності. Документовані дані переносяться на папір або на інший носій інформації. Така інформація в юридичній фірмі існує в декількох площинах: «фірма-клієнт», «фірма-партнер»,«фірма-юрист», юрист-юрист» тощо.
У першому випадку це може бути інформація про те, що конкретний клієнт обслуговується в конкретній юридичній фірмі або у конкретного юриста; інформація про фінансовий стан клієнта, про суму виставлених юридичною фірмою рахунків, про плани клієнта та його майбутні зобов’язання, а також про суб’єктів угоди, яку обслуговують юристи.
У контексті «фірма-партнер» це може бути інформація про статус партнера в юридичній фірмі, адже деякі суб’єкти юридичного ринку не люблять розголошувати, хто є партнером на частці, а хто – на зарплатні, і про розмір прибутку конкретного партнера та процентне співвідношення прибутків кожного з партнерів, причому така інформація може бути конфіденційною не лише у межах самої фірми, але й між партнерами. Тут стає зрозумілим, яким чином конфіденційна інформація стосується площин «фірма-юрист» та «юрист-юрист»: юристи однієї фірми не знають про розмір зарплатні один одного, тому що підписують відповідні положення про нерозголошення інформації в юридичній фірмі. Крім того, старший юрист ніколи не скаже молодшому всю інформацію, якою володіє. Досвід деяких молодших юристів показує, що навіть дізнатись від колег про ставки на послуги юристів рідної фірми буває проблематично. Тут постає інша сторона медалі конфіденційної інформації: як за таких умов приводити нових клієнтів, адже вони можуть прийти навіть з боку наймолодших співробітників компанії, а не лише партнерів?
ЕЛЕКТРОННІ ПОВІДОМЛЕННЯ
Сучасному поколінню майже невідомо, як юридичній фірмі функціонувати без оперативного обміну інформацією. Коли інтернет був не звичайним робочим інструментом, а розкішшю, обмін інформацією, безперечно, був набагато повільніший. Це, у свою чергу, належним чином відбивалось на швидкості та якості процесу надання юридичних послуг. Сьогодні ж швидкість, яка може вимірюватись мегабайтами в секунду (а один мегабайт – це більше, ніж середня художня книжка, приблизно 400 сторінок друкованого тексту), дозволяє клієнтові ставити задачі юристу, які повинні бути виконані не сьогодні, а вчора. Наслідки цього добре відомі всім.
Обмін електронними листами відбувається як з клієнтом, так і всередині фірми. І якщо всередині фірми діє центральний сервер, доступ до якого ззовні закритий, а отже повідомлення можна не шифрувати хитрими кодами, то у переписці з клієнтом шифрування стає необхідністю.
За статистикою, більше 30 % електронних повідомлень не надходить адресатам. І за таких умов у пригоді стає не лише примітка після підпису адресанта з текстом приблизно такого змісту: «Це повідомлення є власністю нашої юридичної фірми і містить конфіденційну інформацію. Якщо воно потрапило до вас помилково, будь ласка, видаліть його та повідомте нам про це, інакше …». Юридичні фірми озброюються важкою артилерією: системами кодування-декодування повідомлень, спеціальними шифрами, спеціальним програмним забезпеченням, яке передає закодовану інформацію майже незахищеними каналами всесвітньої мережі. Причому таке програмне забезпечення деякі юридичні фірми або за власної ініціативи, або за заявою клієнта встановлюють на комп’ютерну техніку клієнта. Краще приділити інформаційній безпеці більше уваги на цьому етапі, ніж потім шкодувати аж до несення додаткових фінансових витрат та втрати репутації фірми.
Можливо, саме цим пояснюється, скажімо так, «параноя» сучасних «юзерів», які днями й ночами, не забуваючи все біллінгувати, виробляють висновки, меморандуми, поради та консультації для клієнтів, які сьогодні і так перебувають у непростих умовах. Наприклад, тримати інформацію про банківські рахунки в безкоштовній електронній скриньці gmail.com, yahoo.com, yandex.ru та mail.ru не варто, після отримання листа її необхідно видалити. Взагалі користуватись безкоштовною електронною скринькою небезпечно, тому варто закрити до неї доступ. Також необхідно поставити спам-фільтри, які блокуватимуть вхідну кореспонденцію від цих та інших безкоштовних серверів електронної пошти.
