Интернет-бюро адвоката
Кучерявого Олега Петровича

полный комплекс юридических услуг, защита интересов граждан

Сен

4

Кибербезопасность в «облаке»

Автор: Avtor

Вниманию посетителей сайта предлагается очень интересная статья журналиста Дарины Сидоренко, опубликованную ранее в интернет-издании «Юридическая газета», о кибербезопасности при использовании облачных IТ-технологий. Не смотря на то, что статья написана в основном для адвокатов и юристов компаний, изложенная в статье информация является важной для всех профессионалов (например, частных судоисполнителей, патентных поверенных, врачей, архитекторов, инженеров, технологов, программистов, веб-мастеров, а также многих-многих других) и любителей, использующих облачные IТ-технологи для хранения какой бы то ни было рабочей информации, документации, а не только для «халявного» хранения семейных фотографий и музыкальных альбомов, и которые при этом имеют основание полагать, что кому-то — постороннему, теоритически эта информация может быть интересна, или кто-то просто захочет из тех или иных побуждений навредить хранителю информации.

 

&&&

 

Потеря данных — очень неприятное дело. Но оно становится ещё более неприятным, когда это касается данных, содержащих адвокатскую тайну, или другие сведения, разглашение которых может сильно навредить, как клиенту, так и юридической компании.

 

Одним из распространенных способов хранения данных является использование облачных технологий. Облачные сервисы, которые позволяют перенести вычислительные ресурсы и данные на отдаленные интернет-серверы, в последние годы стали одним из основных трендов развития IТ-Технологий.

Сами технологии представляют собой определенную инфраструктуру — серверы, хранилища данных, программное обеспечение, сети, — которые предоставляются провайдером для работы необходимых клиенту систем. Все это находится онлайн, а, следовательно, не требует от пользователя собственного оборудования — его обеспечивает поставщик услуги. Конечно, провайдеры облачных технологий обещают защиту критически важной информации от хищения (или же утечки), но по информации LexisNexis (американская компания, работающая в сфере информационных услуг по предоставлению онлайн-доступа к многоотраслевым базам данных – прим. адм. сайта) все не так уже и безоблачно.

 

IT-безопасность подобна безопасности вождения автомобилем — даже безупречные показатели безопасности не спасут от дорожных происшествий. Так же и с облачными технологиями: безопасность предполагается, но полностью не гарантируется. Следует заметить, что слабые места существуют и в традиционных серверах и оборудовании, то есть риски существуют везде, однако в облачных технологиях они несколько отличаются. И юристы, которые хотят защитить свою фирму, карьеру и репутацию, должны знать об этих рисках.

 

В своей статье для Law360  Шон Джемисон заметил, что юридическая деятельность не освобождается от кибератак, поскольку юристы имеют дело с конфиденциальной информацией своих клиентов и часто работают в небольших компаниях или как самозанятые лица, а затем становятся основной мишенью для кибератак.

 

Быть основной мишенью означает, что юридическим компаниям нужно делать все возможное, чтобы обезопасить свою информацию. Так, Джейсон Ташеа настаивает на этической обязанности юристов по защите конфиденциальной информации, которая хранится в «облаке». «Дистанционное хранение данных для личного использования или работы уже стало обычным для миллионов американцев. Однако эти и другие интернет-технологии могут вызвать определенные этические трудности для юристов. Вместе с тем, последние не могут постоянно делать одно и тоже, поскольку находятся в состоянии постоянного развития, чтобы не отставать от передовых практик», — утверждает господин Ташеа.

 

Согласно 3-му ежегодному отчету McAfee (компания, работающая в области кибербезопасности и создания антивирусных программ – прим. адм. сайта)  о внедрении облачных технологий и их безопасности, хранение данных на публичных облачных сервисах приводит к хищению данных в 1-й из 4-х компаний, в то время когда 1 из 5-ти компаний испытывала сильные атаки на их облачную инфраструктуру. Эти цифры отображают отсутствие безопасности данных, что и ощущают большинство современных компаний. Только 16% компаний уверенные, что их меры безопасности смогут защитить данные.

 

Несмотря на эти опасения, утверждение о том, что облачные технологии являются опасными по своей сути, — миф. Для некоторых компаний облачные технологии, принимая во внимание надежность поставщика услуг, могут быть наилучшим решением, если они не хотят тратить время и деньги на построение собственной системы. Но все же, даже если облачные технологии и предлагают эффективную стратегию безопасности, нужно понимать, что это не 100% гарантия, а поэтому следует помнить об определенных недостатках облачных технологий.

 

Наиболее очевидными рисками является:

  • потеря и утечка данных;
  • нарушение конфиденциальности;
  • неправильная наладка облачных платформ;
  • отсутствие квалифицированных кадров.

 

Менее очевидным риском являются права работников. Так, бывший сотрудник не нуждается в VPN-соединении для доступа к приложению SaaS компании и может сделать это из другого устройства со своими учетными данными, поэтому при увольнении работника важно проверить, не осталось ли у него доступа (или, лучше всего, изменить систему доступа – прим. адм. сайта).

 

Еще один риск — использование ПО, которое обходит политику использования «облака» и использует неутвержденные технологии без согласия пользователя. Так, большая компания столкнулась с проблемой, когда члены юридической команды загружали контракты в онлайн-конвертеры PDF, в условиях обслуживания которых (а кто у нас их читает? – прим. адм. сайта) отмечалось, что они получают право на полное владение всеми документами, загруженными в систему, и что имеют право распространять данные любым третьим сторонам. Юридическая команда подвергла свою компанию значительному риску, загрузивши конфиденциальную информацию в сервис, который мог свободно распространять эту информацию любой заинтересованной стороне.

 

Каким же образом можно минимизировать эти риски? Основными методами является:

  • шифрование данных организации, в том числе на уровне браузеров;
  • понимание, куда направляются данные и как поставщик услуг будет сохранять их от разглашения;
  • возможности провайдера использовать 3 вида шифрования: in-transit, at-risk, end-to-end;
  • понимание условий предоставления услуг и политики конфиденциальности потенциальных поставщиков услуг.

 

Дарина Сидоренко, журналист

«Юридическая газета»

Перевод нашего сайта.

____________________________________________________________________

Примечание: наше адвокатское бюро не использует облачные IT-технологии для хранения какой бы то ни было информации о клиентах и их делах

____________________________________________________________________

Публикация на нашем сайте — сентябрь 2018 года

 

Заинтересовала публикация?
  • Получайте новые публикации по RSS или E-mail.

Ваш отзыв