Інформаційна та кібербезпека адвокатської діяльності: теоретичні та практичні аспекти (досвід США)

Размещено на http://www.allbest.ru/

ІНФОРМАЦІЙНА ТА КІБЕРБЕЗПЕКА АДВОКАТСЬКОЇ ДІЯЛЬНОСТІ: ТЕОРЕТИЧНІ ТА ПРАКТИЧНІ АСПЕКТИ (ДОСВІД США)

Завадський А.А., магістрант факультету

адвокатури Національного юридичного

університету імені Ярослава Мудрого

Анотація

У статті розглядаються теоретичні аспекти інформаційної та кібербезпеки діяльності адвокатури та обґрунтовується необхідність глибшого розроблення теоретичних основ інформаційної безпеки.

Адвокатура має визначені законами та правилами адвокатської етики зобов'язання щодо забезпечення конфіденційності даних клієнтів та збереження адвокатської таємниці. Це накладає на весь інститут адвокатури і на окремих представників професії додаткову відповідальність. А це у свою чергу веде до нагальної необхідності найпильнішої уваги до кожного складника забезпечення безпеки зазначених даних.

Виділяються організаційні, технічні, законодавчі рівні забезпечення безпеки інформації, що має відношення до адвокатської діяльності.

Аналізується сучасний стан і підходи до вирішення існуючих викликів у цій галузі, практичні рішення на досвіді та прикладі рекомендацій Американської асоціації юристів (American Bar Association -- ABA). Вивчається питання про частоту різних видів посягань на інформаційну безпеку юридичного бізнесу та адвокатів у США, методи попередження, реагування та боротьби з цими посяганнями.

Досвід США аналізується і узагальнюється для вироблення нових напрямів у забезпеченні інформаційної безпеки та кібербезпеки для адвокатської спільноти України.

Також висвітлюється питання обізнаності адвокатів і співробітників адвокатських бюро та об'єднань про сучасний стан справ у сфері кіберзагроз, методів і способів їх нейтралізації та запобігання таких загроз. Піднімається проблема ефективного навчання адвокатів комплексному підходу щодо запобігання витоків конфіденційної інформації та інформації, що становить адвокатську таємницю.

Описано нові типи атак на юридичні фірми, поширені помилки в забезпеченні безпеки і умови, які сприяють збільшенню шкоди від таких атак.

Підкреслюється комплексний характер забезпечення інформаційної та кібербезпеки, необхідність постійного вдосконалення методів і способів захисту даних, підвищення рівня знань у цій сфері як з боку адвокатів, так і з боку співробітників, які забезпечують діяльність адвокатів і адвокатських фірм. інформаційний кібербезпека адвокатура безпека

Ключові слова: право, інформаційна безпека, кібербезпека, конфіденційність, адвокатська діяльність.

Annotation

INFORMATION AND CYBER SECURITY OF ATTORNEY'S ACTIVITY: THEORETICAL AND PRACTICAL ASPECTS (THE EXPERIENCE OF THE USA)

In this article, we look at the theoretical aspects of the information and cyber security of the legal profession and substantiated by the necessity of a comprehensive study of the theoretical foundations of the information and cyber security.

The article deals with the practical solutions and experiences on the example of the recommendations of the American Bar Association (ABA).

The necessity of deeper development of the theoretical bases of information security is grounded, the current state and approaches to solving existing challenges are analyzed.

Attorneys and law firms have the obligation to ensure confidentiality and attorney clients privilege. This imposes additional responsibilities on the whole institution of the Bar and on individual representatives of the profession. This, in turn, leads to an urgent need to pay the utmost attention to each component of ensuring the security of the said data.

There are organizational, technical, and legislative levels of ensuring the security of information relating to attorneys and law firms.

The experience of the United States of America is analyzed and summarized in order to develop new directions in ensuring the information security of advocates' activities and cyber-security for the advocates' community in Ukraine.

The question of the frequency of various types of infringements on the information security of the legal business and lawyers in the United States is studied.

The issue of lawyers and the staff of law offices and associations being aware of the current state of cybersecurity threats, methods, and ways of neutralizing them and preventing such threats are also covered. The issue of effective training for lawyers on a comprehensive approach to preventing leaks of confidential information and information constituting lawyers' secrecy is raised.

The article is presented new types of attacks on law firms and common security errors and conditions that increase the damage from such attacks.