Деякі представники юридичних фірм вважають, що до таких засобів безпеки потрібно привчати, і явно чи приховано говорять про небезпеки обміну конфіденційною інформацією на внутрішніх тренінгах та зборах. А рішення про встановлення фільтрів та блоків приймаються на рівні партнерів, які відповідають за внутрішню безпеку в юридичній компанії, та ключових співробітників IT-департаментів.
ВЕБ-СЕРФІНГ
Не підлягає обговоренню те, що на роботі потрібно працювати. Питання доступу до тих чи інших ресурсів хвилюють не лише звичайних користувачів, але й системних адміністраторів, і справа не в «однокласниках», які марнують робочий час. Якщо ви зареєстровані на якомусь веб-ресурсі і щодня відкриваєте його, не вводячи власного логіна та пароля, це означає, що такий веб-ресурс встановив на ваш комп’ютер так звані «кукі» (cookie). Кукі – це файли з невеликим блоком текстової інформації про комп’ютер користувача, яка після обробки програмним забезпеченням сайту повертається на комп’ютер користувача і зберігається там від кількох днів до кількох років. Дослідники інтернет-права, як правило, виділяють дві основні функції кукі: позитивну і негативну. Позитивна полягає в тому, що кукі автоматизують процес роботи користувача з веб-сайтом, передаючи сайту весь час одну й ту ж інформацію (ім’я користувача, пароль, налаштування) без необхідності щоразу запитувати її у користувача. З іншого боку, кукі можуть містити практично будь-яку інформацію про користувача і використовуватись різноманітними веб-ресурсами, які, в свою чергу, можуть передавати цю інформацію один одному. Одразу ж виникає асоціація з гуглівським написом: «Цей веб-сайт може завдати шкоди вашому комп’ютеру». Але в юридичній фірмі замість попереджувальної примітки від Google, Inc. стоїть блок від рідного IT-департаменту. Оскільки, знову ж таки, інформація в сучасному світі – найцінніший продукт, захист якого є основною функцією системних адміністраторів юридичної фірми. Втім, ця функція не дуже афішується.
УВАГА! ВІРУС!
Але кукі – не найстрашніше, що може зустрітись пересічному користувачу на теренах інтернету. Мова йде про комп’ютерні віруси, про які вже неодноразово писали різні інформаційні видання, і на перший погляд ще раз піднімати цю тему видається невиправданим. Однак не все так просто. І нехай системні адміністратори встановили по брандмауеру та антивірусу на сервер та на кожний комп’ютер, але все може бути набагато страшніше. Конкурент або невдоволений клієнт, або доброзичливець можуть надіслати юристу листа, з прикріпленим до ного не лише текстовим файлом, але й невеличким «подаруноком». Формат у «подаруночка» може бути яким-завгодно, але найпростіше, щоб не привертати зайвої уваги, кодують вірус у файл формату *.gif. Це зображення, яке може бути навіть привітанням з Днем народження. Не чекали? Сюрприз! Відкривайте файл і майте чисте сумління. Все інше вірус зробить за вас.
Під «усім іншим» може розумітись як передача конфіденційної інформації на запрограмовану адресу (не обов’язково електронною поштою, а шляхом прямої пакетної передачі даних через унікальні адреси кожного комп’ютера, який знаходиться в даний час в мережі), зокрема паролів, і стирання інформації, що міститься на комп’ютері. Для юриста, який днями й ночами готував один меморандум, це може бути катастрофою.
ДЕ ЛІЦЕНЗІЯ?
Ліцензійне програмне забезпечення (далі – «ПЗ») на комп’ютерах юридичної фірми – загальноприйнята політика в компанії. І не лише тому, що у випадку виявлення факту інсталяції на робочому комп’ютері суб’єкта господарської діяльності неліцензійного ПЗ до керуючого партнера прийдуть уповноважені особи у синіх кашкетах з підрозділу боротьби зі злочинами у сфері інтелектуальної власності та комп’ютерних технологій Департаменту Державної служби боротьби з економічною злочинністю МВС України.
