Кібервразливість диктує правила цифрової гігієни для адвокатів, - воркшоп

Адвокатська практика неможлива без використання цифрових технологій. Водночас зростаючі кіберзагрози ставлять під удар конфіденційність клієнтської інформації та професійну незалежність адвокатів.

Як захистити себе та своїх клієнтів у цифровому просторі — це питання стало головним на другому воркшопі «Недопущення порушень гарантій адвокатської діяльності. Інструменти протидії порушенням та незаконному втручанню в адвокатську діяльність» із серії заходів, присвячених захисту адвокатської діяльності.

Подію, яка зібрала понад сорок адвокатів, організували UNBA NextGen, Комітет захисту прав адвокатів та гарантій адвокатської діяльності НААУ та Комітет з питань захисту прав людини.

Голова Молодіжного комітету Ігор Андрєєв окреслив нові виклики цифрової епохи для адвокатури. «Сьогодні адвокат стає мішенню не лише у фізичному світі, але й у віртуальному просторі. Кіберзлочинці, недобросовісні правоохоронці та навіть конкуренти можуть використовувати цифрові інструменти для підриву нашої професійної діяльності, - відзначив він. - Ми маємо сформувати у молодих адвокатів цифрову грамотність як невід'ємну частину професійних компетенцій. Адже захист клієнтських даних — це не технічне питання, а етичний обов'язок кожного адвоката. Наша платформа воркшопів говорить мовою практики: ми навчаємо не лише теорії, але й реальним навичкам виживання у цифровому середовищі».

Базові принципи, яких має дотримуватися кожен практикуючий адвокат, окреслив голова Комітету захисту прав адвокатів та гарантій адвокатської діяльності НААУ Євгеній Солодко. По-перше, необхідно добре знати алгоритм дій під час обшуку, затримання чи виклику на допит. По-друге, важливо вміти комунікувати з правоохоронцями без емоцій та в межах правового поля — лише за таких умов можна зберегти свою репутацію. По-третє, коли порушення гарантій діяльності все ж сталося, його ігнорування є найгіршим варіантом. Кожен випадок слід фіксувати і передавати до органів адвокатського самоврядування. А з цього випливає четверте правило: адвокат не повинен залишатися наодинці із загрозою.

Своїми знаннями про захист професійної інформації від цифрових атак та несанкціонованого доступу поділився «білий хакер» з понад 15-річним досвідом у сфері інформаційної безпеки Микита Книш.

Для загального розуміння масштабів проблеми він повідмомив, що за даними Cisco, у приблизно 86% компаній щонайменше одна людина відкривала фішинговий лінк, а фішинг «відповідає» за 90% випадків несанкціонованого доступу до корпоративних даних.

Експерт детально розглянув основні способи, якими може здійснюватися незаконне спостереження за адвокатами:

1. Прослуховування правоохоронцями внаслідок перевищення службових повноважень або нецільового використання матеріалів НСРД.

2.  Дублювання SIM-карти через мобільного оператора.

3.  Фейкові базові станції для перехоплення мобільного зв'язку.

4.  Зламування персональних кабінетів в онлайн-сервісах.

5.  Комерційні хакерські сервіси як послуга.

М.Книш наголосив, що SMS не є надійним засобом для забезпечення двофакторної автентифікації (2FA), що особливо актуально для юристів, які потребують максимального захисту своїх комунікацій.

Якщо адвокат підозрює незаконне цифрове спостереження, не слід панікувати чи поспішати з висновками. Також не слід викидати потенційні докази чи передавати підозрілі пристрої третім особам. Навпаки, необхідно зберігати все обладнання для подальшого професійного аналізу.

Експерт також нагадав критерії надійності паролів: не менше 16 символів, що включають великі та малі літери, цифри та символи. Критично важливо використовувати унікальні паролі для кожного акаунта.

