Сер
30
Кібербезпека в «хмарі»
Увазі відвідувачів сайту пропонується дуже цікава стаття журналіста Дарини Сидоренко, яка була опублікована раніше в інтернет-виданні «Юридична газета» – про кібербезпеку при використанні хмарних IТ-Технологій. Незважаючи на те, що стаття написана в основному для адвокатів і юристів компаній, викладена в статті інформація є важливою для всіх професіоналів (наприклад, приватних судовиконавців, патентних повірених, лікарів, архітекторів, інженерів, технологів, програмістів, веб-майстрів, а також багатьох-багатьох інших) і аматорів, що використовують хмарні IТ-Технологи для зберігання будь якої робочої інформації, документації, а не тільки для «халявного» зберігання сімейних світлин і музичних альбомів, і які при цьому мають підстави вважати, що комусь – сторонньому, теоретично ця інформація може бути цікава, або хтось просто захоче з тих або інших спонукань нашкодити зберігачеві інформації.
&&&
Втрата даних – справа дуже неприємна. Але вона стає ще неприємнішою, коли це стосується даних, які містять адвокатську таємницю, або інших відомостей, розголошення яких може сильно нашкодити як клієнту, так і юридичній компанії.
Одним із поширених способів зберігання даних є використання хмарних технологій. Хмарні сервіси, що дозволяють перенести обчислювальні ресурси й дані на віддалені інтернет-сервери, в останні роки стали одним з основних трендів розвитку IT-технологій. Самі технології являють собою певну інфраструктуру – сервери, сховища даних, програмне забезпечення, мережі, – які надаються провайдером для роботи необхідних клієнту систем. Все це знаходиться онлайн, а, отже, не вимагає від користувача власного обладнання – його забезпечує постачальник послуги. Звісно, провайдери хмарних технологій обіцяють захист критично важливої інформації від крадіжки (або ж витоку), але за інформацією LexisNexis (американська компанія, що працює в сфері інформаційних послуг – прим. адм. сайту) все не так вже й безхмарно.
ІТ-безпека подібна до безпеки водіння автомобілем – навіть бездоганні показники безпеки не врятують від дорожніх пригод. Так само і з хмарними технологіями: безпека передбачається, але повністю не гарантується. Доцільно зазначити, що слабкі місця є і в традиційних серверах і обладнанні, тобто ризики є всюди, проте в хмарних технологіях вони дещо відрізняються. Але юристи, які хочуть захистити свою фірму, кар’єру та репутацію, мають знати про ці ризики.
В своїй статті для Law360 Шон Джемісон зазначив, що юридична діяльність не звільняється від кібератак, оскільки юристи мають справу з конфіденційною інформацією своїх клієнтів та часто працюють в невеликих компаніях або як самозайняті особи, а відтак стають основною мішенню для кібератак.
Бути основною мішенню означає, що юридичним компаніям потрібно робити все можливе, щоб убезпечити свою інформацію. Так, Джейсон Ташеа наголошує на етичному обов’язку юристів по захисту конфіденційної інформації, що зберігається у «хмарі». «Дистанційне зберігання даних для особистого використання чи роботи вже стало звичним для мільйонів американців. Однак ці та інші інтернет-технології можуть викликати певні етичні труднощі для юристів. Разом з цим останні не можуть постійно робити одне і теж, оскільки перебувають у постійному стані еволюції і розвитку, щоб не відставати від передових практик», – стверджує пан Ташеа.
Відповідно до 3-го щорічного звіту McAfee (компанія, що працює в сфері інформаційних послуг кібербезпеки, зокрема, створення антивірусних програм – прим. адм. сайту) про впровадження хмарних технологій та їх безпеки, зберігання даних на публічних хмарних сервісах спричинює крадіжки даних у 1-ї з 4-х компаній, в той час коли 1 з 5-и компаній зазнавала сильних атак на їх хмарну інфраструктуру. Ці цифри відображають відсутність безпеки даних, що й відчувають більшість сучасних компаній. Лише 16% компаній впевнені, що їх заходи безпеки зможуть захистити дані.
Незважаючи на ці побоювання, твердження про те, що хмарні технології є небезпечними по своїй суті, – міф. Для деяких компаній хмарні технології, зважаючи на надійність постачальника послуг, можуть бути кращим рішенням, якщо вони не хочуть витрачати час і гроші на побудову власної системи. Навіть якщо хмарні технології і пропонують ефективну стратегію безпеки, потрібно розуміти, що це не 100% гарантія, а відтак потрібно пам’ятати про певні недоліки хмарних технологій.
Найбільш очевидними ризиками є:
- втрата і витік даних;
- порушення конфіденційності;
- неправильне налаштування хмарних платформ;
- відсутність кваліфікованих кадрів.
Менш очевидним ризиком є права працівників. Так, колишній співробітник не потребує VPN-з’єднання для доступу до додатку SaaS компанії і може зробити це з іншого пристрою зі своїми обліковими даними, тому при звільненні працівника важливо перевірити, чи не залишилося в нього доступу (або, краще всього, змінити систему доступу – прим. адм. сайту).
Ще один ризик – використання ПЗ, що обходить політики використання «хмари» і використовує незатверджені технології без згоди користувача. Так, велика компанія зіткнулася з проблемою, коли члени юридичної команди завантажували контракти в онлайн-конвертери PDF, в умовах обслуговування яких (а хто у нас їх читає? – прим. адм. сайту) зазначалося, що вони беруть на себе повне володіння усіма документами, що були завантажені в систему, і що мають право поширювати дані будь-якій третій стороні. Юридична команда піддала свою компанію значному ризику, завантаживши конфіденційну інформацію в сервіс, який міг вільно поширювати цю інформацію будь-якій зацікавленій стороні.
Отже, яким чином можна мінімізувати ці ризики? Основними методами є:
- шифрування даних організації, в тому числі на рівні браузерів;
- розуміння, куди спрямовуються дані і як постачальник буде утримувати їх від розголошення;
- можливості провайдера використовувати 3 види шифрування: in-transit, at-risk, end-to-end;
- розуміння умов надання послуг та політики конфіденційності потенційних постачальників послуг.
Дарина Сидоренко, журналіст
____________________________________________________________________
Примітка: наше адвокатське бюро не користується хмарними ІТ-технологіями для зберігання відомостей про клієнтів і їх справи
____________________________________________________________________
Публікація на нашому сайті – серпень 2018 року