The complex nature of ensuring information and cybersecurity, the need for continuous improvement of methods and methods of data protection, and increasing the level of knowledge in this area, both on the part of lawyers and staff supporting the activities of lawyers and law firms are emphasized.

Key words: law, cybersecurity, information security, confidentiality, lawyer's activity, attorney's activity.

Постановка проблеми й актуальність теми

Сучасний рівень розвитку інформаційних технологій суттєво впливає на юридичну практику. Адвокатська діяльність не є виключенням. Важко уявити діяльність сучасного адвоката без використання комп'ютерної техніки та сучасних мобільних пристроїв: планшетів, смартфонів і ноутбуків. Але їх використання не тільки полегшує роботу адвоката, а і створює нові ризики для конфіденційності та збереження адвокатської таємниці. Обіцянки розробників програм і додатків забезпечити надійність і безпеку важко перевірити, навіть володіючи спеціальними знаннями в області комп'ютерної та інформаційної безпеки. Для адвоката ця область зазвичай поза межами його компетентності. Але адвокати мають обов'язок забезпечувати адвокатську таємницю і конфіденційність.

Також затребувана розробка сучасних підходів до забезпечення адвокатської таємниці та інформаційної безпеки діяльності адвоката з урахуванням всебічного використання інформаційних технологій, зберігання, отримання та передачі адвокатами і довірителями відомостей і документів в електронному вигляді.

Аналіз досліджень

Теоретичні аспекти інформаційної безпеки в юридичній діяльності загалом і стосовно адвокатури зокрема на даний момент опрацьовані недостатньо.

Загальну сутність інформаційної безпеки та підходи до її забезпечення у діяльності правників та адвокатів висвітлювали Ш. Нельсон (Nelson, Sharon D, 2013), Д. Риз (Ries, David G., 2012) та Д. Сімек (Simek, John W., 2012). Про криміналістичний аспект інформаційної безпеки адвокатської діяльності писала ГІ. Резнікова [1].

Мета статті - дати загальне уявлення про рівні, методи і способи захисту інформації в адвокатській діяльності, існуючи загрози та практичні приклади й рекомендації щодо їх уникнення, нейтралізації та мінімізації; вивчити досвід адвокатів США, який може бути корисним з огляду на такі міркування:

- досвід реагування на виклики у сфері кібербезпеки, напрацьований на великій кількості як позитивних, так и негативних прикладів;

- велика роль адвокатського самоврядування в розробленні рекомендацій;

- вивчення та попередження тих загроз, які ще не досить поширені в нашій країні.

Виклад основного матеріалу

У своїй роботі адвокати постійно збирають, обробляють, використовують, зберігають та поширюють інформацію, яка потребує комплексного захисту організаційно-технічними та правовими засобами. Без забезпечення безпеки цієї інформації повноцінна робота адвоката з інформацією неможлива.

Інформаційна безпека діяльності адвокатами - стан захищеності інформації, що становить предмет адвокатської таємниці, за якого забезпечуються її конфіденційність, цілісність і доступність [2, с. 159].

Конфіденційність інформації - це забезпечення доступу до інформації тільки суб'єктів, які мають на це право. Цілісність інформації - стан, за якого її зміна здійснюється тільки навмисно і тільки суб'єктами (авторизованими користувачами), що мають на це право. Доступність інформації - стан, за якого суб'єкти, які мають право доступу до інформації, можуть реалізувати його безперешкодно, тобто безперешкодне забезпечення доступу до інформації авторизованих користувачів [2, с. 53].

Основні гарантії конфіденційності адвокатської діяльності закріплені як у національному законодавстві України (Конституція України, Кримінальний кодекс України, Кримінальний процесуальний кодекс України, Закон України «Про адвокатуру та адвокатську діяльність» і т. ін.), так і в міжнародних актах (Європейська конвенція про захист прав людини і основних свобод, Рекомендація (2000) 21 Комітету Міністрів Ради Європи про свободу професійної діяльності адвокатів, Основні положення ООН про роль адвоката).

Інформаційна безпека забезпечується на трьох рівнях: безпеки інформаційних ресурсів, безпеки інформаційної інфраструктури, а також безпеки «інформаційного поля» [1, с. 123].