Обов'язковим мінімумом для захисту М.Книш назвав використання:

• 2FA (двофакторна автентифікація), але не через SMS;
• PGP — для шифрування електронної пошти;
• VPN — для захищеного інтернет-з’єднання;
• VeraCrypt — для шифрування файлів та документів;
• Signal — для безпечного обміну повідомленнями;

Також для збереження ключових даних важливо регулярно робити їх бекапи.

Що стосується антивірусного захисту, то він залежить від операційної системи: Для Windows кращими вважаються американські антивіруси, зокрема Bitdefender. Експерт категорично не рекомендує ESET, попри те, що його рекламує Мінцифри. «Божественним софтом, який видаляє вразливості» на iOS, М.Книш назвав CleanMyMac від українських розробників MacPaw. А от на Linux антивіруси не потрібні. Більш важливим є якісний фаєрвол та контроль доступу. Перевірки необхідно проводити регулярно, але не рідше, ніж раз на місяць.

Найбільш ефективний метод пошуку активних підслуховуючих пристроїв — візуальний детальний огляд, - підкреслив експерт. Але пасивні пристрої виявити практично неможливо.

Для професійного пошуку «жучків» використовуються детектори електромагнітного поля, спеціалізовані сканери, які виявляють закладні пристрої, аналізуються системні логи мобільних пристроїв, перевіряється історія геолокації мобільних пристроїв, моніториться мережевий трафік.

Завершуючи виступ, М.Книш наголосив на критичній важливості постійного (хоча б раз на півроку) оновлення знань з цифрової безпеки.

Етичні аспекти цифрової безпеки крізь призму Правил адвокатської етики дослідив член Ради Комітету захисту прав адвокатів та гарантій адвокатської діяльності Артем Захаров.

«У цифровому світі принципи статей 8, 18, 19 ПАЕ набувають нового звучання, — наголосив він. — Адвокат зобов'язаний залишатися незалежним від клієнта, але сьогодні ця незалежність включає й захист від цифрових маніпуляцій та кіберзагроз. Ми маємо інформувати клієнтів не лише про правові наслідки їхніх дій, але й про цифрові ризики».

Артем Захаров підкреслив кілька ключових аспектів цифрової етики для адвокатів:

По-перше, це згода на цифрову комунікацію. Клієнт має розуміти ризики використання незахищених каналів зв'язку. Тож адвокат зобов'язаний роз'яснити, чому небезпечно обговорювати справу через Viber або електронну пошту без шифрування.

По-друге, - цифрова прозорість у гонорарах. Поряд із безпосередньо правничими послугами, слід установити правила щодо оплати їх захисту — від VPN до шифрування документів. Клієнт має знати, що кібербезпека є частиною професійної послуги.

По-третє, - відмовитися від небезпечних доручень. Неприпустимо приймати справи, де клієнт вимагає використання скомпрометованих платформ або відмовляється дотримуватися базових правил цифрової безпеки.

З урахуванням усього цього, А.Захаров рекомендує  розробити власну цифрову політику взаємодії з клієнтами, яка включатиме вимоги до безпечної комунікації та зберігання даних.

Особливо вразливими категоріями документів є проекти процесуальних документів, внутрішні аналітичні записки, узагальнення доказів, варіанти стратегій дій у справі. На цьому наголосила голова Комітету НААУ з питань захисту прав людини Ганна Колесник.

Адже втрата або компрометація документів клієнта (довіреностей, особистих документів, виписок, листування) підриває репутацію та дає підстави для притягнення адвоката до дисциплінарної відповідальності.

Г.Колесник підкреслила важливість не лише технічних, але й організаційних заходів — ведення журналів передачі документів, застосування політики обмеженого доступу.

Особливу увагу слід приділяти залученню до роботи помічників, стажерів та практикантів, які можуть не розуміти вимог конфіденційності. Прийняття на роботу має супроводжуватися підписанням угод про нерозголошення та запровадженням внутрішніх політик доступу.

Аби першим отримувати новини адвокатури, підпишіться на канал Національної асоціації адвокатів України у Telegram.