У юристов – свои профессиональные нюансы: частые командировки, внешние встречи, гриф секретности, отраслевое законодательство в аспекте работы с конфиденциальной информацией и другие. Взаимодействие сотрудников с конфиденциальными данными – зона повышенного внимания к информационной безопасности.
Как можно минимизировать риски? Чтобы сложилась картина понимания возможных рисков при работе с юридически значимыми документами, обратимся к существующей практике и расскажем о мерах защиты:
Web-слежка из-за заражения через публичные сети
Не все web-ресурсы обеспечивают шифрование по протоколу Secure Socket Layer (SSL). Это открывает возможность злоумышленникам доступ через незащищенные публичные сети Wi-Fi к конфиденциальным данным на подключаемых устройстах. Находясь в командировке, сотрудник может случайно подхватить вредоносную программу, посредством которой злоумышленники могут получать доступ к конфиденциальной информации.
Подобные атаки могут быть целевыми – например, атака «Darkhotel», при которой злоумышленники используют публичную сеть отелей, чтобы компрометировать постояльцев – высокопоставленных лиц. Вирус активируется только по возвращении сотрудника из командировки после подключения к корпоративной сети зараженного устройства. Когда вирус проникает в сеть, перед злоумышленником открывается информация, с который работают сотрудники организации – все «досье» на физических и юридических лиц, являющихся заказчиками услуг юристов. Организованные хакерские группировки нередко используют промежуточные звенья-компании, чтобы добраться до ключевой цели. Атаки типа «Darkhotel» уже затронули тысячи устройств по всему миру, а особый урон нанесли российским и азиатским компаниям.
Если у сотрудников есть необходимость выходить в интернет вне корпоративной сети, настройте им VPN (зашифрованный канал), и централизованно пропишите политики доступа к внутренним корпоративным ресурсам. Обезопасить сетевое подключение «на местах» от вирусов и злоумышленников поможет брандмауэр, который необходимо настроить в системе.
Потеря пароля и проникновение злоумышленников в корпоративную сеть
Опасно использовать одинаковые пароли для личных и корпоративных ресурсов (например, один и тот же пароль для соцсетей и для почтового домена или защищенного архива документов). Большинство сетевых ресурсов слабо или вообще не защищены от подбора паролей учетных записей. Пароли от аккаунтов взломщики периодически выкладывают в сети на специализированных форумах. Опираясь на открытые источники, можно добыть информацию о пользователе, используя которую можно в дальнейшем получить доступ к учетной записи.
Злоумышленники, которые совершают целевые атаки, часто используют метод Brute force – автоматический перебор паролей.
Обезопасить организацию от несовершенств парольных политик помогает двухфакторная аутентификация с использованием дополнительного устройства или мобильного телефона. Кто бы ни украл пароль – подтвердить вход в учетную запись у него вряд ли получится.
Несовершенство мессенджеров для корпоративных переписок
Общаясь с коллегами через публичные мессенджеры, пользователь фактически дает согласие, что конфиденциальная информация также будет проходить через стороннюю инфраструктуру, неподконтрольную организации. Соответственно доступ к этим данным могут получить и владельцы ресурса.
Для коммуникации и обмена документами необходимо использовать только внутренние ресурсы, которые находятся под контролем самой организации – корпоративный портал, защищенный внутренний файлообменник и почта, оснащенная спам-фильтром, способным обезопасить от фишинга и других угроз.
Доверяй, но проверяй!
Утечка может произойти как по причине халатности сотрудника, так и нести умышленный характер. DLP-системы (Data Loss Prevention) помогают контролировать информацию, проходящую через рабочие узлы, по степени важности, и отслеживать потенциальные утечки. DLP – это «таможенный контроль» трафика информации в закрытой сети. При выявлении потенциальной угрозы система сигнализирует о риске и контролирует дальнейшие действия с конфиденциальной информацией.
Информация – это хлеб для сотрудников юридической сферы, но работать с ней необходимо крайне аккуратно. Стоит тщательно подготовиться как на техническом, так и на организационном уровне – провести профилактические проверки систем ИБ, проинструктировать сотрудников о противодействии методам социальной инженерии, настроить строгие правила информационной безопасности.