Загрози інформаційній безпеці можна умовно поділити на:

зовнішні (шкідливе програмне забезпечення - віруси та інші, на кшталт руткітів, шпигунів; суб'єктивно вмотивовані хакерські атаки; фішинг або вішинг тощо), внутрішні (інсайдери) і змішані інформаційні загрози, що поєднують як внутрішні, так і зовнішні [1, с. 120].

Безпека інформаційних ресурсів може мати такі недоліки: прорахунки в організації діловодства, кадрового, інформаційно-аналітичного та матеріально-технічного забезпечення безпеки інформаційних ресурсів [1, с. 121].

Безпека інформаційної інфраструктури стосується як програмного забезпечення, мереж, так і систем зв'язку, технічних засобів.

Призводять до розголошення адвокатської таємниці: відсутність або незадовільний стан технічних засобів забезпечення безпеки інформаційної інфраструктури; фрагментарність або несправність засобів захисту, технічного і програмного середовища; відсутність криптографічного захисту для інформації під час її обробки ЕОМ, системах та мережах ПК і електрозв'язку об'єднання; відсутність ідентифікації користувача та здійснюваних ним операцій за допомогою паролів, ключів; відсутність відображення дати та часу дій користувачів з інформаційними та програмними ресурсами в ЕОМ, комп'ютерних мережах, протиправних спроб доступу до них; відсутність програмного забезпечення, що розпізнавало би передачу інформації незахищеними лініями зв'язку [4, с. 121].

Третій рівень інформаційної безпеки стосується недоліків у безпеці «інформаційного поля» адвокатської діяльності, який утворюється з несистематизованих потоків інформації, що оприлюднюються різними учасниками інформаційних відносин (телерадіоорганізаціями, ЗМІ, у соціальних мережах та навіть через чутки) [4, с. 123].

Порушення безпеки на будь-якому з перелічених рівнів призводить до небажаних наслідків, у тому числі й до розголошення адвокатської таємниці.

Як приклад можна навести нову схему вимагання коштів від юридичних фірм. Хакери, використовуючи всі наявні вразливості в інформаційній безпеці фірми, роблять так званий «full dump» усіх наявних даних. Тобто роблять копію всієї доступної інформації: електронне листування, рахунки, копії документів, що зберігаються в електронному вигляді, особисті дані клієнтів і співробітників тощо. Після копіювання інформації зловмисники роблять архів та звертаються з вимогою про виплату «викупу» за його знищення [5]. Якщо адвокатська фірма відмовляється від плати, вся інформація викладається у відкритий доступ, що неминуче призводить до порушення конфіденційності, адвокатської таємниці та інших негативних наслідків для фірми. Шкода від такої атаки може зруйнувати не тільки фірму, а й особисті кар'єри адвокатів, робить неминучими позови від клієнтів, інформація про яких стане доступною для широкого загалу. Це дуже складна ситуація як з етичної, так і з фінансової точок зору, тому простіше не допустити можливості виникнення її взагалі.

American Bar Association (АВА) є найбільш впливовою самоврядною організацією правників Сполучених Штатів. Тому цікавим видається проаналізувати, які рекомендації для своїх членів вона надає в питаннях кібербезпеки.

Типові правила професійної поведінки АВА [6] передбачають таке:

1. Адвокат повинен забезпечити компетентне представництво клієнта. Компетентне представництво потребує юридичних знань, навичок, підготовки в обсязі, розумно необхідному для представництва. Коментар 8 до типового правила 1 чітко визначає: «щоб підтримувати необхідні знання та навички, правник повинен бути в курсі змін у законодавстві та його практиці, включаючи ризики та переваги, пов'язані з відповідною технологією» [6]. Вочевидь, це стосується й інформаційних технологій та кібербезпеки. Тобто від правника вимагається наявність відповідної компетенції.

2. Пункт 1.4 Правил [6] потребує від адвоката постійного інформування клієнтів про стан справ та роз'яснення питань «у тому ступені, який є розумно необхідним для того, щоб дозволити клієнту прийняти обґрунтоване рішення щодо представництва».