Для юридичної фірми найголовніше – репутація, і мати репутацію порушника прав інтелектуальної власності було би смішно, якби не було так сумно.
Але, звичайно, якщо неліцензійне ПЗ таки встановлено на робочі комп’ютери, ніхто в цьому не зізнається, особливо – пресі.
КОЛІЗІЙ НІХТО НЕ ВІДМІНЯВ
Світовій практиці відомі випадки, коли, скажімо, японський хакер, територіально перебуваючи в Німеччині, зламує інформацію по банківських рахунках іспанського банку і цим наносить істотної шкоди інтересам громадянина князівства Монако.
На жаль, теорія в цьому випадку не встигає за практикою, і щоразу такі справи вирішуються по-різному.
Якби подібні прецеденти були глобалізовані в один великий звіт законів комп’ютерної злочинності, єдиний для всього світу, проблем, напевно, було б менше.
На місцях суб’єкти господарської діяльності, якими є і юридичні фірми, убезпечують себе, слідуючи багатовіковому принципу «береженого Бог береже». Адже хто володіє інформацією, той володіє світом.
ДОВІДКА «ЮРИДИЧНОЇ ГАЗЕТИ»
В період фінансової кризи перед громадянами України знов постало питання, яке набуло нової актуальності: «Який лазерний диск купити: ліцензійний за 60-80 грн. чи піратський (що містить в 10 разів більше інформації) за 25 грн?». Звісно, коли в кишенях залишається обмаль готівки, люди мимоволі зупиняються біля вуличних розповсюджувачів неякісної цифрової продукції і переглядають їхній асортимент. І це незважаючи на те, що в разі купівлі таких лазерних дисків ми не лише ризикуємо отримати неякісну продукцію, але й стаємо співучасниками злочину, що карається кримінальним законодавством. Тож, незважаючи на очевидну протиправність розповсюдження такого товару, цей бізнес в Україні лише процвітає, адже держава замість реального протистояння цьому явищу, лише імітує боротьбу зі злочинцями.
Дійсно, вітчизняне законодавство в даній сфері досить лояльне, а переслідування порушників права інтелектуальної власності не відпрацьоване належним чином. Особливо це стосується процесуальних норм. Неправомірне розповсюдження фільмів та музики через мережу інтернет в нашій країні взагалі стало повсякденним явищем. Це не дивно, адже чинне законодавство в цій сфері вже застаріло й давно не вдосконалюється. Зрозуміло одне – поки вказані явища будуть частиною нашого життя, а купівля краденої власності на електронних носіях буде для нас тим самим, що й похід до супермаркету за продуктами – про повагу до права інтелектуальної власності в нашій державі годі й говорити.
Але в даному випадку йдеться не лише про фізичних осіб, але й про суб’єктів господарювання, які здебільшого також надають перевагу несертифікованому програмному забезпеченню для своїх офісних робочих місць. Як вказувала раніше прес-служба Державного комітету зв’язку та інформатизації України, рівень використання в Україні неліцензійного програмного забезпечення складає приблизно 87%. Щорічно в Україні реалізується програмного забезпечення на суму 120-140 млн доларів, з них легального – лише на 25-35 млн доларів. При цьому втрати держбюджету від недотриманих доходів складають 30 млн доларів. Цифри кажуть самі за себе.
З механізмом знищення неліцензійних лазерних дисків, конфіскованих митними органами, також існує багато проблем. Згідно з Порядком розпорядження майном, конфіскованим за рішенням суду і переданим органам державної виконавчої служби, затвердженого постановою Кабінету Міністрів України від 11.07.2002 № 985, майно, якість якого не відповідає вимогам стандартів, підлягає переробці або знищенню (утилізації). Згідно з даним актом, знищення такого майна проводиться у присутності членів комісії, яка утворюється з представників органу державної виконавчої служби, митного органу, органу державної податкової служби та фінансового органу. Проте, незважаючи на теоретичну простоту цього механізму, на практиці виникає багато питань, тому митні органи разом з органами державної виконавчої служби починають між собою «грати в футбол» контрабандною продукцією, знищення або утилізація якої не виписана в законі належним чином. Це стосується не лише контрафактних лазерних дисків, але й несертифікованих медичних препаратів, алкоголю, тютюнових виробів тощо.
