Огляд ЗМІ, Правовий коментар

Захист адвокатської таємниці у цифрову епоху

Автор: Ігор Гордусь, адвокат Evrika Law

Джерело: ADVOKAT POST

Про захист адвокатської таємниці у цифрову епоху розповів адвокат Evrika Law, член Комітету НААУ з питань інвестиційної діяльності та приватизації Ігор Гордусь під час заходу з підвищення кваліфікації адвокатів, що відбувся у Вищій школі адвокатури НААУ.

Лектор докладно проаналізував разом з учасниками захист адвокатської таємниці у цифрову епоху, а саме:

  1. Цифрові ризики конфіденційності.
  2. Клієнтська комунікація.
  3. Файли, документи і передача даних.
  4. Безпека месенджерів.
  5. Соцмережі.
  6. Офісна безпека.
  7. Реагування на інциденти.
  8. Резервне копіювання.
  9. Аналіз пристроїв і цифрова гігієна.

У рамках характеристики захисту адвокатської таємниці акцентовано на наступному:

  1. Цифрові ризики конфіденційності

Цифрові ризики для адвокатської таємниці обумовлені низкою основних загроз, серед яких найбільш поширеними є:

  • Людський фактор: Спричиняє 60% витоків даних і включає недбалість, випадкові помилки та витік інформації через співробітників.
  • Технічні збої: Це відмова обладнання або помилки в програмному забезпеченні.
  • Фішинг: Обман, спрямований на отримання паролів та іншої конфіденційної інформації.
  • Злам пошти: Несанкціонований доступ до електронного листування.
  • Недбале поводження з файлами: Незахищене зберігання і передача документів.

Окрему загрозу становлять метадані — приховані дані про файл (DOCX, PDF, JPG та ін.), що автоматично зберігаються і містять інформацію про автора, час створення/редагування, програмне забезпечення та геолокацію. Для адвоката метадані небезпечні тим, що можуть розкрити персональні дані клієнтів, реальні імена авторів, локацію та час роботи, а також пристрої, якими користується адвокат.

  1. Клієнтська комунікація

Основні правила комунікації з клієнтами для адвоката включають:

  • Уникати незахищених каналів: Відмовлятися від передачі конфіденційної інформації через відкриті канали комунікації.
  • Використовувати E2EE месенджери: Застосування месенджерів із наскрізним шифруванням (End-to-end encryption) гарантує, що повідомлення можуть прочитати лише адвокат і його клієнт.
  • Шифрувати пошту: Використовувати захищені поштові сервіси або додаткове шифрування файлів.

Для захисту електронної пошти не рекомендовано використовувати публічні сервіси, як-от Gmail, Yahoo, Outlook, оскільки вони:

  • Відсутність E2EE: Наскрізне шифрування відсутнє, що робить листи вразливими до перехоплення.
  • Сканування вмісту: Постачальники можуть сканувати вміст пошти для таргетованої реклами.
  • Ризик MITM-атак: Є вразливість до атак “людина посередині”, особливо в публічних мережах.

Як захищені альтернативи рекомендовано:

  • ProtonMail: Швейцарський сервіс із шифруванням, захищений законами про приватність, з можливістю самознищення листів.
  • Tutanota: Повне E2E шифрування всієї пошти та календаря, не збирає метадані, сервери в Німеччині.
  1. Файли, документи і передача даних

1. Шифрування файлів:

Для захисту конфіденційних документів рекомендовано використовувати:

  • 7zip: Безкоштовний архіватор, що підтримує потужне шифрування AES-256 (неможливо зламати перебором). Це кросплатформне рішення з відкритим кодом.

Важлива порада: паролі до зашифрованих файлів потрібно передавати окремо від файлу та іншим каналом зв’язку.