3. Оскільки зв'язок сьогодні часто здійснюється за допомогою електронних засобів, адвокати зобов'язані забезпечувати безпеку засобів, що використовуються для зв'язку. Типове правило професійної поведінки 1.6 (с) [6] передбачає, що «адвокат докладає розумні зусилля для запобігання ненавмисному або несанкціонованому розголошенню або несанкціонованому доступу до інформації, що стосується представництва клієнта». У коментарі 18 викладаються чинники, які повинні «враховуватися під час визначення обґрунтованості зусиль адвоката, включаючи, серед іншого, чутливість інформації, ймовірність розкриття, якщо додаткові гарантії не застосовуються, вартість застосування додаткових гарантій, складність здійснення гарантій і ступінь, в якому ці гарантії негативно позначаються на здатності адвоката представляти інтереси клієнтів (наприклад, надмірно ускладнюючи використання пристрою або важливої частини програмного забезпечення)».

На додаток до трьох типових правил, що розглянуті вище, адвокати повинні знати про офіційну думку (висновок) АВА 477 [7], де говориться, що «від адвоката можуть вимагати прийняття спеціальних заходів безпеки для захисту від ненавмисного або несанкціонованого розголошення інформації клієнта, коли це потрібно за угодою з клієнтом або за законом, або коли характер інформації вимагає більш високого ступеня безпеки».

У висновку перераховуються фактори, які необхідно враховувати під час визначення належного рівня кібербезпеки: характер загрози; спосіб збереження і передачі конфіденційної інформації клієнта; використання розумних заходів електронної безпеки; способи захисту електронних повідомлень; необхідність маркування інформації клієнта як конфіденційної і привілейованої; необхідність підготовки юристів і помічників, які не є юристами, а також необхідність прояву належної обачності щодо постачальників, які надають технологічні послуги.

Крім того, в тих випадках, коли відбувається порушення щодо даних, пов'язаних із суттєвою інформацією про клієнтів, або мається значна ймовірність такого порушення, адвокати зобов'язані повідомляти клієнтів про таке порушення і приймати інші розумні заходи, які узгоджуються з їхніми зобов'язаннями відповідно до цих Типових правил.

Постійна комісія АВА з етики та професійної відповідальності в офіційній думці 483 «Зобов'язання юристів після порушення щодо електронних даних або кібератаки» (17 жовтня 2018 г) [8] чітко зазначає, що «можливість порушення етичних норм виникає тоді, коли адвокат не робить розумних зусиль, щоб уникнути втрати даних або виявити кібернетичне вторгнення, та що причиною порушення є відсутність розумних зусиль». У висновку далі говориться, що «як питання підготовки та найкращої практики юристи повинні розглянути можливість завчасної розробки плану реагування на інциденти з конкретними планами дії та процедурами реагування на порушення щодо даних».

Цікава позиція АВА з приводу шифрування. Офіційна думка АВА 477 не вимагає шифрування у всіх випадках, зауважуючи, що «використання звичної електронної пошти без шифрування є прийнятним методом зв'язку адвоката з клієнтом». Але далі наголошується, що використання більш суворих засобів захисту, таких як шифрування, є належним у деяких обставинах. Адвокати повинні діяти таким чином, коли це необхідно за законом або за домовленістю з клієнтом, або якщо характер інформації потребує більш високого рівня безпеки [2]. Результати опитування серед адвокатів у 2019 році свідчать, що тільки 44% з них використовують шифрування файлів, шифрування пошти використовують 38% від опитаних і тільки 22% користуються шифруванням усього дискового масиву [9].

Біля чверті правників США у 2019 році стикалися з порушеннями безпеки (включаючи хакерську активність), що призвело до додаткових витрат на: консультації з ремонту, заміну техніки та програмного забезпечення, знищення чи втрату інформації та інше. 36% опитаних повідомили про інфікування вірусами, троянами їхніх комп'ютерних систем [9].

Третина респондентів повідомила, що їхні фірми або вони самі мають поліси страхування кібервідповідаль- ності. Цей інструмент майже не відомий на наших теренах, але можна очікувати попит на цю послугу в разі зміни законодавства [9].

Усі адвокати повинні мати програми безпеки з урахуванням розміру фірми, даних та систем, що потребують захисту. Реагування на інциденти є важливим елементом будь-якої програми захисту інформації.

Найважливіші елементи типового плану реагування на інциденти включають процедури початкового повідомлення про інцидент, підтвердження інциденту, ескалації, в залежності від обставин, і розслідування. Передова практика включає роботу призначеного керівника проекту реагування на інцидент у співпраці з міждисциплінарної групою, знайомою з обов'язками щодо подання звітності про порушення, вимог щодо пом'якшення наслідків і кроками, необхідними для відновлення. І нарешті, плани зазвичай передбачають період огляду після інциденту з тим, щоб будь-який накопичений досвід можна було включити в переглянутий план.