«Ми намагаємося не порушувати прав інтелектуальної власності»
Сергій МАКАРЕНКО,
системний адміністратор
ЮФ «Грищенко та партнери»
– Пане Макаренко, як у вашій компанії ставляться до неліцензійного програмного забезпечення на робочих комп’ютерах?
– Неліцензійне програмне забезпечення заборонено використовувати в нашій компанії. Ми, як юридична компанія, намагаємося не порушувати прав інтелектуальної власності і тому використовуємо тільки ліцензійне програмне забезпечення, або програмне забезпечення Open Source, яке вільно поширюється і не потребує оплатної ліцензії .
– На підставі чого приймається рішення про встановлення того чи іншого програмного забезпечення на комп’ютери?
– Рішення приймають партнери компанії за рекомендацією ІТ-спеціаліста.
– Ваші дії у випадку виявлення неліцензійного програмного забезпечення на робочих комп’ютерах.
– Таких випадків не було. Програмне забезпечення комп’ютерів налаштовано так, що користувачі не мають прав самостійно його встановлювати.
– Яким чином забезпечується конфіденційність електронних повідомлень, якими обмінюються як всередині компанії, так і з клієнтом?
– Технічними засобами можна забезпечити конфіденційність електронних повідомлень. Якщо клієнт вимагає конфіденційності, то ми намагаємося задовольнити його вимоги. Хоча крім технічної сторони існує людський фактор. Всі наші співробітники при при-
йомі на роботу дають підписку про нерозголошення конфіденційної інформації.
– Чи встановлені у вашій компанії спам-блоки на листи від певних безкоштовних поштових серверів?
– У нас працює спам-фільтр на електронну пошту, який за спеціальним алгоритмом фільтрує електронну пошту.
Однак безкоштовні поштові сервери ми не блокуємо, адже їх можуть використовувати потенційні клієнти при першому контакті з нашою компанією.
«Політика компанії забороняє використання неліцензійного програмного забезпечення»
Сергій КАМІНСЬКИЙ,
ІТ-менеджер ЮФ «Magisters»
– Пане Камінський, як ваша компанія ставиться до неліцензійного програмного забезпечення ? Які ваші дії в разі виявлення неліцензійного ПЗ на службових комп’ютерах? Як приймаються рішення про встановлення того чи іншого ПЗ на службових комп’ютерах?
– Політика компанії в галузі комп’ютерної безпеки забороняє використання неліцензійного програмного забезпечення.
Одним з інструментів утілення цієї політики є надання користувачу службового ПК таких системних прав, які не дозволяють самостійно встановлювати ПЗ або змінювати конфігурацію ПК. Крім цього, існує заборона на закачування файлів з інтернету або отримання її електронною поштою.
Існує перелік ПЗ, яке в обов’язковому порядку має бути встановлено на службових ПК. Цей перелік містить як ліцензійне програмне забезпечення, так і те, що вільно поширюється.
Якщо ми організовуємо нове робоче місце, то перед введенням його в експлуатацію з таким ПК обов’язково зв’язуються нові ліцензії на ліцензійне програмне забезпечення з пулу незадіяних ліцензій або здобуваються додаткові.
Прийняття рішення про придбання чи/або встановлення того чи іншого ПЗ на службові комп’ютери залежить від багатьох факторів: - сумісності з поточним апаратним та програмним забезпеченням;
- простоти в установці, підтримки та використання ПЗ;
- потенційного ефекту від запровадження
- чи є ПЗ користувальним або системним (спеціалізованим);
- завдання, на вирішення якого направлене ПЗ, є разовим або таким, що постійно повторюється;
- чи існують альтернативи комерційному ПЗ для вирішення завдання серед ПЗ, яке вільно розповсюджується;
- при розгляді питання про комерційне ПЗ звертається увага не тільки на вартість придбання, але й на вартість володіння (витрати на навчання, впровадження, підтримку, оновлення).
|