  • VeraCrypt: Безкоштовний інструмент з відкритим кодом для створення зашифрованих контейнерів та дисків, який дозволяє зберігати конфіденційні файли на будь-якому носії. Перевагою над BitLocker є мультиплатформність, незалежність від Microsoft, додаткові алгоритми шифрування та можливість створення прихованих томів.
  1. Передача файлів онлайн:

Для безпечної передачі файлів онлайн рекомендовано спеціалізовані захищені сервіси, а не Telegram:

  • OnionShare: Інструмент для анонімного обміну файлами через мережу Tor. Створює тимчасовий веб-сервер на вашому комп’ютері, не зберігаючи файли на сторонніх серверах.
  • Wormhole: Сервіс для захищеної передачі файлів напряму від відправника до отримувача з наскрізним шифруванням, використовуючи унікальний одноразовий код.
  1. Хмарні сховища:

Хмарні сервіси, як-от Google Drive та Dropbox, несуть ризики, оскільки:

  • Відсутність клієнтського шифрування: Дані шифруються лише під час передачі, але не на пристрої користувача.
  • Доступ адміністраторів: Технічний персонал провайдера може отримати доступ до файлів.
  • Сканування вмісту: Провайдери можуть аналізувати вміст.

Рекомендовано сховища з технологією “zero-knowledge” (нульові знання), де лише користувач має ключі, і провайдер фізично не може отримати доступ до розшифрованої інформації. Приклади: ProtonDrive та Tresorit.

  1. Безпека месенджерів

Для адвокатської практики рекомендовані месенджери з відкритим кодом та E2EE шифруванням за замовчуванням:

  • Signal: Визнаний експертами як найбезпечніший. Його переваги: повне End-to-end encryption (всі повідомлення, дзвінки, вкладення), Forward secrecy (захист попередніх повідомлень навіть при компрометації ключів) та мінімум метаданих.
  • Threema: Швейцарський месенджер з акцентом на анонімність (не вимагає номеру телефону чи пошти), нульові знання (розробники не мають доступу до листування) та локальне резервне копіювання без хмарних сервісів.
  • Месенджери, які не рекомендовані для конфіденційної комунікації:

 

  • WhatsApp: Хоча має E2EE за замовчуванням, він збирає багато даних і вразливий до бекапів. Рекомендовано використовувати “з обережністю”.
  • Telegram: Шифрування лише в Secret Chats, збирає метадані та є уразливим до SIM-атак.
  • Viber: E2EE, але не відкритий код, збирає багато даних і має низький рівень захисту.
  1. Соцмережі

Соцмережі становлять ризик витоку інформації, оскільки створюють цифровий слід, який може бути використаний зловмисниками (OSINT-аналіз).

Основні ризики:

  • Контакти та зв’язки: Розкривають професійні зв’язки та потенційних клієнтів.
  • Геолокація: Чекіни, геотеги фото та місцезнаходження офісу.
  • Сторіз та публікації: Ризик випадкового потрапляння конфіденційних матеріалів у кадр.
  • Професійні зв’язки (наприклад, LinkedIn): Розкривають кар’єру, зв’язки з колегами та клієнтами.
  • Деанонімізація через активність: Лайки, коментарі та підписки створюють унікальний “відбиток пальця”, який можна використати для ідентифікації.

Як налаштувати безпечний профіль:

  • Закрийте свій профіль: Встановіть приватний/закритий статус профілю, щоб публікації були доступні лише затвердженим користувачам.
  • Обмежте коло контактів: Регулярно переглядайте список друзів/підписників і обмежуйте доступ до дописів.
  • Вимкніть геолокацію: Вимкніть автоматичне додавання геоданих до фото та дописів і ніколи не позначайте своє місцезнаходження в реальному часі.
  • Налаштуйте сторіз: Обмежте аудиторію сторіз лише близькими контактами.
  • Також, перед надсиланням чи публікацією фото обов’язково очищуйте метадані EXIF (геолокація, пристрій, автор), використовуючи такі інструменти, як ExifCleaner або mat2.
  1. Офісна безпека

Офісна безпека охоплює захист мережі, пристроїв та контролю доступу.

Безпечна мережа Wi-Fi:

  • WPA3 шифрування: Використовувати найновіший стандарт безпеки WPA3.
  • Гостьова мережа: Створити окрему мережу для клієнтів та відвідувачів, обмеживши доступ до офісних пристроїв.
  • Сегментація мережі: Ізолювати робочі станції та сервери з адвокатською таємницею від публічної частини мережі.
  • Захист маршрутизатора: Регулярно оновлювати прошивку та змінювати стандартні логін/пароль адміністратора.