Плани реагування на інциденти повинні бути складені для компанії з урахуванням усіх законів і професійних зобов'язань і повинні бути засновані на стандартах, таких як стандарти, встановлені Національним інститутом стандартів і технологій (NIST), установою під егідою Міністерства торгівлі США [9].

Юридична фірма, що розробляє план реагування на інциденти, повинна уважно ознайомитися з Думкою 483 [8] для розгляду етичних питань, які можуть бути пов'язані з інцидентом у кіберпросторі. У цьому документі зазначається, що відповідальність за те, як найкращим чином дотримуватися Типових правил, покладається на окремих фахівців з урахуванням унікальних фактів і обставин їхньої практики.

Висновки

Загрози даним у комп'ютерах, мобільних пристроях і інформаційних системах, використовуваних адвокатами, знаходяться на рекордно високому рівні. Вони приймають різні форми, від фішинг-атак по електронній пошті й атак з використанням соціальної інженерії до складних технічних експлойтів, що призводять до довгострокових вторгнень у мережі юридичних фірм. Вони також включають втрачені або вкрадені ноутбуки, планшети, смартфони і USB-накопичувачі, а також внутрішні загрози - зловмисний, ненавчений і неуважний персонал.

Адвокати зобов'язані дотримуватися етичних норм і норми загального права приймати компетентні й розумні заходи для захисту інформації, що стосується клієнтів. Також адвокати мають зобов'язання щодо захисту інформації про клієнтів й інших типів конфіденційної інформації, що стала їм відома в результаті виконання своїх обов'язків.

Насамперед від адвокатів залежить рівень безпеки у кіберпросторі.

Тільки комплексний підхід до забезпечення інформаційної безпеки адвокатської діяльності може унеможливити настання негативних наслідків у виді порушення конфіденційності. Кожен відповідальний адвокат повинен розуміти всі ризики використання сучасних технологій у своїй діяльності.

Використання напрацьованого міжнародного досвіду є корисним з огляду на практичні доробки, підходи та методи забезпечення інформаційної безпеки, що дає змогу уникнути помилок та хибних підходів, економити час і гроші під час впровадження належних методів в Україні.

Список використаних джерел

1. Резнікова Г.І. Інформаційна безпека адвокатської діяльності: криміналістичний погляд. Науковий вісник Міжнародного гуманітарного університету. Сер.: Юриспруденція. 2017. № 29. Том 2. С. 117-122.

2. Гусятников П.П., Гусятникова П.П. Информационная безопасность адвоката: основные понятия. Пробелы в российском законодательстве. 2016. № 1. С. 158-162.

3. Гусятников П.П., Гусятникова П.П. Информационная безопасность деятельности адвоката и адвокатская тайна. Евразийская адвокатура. 2016. № 2 (21). С. 52-57.

4. Петрик В. Сутність інформаційної безпеки держави, суспільства та особи. Юстиніан. 2009. С. 122-135.

5. Debra Cassens Weiss. Hacking group publishes 'full dump' of law firm's data; another responds to cybersecurity incident, FEBRUARY 12, URL: https://www.abajoumal.com/news/article/hacking-group-publishes-fuN-dump-of-law-firms-data-another-responds-to-cybersecurity- incident (дата звернення: 22.04.2019).

6. Model Rule of Professional Conduct. 2019. URL: https://www.americanbar.org/groups/professional_responsibility/publications/model_ rules_of_professional_conduct/model_rules_of_professional_conduct_table_of_contents/ (дата звернення: 21.03.2020).

7. ABA Formal Opinion 477R: Securing communication of protected client information. 2017. URL: https://www.americanbar.org/news/abanews/ publications/youraba/2017/june-2017/aba-formal-opinion-477r--securing-communication-of-protected-cli/ (дата звернення: 01.04.2020).

8. ABA Standing Committee on Ethics and Professional Responsibility Formal Opinion 483 “Lawyers' Obligations After an Electronic Data Breach or Cyberattack”. October 17, 2018.

9. John G. Loughnane. Cybersecurity. 2019. ABA: TECHREPORT, 2019.

Размещено на Allbest.ru