Як LegalTech-сервіси дбають про безпеку даних своїх клієнтів
Пандемія COVID-19 та повномасштабна війна в Україні змусила чи не кожну сферу діяльності звернути свою увагу на IT-технології: перехід до дистанційної роботи, використання різноманітних сервісів та профільних програм. Не винятком стала і юриспруденція. Однак переведення процесів в онлайн має свої підводні камені.
Головними проблемами є зростання ризиків збереження даних, доступу до продукту чи взагалі кібератак, які можуть призвести втрати даних клієнтів і ресурсів. За останні пів року війни Україну атакували ворожі хакери більш ніж 1000 разів. Крім урядових та оборонних секторів, значним чином постраждали фінансові та комерційні організації. Середня вартість витоку даних у світі у 2022 році зросла на 2,6% – з 4,24 мільйона доларів до 4,35 мільйона доларів.
Саме тому безпека в мережі стала одним з найголовніших викликів у роботі LegalTech-продуктів. Спеціально для 24 каналу директор ActiveLex Володимир Іванов розповів якою повинна бути безпека таких продуктів і чому це справді важливо.
Що таке безпека LegalTech-продуктів
Треба щонайменше 20 років, аби створити позитивну репутацію і усього 5 хвилин, аби її втратити. Не можливо не погодитися з цією фразою у контексті кібербезпеки для LegalTech-сервісів.
Причин тут кілька. Перша: основна аудиторія таких продуктів – юристи, нотаріуси, адвокати, які, користуючись LegalTech-послугами, так чи інакше завантажують та обробляють персональні дані клієнтів або просто шукають чи зберігають важливу інформацію. Друга: доступ до ресурсів і швидкість їхньої роботи. Від першого та другого часто залежить рішення суду, посвідчення чи завірення певного доручення. Тож збій з безпекою LegalTech-продукту дійсно може спричинити кризу репутації та довіри.
Сьогодні кібербезпека для бізнесу та сфери ІТ-продуктів – далеко не зламані паролі. Насамперед це:
- Доступ користувачів до сайту, додатка, платформи;
- Безпека введених і збережених даних при роботі безпосередньо з самим продуктом (скажімо, історія пошуку в браузері може бути більш конфіденційніша, а її витік мати згубніший вплив, ніж доступ до паролю банківської картки);
- Безпека пошт;
- Безпека домену й серверів;
- Безпека доступу до хмари чи хмарних сервісів;
- Безпека віддаленого доступу;
- Безпека партнерів та контрагентів (протягом 2021-го зловмисники застосовували метод, коли атакували не свою кінцеву ціль, а когось з їхнього ланцюга постачання і в такий спосіб отримували доступ до сайту, програми тощо).
Тобто, як бачимо, безпека ІТ-продуктів – це набагато об’ємніша структура, ніж лише витік даних.
Приміром, DDOS-атаки перешкоджають доступу користувачів до сайтів чи додатків: перевантажують канал і програма чи платформа не працюють. Так сталося в Україні з державними та великими приватними компаніями за декілька тижнів до повномасштабного вторгнення Росії.
Найбільші державні українські банки зазнали DDOS-атак. Наприклад, користувачі ПриватБанку зіштовхнулися з проблемами некоректної роботи сервісів та сайту компанії. Теж саме було із застосунком Дія, державними реєстрами, сайтами Верховної Ради, уряду тощо. До сайтів не було доступу, з відкритими даними неможливо було працювати. А юристам потрібен був терміновий витяг рішення суду, щоб будувати захист, або адвокату – доступ до тексту закону, чи нотаріусу – до оформлення документа. Це – все важливі процеси, які кожному спеціалісту окремо не можна було відтерміновувати.
Розв’язанням проблеми для представників сфери юриспруденції стали якраз LegalTech-продукти, де зберігаються повні тексти законів, актів, витягів з реєстрів, відомчих актів. Збільшення користувачів і запитів на демоверсію ми відстежили й на своїй платформі Lex, де збираємо й обробляємо всі необхідні для роботи юристів, адвокатів і нотаріусів документи.
Тобто здавалося б просто доступ до того чи іншого ресурсу впливає ланцюговою реакцією на дуже багато секторів і автоматично призводить до збоїв у роботі низки людей.
Як гарантувати безпеку LegalTech-сервісів
За кордоном юридичні компанії чи юристи у великих компаніях, приймаючи рішення про ту чи іншу CRM, програму або ж сервіс для оптимізації роботи юристів, завжди перевіряють розробників щодо безпекових характеристик. Точніше, цим займається служба безпеки, яка зокрема, особливо звертає увагу на:
Наявність захищених серверів. Наприклад, якщо йдеться про Україну, то захищеними вважаються сервери за її межами. Адже в них банально може влучити ракета, вони опиняться під обстрілами чи знеструмиться електроживлення. Тому наша інформаційно-аналітична платформа для юристів розгорнута та працює на серверах німецького дата-центру. Оскільки автоматизація процесів і надійний як фізичний, так і кіберзахист – наші пріоритети.
Можливість бекапування. Надзвичайно важлива функція збереження й копіювання даних, яка проводиться за схемою “3-2-1” – три копії даних, які зберігаються на двох різних типах носіїв, один з яких в окремому місці.
Відповідність LegalTech-продуктів загальному регламенту захисту даних (GDPR). Це – постанова ЄС, якою Європарламент посилює захист персональних даних. Недотримання цього регламенту загрожує компаніям мільйонними штрафами. Тож навіть не збираючи, а лише обробляючи персональні дані у LegalTech-сервісах потрібно стежити за максимальним захистом отриманої інформації.
Також служби безпеки юркомпаній звертають увагу на репутацію стартапу чи продукту, підрядників, історію діяльності тощо.
Безперервне навчання
Безпека – це завжди двосторонній процес. Обізнані користувачі менше відкривають фішингові листи, клієнти, які слідують прописаним правилам безпеки, самі можуть повідомити про шахрайство. Навчатися кібербезпеці ніколи не рано й не пізно, мало того, знання періодично потрібно оновлювати. За даними компанії Solicitors Regulation Authority, 20% опитаних ними фірм жодного разу не приділяли уваги відповідному навчанню персоналу. А 50% не протоколювали тематичні зустрічі і таким чином не мають змоги вдосконалити та відновити у разі потреби знання. Наразі діють міжнародні програми з навчання кібербезпеки, розроблені спеціально для юридичних фірм.
Особливо це є важливим для тих, хто працює віддалено. Цікавим є досвід розроблення окремих каналів зв’язку юристів з IT-фахівцями, які у разі чого можуть оперативно повідомити про кіберзагрозу. Ще раз варто нагадати про своєчасне оновлення захисного програмного забезпечення та увімкнення шифрування, двофакторна ідентифікація та інші важливі моменти.
З ростом попиту на програми LegalTech зростає і ризик кібератак. Своєчасний захист та запобігання ймовірним загрозам дозволяє зберегти персональні дані клієнтів і не втратити багаторічну репутацію компаній. Перевірка постачальників IT-продуктів та навчання персоналу основам кібербезпеки з урахуванням сучасних викликів – головні запоруки успіху.
Джерело: 24 канал