Контроль пристроїв:

  • Політика паролів: Паролі повинні бути мінімум 12 символів, містити цифри, великі/малі літери та спеціальні символи.
  • BIOS/UEFI захист: Встановлення пароля на вхід та вимкнення можливості завантаження з зовнішніх носіїв для запобігання запуску модифікованої ОС.
  • Контроль доступу: Індивідуальні акаунти для кожного працівника з мінімально необхідними правами; заборона спільних акаунтів; двофакторна автентифікація (2FA) для адміністративних акаунтів; автоматичне блокування сесії після 5 хвилин неактивності.
  • Захищені носії: Заборона незашифрованих носіїв. Рекомендовано використовувати

Kingston IronKey (апаратно захищена флешка) або BitLocker to Go (вбудований інструмент Windows для шифрування зовнішніх носіїв).

  1. Реагування на інциденти

План реагування на злам:

  • Відключити від мережі. Від’єднайте скомпрометований пристрій від інтернету та локальної мережі для запобігання подальшому поширенню.
  • Вияснити обсяг шкоди. Проаналізуйте, які дані могли бути скомпрометовані та які системи уражені.
  • Почати документування. Задокументуйте всі дії та знахідки, зробіть скріншоти підозрілої активності.
  • Повідомити відповідальних осіб. Сповістіть керівництво, службу безпеки та, за необхідності, клієнтів.
  1. Резервне копіювання

Принцип резервування 3-2-1 це золоте правило надійного резервного копіювання, що захищає від більшості сценаріїв втрати інформації:

  • 3 Копії даних: Створювати щонайменше три копії всіх важливих даних (оригінал + дві резервні копії).
  • 2 Різні носії: Зберігати копії на різних типах носіїв (SSD, HDD, хмарне сховище).
  • 1 Віддалена копія: Одна копія повинна зберігатися в іншому фізичному місці (наприклад, шифроване хмарне сховище, як-от ProtonDrive або Tresorit), щоб захистити дані від локальних загроз (пожежа, крадіжка).

Програми для бекапів:

  • Duplicati: Безкоштовна програма з відкритим кодом для створення шифрованих бекапів (AES-256), підтримує інкрементальні копії та хмарні сховища.
  • Cobian Backup: Простий інструмент для автоматичного резервного копіювання на Windows, підтримує гнучке планування та різні типи копій.
  • Borg Backup: Потужний дедуплікуючий архіватор з шифруванням для досвідчених користувачів на Linux/macOS/WSL.
  1. Аналіз пристроїв і цифрова гігієна

Цифрова гігієна — це постійний процес регулярних перевірок, який попереджає більшість інцидентів:

Щотижневий огляд безпеки (перевірка паролів, оновлення).

  • Встановлення системних оновлень.
  • Перегляд дозволів застосунків (камера, мікрофон, локація).
  • Сканування пристроїв на наявність шкідників.
  • Мінімізація цифрового сліду (видалення непотрібного).

Перевірка смартфонів:

Смартфони є основним інструментом комунікації з клієнтами і можуть збирати конфіденційні дані. Регулярна перевірка дозволяє виявити підозрілі додатки та надмірні дозволи.

  • Android (Exodus Privacy): Безкоштовний інструмент для аналізу прав додатків та вбудованих трекерів.
  • iOS (MVT – Mobile Verification Toolkit): Інструмент для аналізу безпеки пристроїв iOS на наявність слідів шпигунського ПЗ через командний рядок та резервну копію.

Перевірка ПК на шкідники:

Зараження комп’ютера може призвести до витоку адвокатської таємниці. Загальний алгоритм перевірки включає:

  • Повне сканування антивірусом: Щонайменше раз на тиждень (наприклад, ESET Internet Security або Malwarebytes).
  • Перевірка автозапуску: Використання Autoruns для виявлення прихованих програм, що запускаються при старті.
  • Аналіз підозрілої активності: Перевірка процесів, що споживають ресурси без причини.