№4 Квітень 2021 року → До справи

Тема: Витягнути загрозу

Артем СТАРОСЄК,
CEO Molfar

Інформаційна безпека юридичної фірми тепер не менш важлива, ніж безпека її клієнтів. Нові загрози конфіденційності потребують і нових методів захисту

Навесні 2016 року Міжнародний консорціум журналістських розслідувань (ICIJ) оприлюднив «Панамське досьє» із 11,5 млн конфіденційних документів, викрадених з серверів панамської юридичної фірми, реєстратора офшорів Mossack Fonseca. Дані витекли через злом корпоративного поштового сервера. За даними Forbes, Mossack Fonseca використовувала старі версії вебплатформ, а платіжний модуль для CMS був вразливий до SQL-ін’єкцій. Пізніше компанія закрилася.

Вразливості вебресурсів — не єдина загроза безпеці. До витоків інформації призводять документи у відкритому доступі, однакові паролі для особистих і корпоративних сервісів, публікації у соцмережах. Необережність та відсутність профілактичних заходів дає хакерам і конкурентам доступ до юридичної документації, відомостей про фінансову діяльність, інформації про клієнтів і особистих даних співробітників.

Згідно з дослідженням Американської асоціації юристів (ABA), 29 % юридичних фірм зіткнулися з порушеннями безпеки у 2020 році. При цьому 21 % повідомили, що не знають, чи піддавалися злому системи безпеки будь-коли.

Далі поговоримо про вразливості IT-інфраструктури та співробітників, а також про методи профілактики і захисту.

 

Зберігання документів

 

Співробітники забувають налаштувати конфіденційність у Google-документах, таск-менеджерах Trello і безкоштовних сервісах для створення презентацій і діаграм Slideshare та Gliffy. Файли індексуються Google і знаходяться через операторів розширеного пошуку.

Результат запиту «site: trello.com юрист» — контент-стратегія та монетизація юридичної компанії, настройки доступу в Trello: Public

 

Використовуйте таск-трекер Jira, розгорнутий на внутрішніх серверах компанії, зберігайте документи в зашифрованих контейнерах. Якщо компанія невелика, використовуйте криптохостинг MEGA — файли шифруються на стороні клієнта перед завантаженням у «хмару».

 

Комунікації

 

У січні 2021 року WhatsApp оновив політику конфіденційності: месенджер передає дані материнській компанії Facebook. Номер телефону, ім’я, аватар і контакти доступні іншим дочірнім компаніям та партнерам Facebook. Сервіс відеозв’язку Zoom використовує TLS-шифрування, кодує дані між сервером і користувачем. Компанія при цьому має доступ до незашифрованого відео- та аудіоконтенту конференцій. За даними The Intercept, Zoom має технічну можливість шпигувати за користувачами і може передавати файли в правоохоронні органи за запитом. Сервіс для створення скріншотів Lightshot зберігає посилання на скріншоти у відкритому доступі.

Щоб не з’явитись в одній із щотижневих новин про витік даних, використовуйте сервіси, які не передають дані третім сторонам і використовують технології кінцевого шифрування. Альтернатива Zoom — сервіс Jitsi Meet, де обмін ключами шифрування відбувається без участі сервера. Месенджер — Signal, сервіс створення скріншотів — DropLr, email-сервіс — ProtonMail.

На скріншотах — дані банківських карт і лист із відновленим паролем, який «сфотографував» засновник юридичної фірми

 

Злом

 

За даними The Guardian, у Mossack Fonseca протягом року не знали про витік 2,6 терабайтів документів та листів «Панамського досьє». Ситуацію можна виправити регулярними імітаціями реальних атак на сервери юридичної фірми з використанням команди Red Team. Додатково використовуйте «пастки» для хакерів, щоб виявити факт злому. Сервіс Canary Tokens розміщує тригери у фейкових документах і URL. Токени спрацьовують при відкритті та відправляють email-повідомлення, в яких вказується IP-адреса зловмисника.

Надішліть собі листа з посиланням на токен і текстом з приманкою і тримайте в папці «Вхідні» непрочитаним. Якщо вашу пошту зламають, зловмисник прочитає лист і перейде за посиланням. Тиждень перестане бути легким, але, принаймні, ви дізнаєтесь про злом

 

Контроль доступу та фішингові атаки

 

Дослідження Verizon у 2020 році показало: в 26 % дані витекли від інсайдерів. Хакери вивчають співробітників у соцмережах, купують персональні дані і телефонують та представляються системним адміністратором, щоб отримати логін і пароль. А іноді достатньо знайти скривдженого та демотивованого співробітника. Зламати людину легше, ніж сервер: за даними Національного центру кібербезпеки Великобританії, 80 % юридичних компаній повідомили про спроби фішингової атаки в 2017 році.

Систематично перевіряйте користувачів з розширеними правами доступу і обмежуйте доступ до даних, які не використовуються в рамках функціоналу. Деактивуйте акаунти звільнених співробітників. Розкажіть колегам про базові механізми фішингу. Чіткий порядок підпорядкування і формалізація інструкцій — розв’язання проб­леми.

 

Публікації в соцмережах

 

Експрем’єр Австралії запостив в Instagram посадковий талон і через 45 хвилин хакери знайшли його номер паспорта, телефон й отримали доступ до акаунту на сайті авіакомпанії. Люди масово постять фотографії з картками вакцинації, які містять П.І.Б. і дату народження. А після підписання успішної угоди мало хто відмовиться виставити фото з першою сторінкою контракту.

Не будьте відвертими у соцмережах і не викладайте фото документів. Забороніть колегам публікувати фото робочого місця — на задньому плані можуть виявитися конт­ракти, листи в поштовому клієнті, замітки з паролями.

Підписання кредитної угоди з HNB-Bank, хештег #signingcontract

 

Сльози щастя після вакцинації

 

Повторне використання паролів

 

Використовуючи однакові паролі для всіх особистих сервісів, не так важливо, що зламано: акаунт у соціальних мережах або інтернет-банкінг. Збитки ідентичні. Ситуація погіршується, якщо використовувати однаковий пароль для корпоративної пошти і соцмереж.

Використовуйте менеджер паролів і генеруйте складні паролі. Налаштуйте двофакторну аутен­тифікацію для входу в обліковий запис. Використовуйте додаток-аутентифікатор замість SMS-коду. SMS з паролем може бути перехоплена при заміні SIM-карти або через вразливість у протоколі SS7. Регулярно перевіряйте корпоративні і особисті акаунти на предмет витоків за допомогою Have I Been Pwned, pwndb, менеджера паролів у Google Chrome або Safari.

Бази зламаних паролів загальнодоступні

 

Висновки

 

Юристи, які недооцінюють інформаційну безпеку, ризикують стати персонажами кримінальних драм або комедій, як у випадку з власниками Mossack Fonseca. «Панамське досьє» призвело не тільки до відставки прем’єр-міністра Ісландії, а й до виходу стрічки «Пральня», де Моссаку і Фонсеку зіграли Антоніо Бандерас і Ґері Олдман. Засновники подали в суд і зажадали зупинити реліз «Пральні» на Netflix, мотивуючи це тим, що стрічка принижує їхню честь та гідність. Зрозуміло, реліз фільму все одно відбувся, а власники Mossack Fonseca подивились його вже за ґратами.

-->