«Вас хакнули», ч 1.: про кіберзлочини на теренах юрринку

КИЇВ — 10 серпня 2020 року. Світ активно перейшов до digital-еволюції — перебіг його життєдіяльності наразі триває переважно саме на інформаційному полі. Відтак, до питання самозахисту варто підходити вкрай ретельно та комплексно — особливо це стосується великого бізнесу. Для того, аби зрозуміти: навіщо це потрібно та які насправді ризики несуть кіберзлочинці, механізм побудови та підтримки ефективного захисту від цифрових атак, ми розпочинаємо серію матеріалів «Вас хакнули». Разом з Анною Кухар, членкинею Ради Комітету АПУ з питань телекомунікацій, інформаційних технологій та Інтернету, керівницею юридичного департаменту консорціуму Intecracy Group, ідеологом проєкту #IntecracyLawyers, ми спробуємо максимально посприяти самозахисту саме юрбізу на теренах цифрового Всесвіту. Серія перша — вступна.

Передмова & трохи законодавства

— Кіберзлочини в більшості асоціюються з крутими хакерами з кінофільмів, які викривають істинних злодіїв та казнокрадів. Так, американський фільм Єна Софтлі «Хакери» (1995 р.) спровокував хвилю хакерства та фактично зарядив світ інтересом до кіберзлочинів.

В листопаді 2001 року Радою Європи була підписана Конвенція про кіберзлочинність — Україна ратифікувала її в 2006 році. Так почався довгий, тернистий шлях України з розробки та прийняття законодавства щодо кіберзлочинів.

У 2017 році було прийнято Закон України «Про основні засади забезпечення кібербезпеки України» (далі — Закон). Він визначає основні засади та поняття кіберзлочину, кібербезпеки та кібератаки, запроваджує поняття об'єктів критичної інфраструктури, проте не встановлює критеріїв віднесення об'єктів до критичної інфраструктури.

Вже поточний рік ознаменувався черговими спробами вдосконалення законодавства, зокрема, щодо врегулювання сфери критичної інфраструктури та її захисту. За ініціативою Мінекономрозвитку було розроблено та розміщено для публічного обговорення 16.06.2020 р. проєкт закону «Про захист критичної інфраструктури».

Водночас, єдина стратегія щодо кібер- та інфраструктурної безпеки (як, наприклад, в Республіці Молдова), досі не розроблено.

Трохи термінології

Закон визначає кіберзлочини, як суспільно небезпечне винне діяння в кіберпросторі та/або з його використанням. По суті, це злочини, що здійснюються за допомогою комп'ютера або гаджета & Інтернету.

До кіберзлочинів віднесено: незаконні доступ і перехоплення, втручання до даних, зловживання пристроями, шахрайство, пов’язане із комп’ютерами, правопорушення, пов’язані з дитячою порнографією тощо. В ККУ їм присвячено аж чотири статті (ст. 361, ст. 361-1, ст. 361-12, ст. 362). Цікаво, що покарання за такі злочини відносно не значні. Яскравим прикладом є фігурант справи про сумнозвісний вірус Petya, якому загрожував всього лише штраф (від 500 до 1000 неоподатковуваних мінімумів доходів громадян (8500-17000 грн), або виправні роботи на строк до 2 років. Але про це поговоримо згодом.

Наразі ж нас, як потенційно можливих жертв хакерів, цікавить наша кібербезпека та уникнення кіберризиків — тобто захист своїх прав, інтересів та майна від посягань під час використання кіберпростору (зокрема мережі Інтернет та/або інших глобальних мереж передачі даних).

Цифри

За останні п’ять років кількість кіберзлочинів зросла у 2,5 рази (джерело). Згідно з рейтингом NCSI, Україна знаходиться на 29 місці з-поміж усіх країн світу за рівнем готовності протистояти онлайн-загрозам. У порівнянні з Казахстаном, Туркменістаном і Уругваєм — це непоганий показник, але значно гірше, ніж в інших країнах Європи (Тут варто замислитися, куди саме ми хочемо рухатися).

Також, останнім часом істотно зросла кількість кримінальних проваджень у сфері кіберзлочинів, але динаміка реального виявлення злочинців та притягнення їх до відповідальності вельми засмучує.

Разом із тим, самого факту притягнення до відповідальності злочинця буде однозначно замало для відновлення повноцінної роботи та усунення наслідків кібератаки, бо під приціл підпадає ділова репутація, конфіденційна інформація, кошти та майно компанії (як мінімум: комп’ютерна техніка та технологічна інфраструктура).

Про реальні кейси кібератаки в юридичній сфері

І. 2016 рік. Перший і найгучніший скандал — Panama Papers. Відбувся масовий витік конфіденційної інформації щодо компаній і фінансових операцій перших осіб керівництва багатьох країн світу. Держателем інформації була одна з великих міжнародних компаній Mossack Fonseca, на яку (за словами її засновника та керуючого партнера Романа Фонсеки) була здійснена кібератака. Згодом, такий собі «інформатор» John Doe публічно заявив, що саме ним було вилучено та опубліковано інформацію для викриття причетності юридичної компанії до низки корупційних злочинів по всьому світу (джерело).

Наслідки: юридична компанія фактично припинила своє існування. Досі тривають розслідування щодо партнерів юридичної компанії та ряду осіб, які фігурували в документах.

ІІ. І знову 2016 рік. Цього разу жертвою кібератаки стала ще одна міжнародна юркомпанія — Appleby. Хакерам вдалося викрасти документи з бази даних компанії, про що були оперативно повідомлені її клієнти. Хвиля занепокоєння серед них довго не вщухала.

ІІІ. 2017 рік. При кібератаці міжнародної юркомпанії DLA Piper LLP постраждав її український офіс (джерело). Від атаки постраждали сотні комп'ютерів та файлів. Для відновлення доступу до інформації кібертерористи вимагали викуп в обмін на ключі. Згодом було підтверджене часткове відновлення інформації. 

IV. 2017 рік, друга серія. Масштабна кібератака юркомпанії Providence Law firm — хакери вимагали 25 000 дол. США в обмін на відновлення доступу до інформації. Згідно з інформацією ЗМІ, викуп таки було здійснено, та ситуацію це не врятувало. Надії компанії компенсувати викуп за рахунок страхової компанії закінчилися фіаско.

V. Травень 2020 року. Атака на компанію Grubman Shire Meiselas & Sacks Law firm, яка славиться тим, що серед її клієнтів є відомі актори та співаки. Історія ще не дійшла до завершення, тому чекаємо на подальший розвиток подій. Однак, уже відомо, що до рук хакерів потрапило 746 ГБ конфіденційної інформації, яку ті погрожують оприлюднити.

Отже?

Юридичні компанії, зі своїм багажем «компроматів» та інформації про клієнтів, є достатньо звабливим об’єктом для кіберзлочинців. При чому, під загрозою можуть бути як індивідуально-практикуючі адвокати, так і великі юридичні компанії.

Тут не завадить нагадати про адвокатську таємницю та вимоги ст.22 Закону України «Про адвокатуру та адвокатську діяльність» — адвокат, адвокатське бюро чи об’єднання зобов’язані забезпечити умови, що унеможливлюють доступ сторонніх осіб до адвокатської таємниці або її розголошення. Відтак, постраждалий від кібератаки адвокат теоретично ризикує втратити статус та свідоцтво, якщо буде доказано, що ним не було забезпечено належних умов.

Як бачимо, масштаб наслідків кібератак на юридичні компанії має широкий спектр: від шантажу та вимагання коштів до пошкодження репутації компанії та її знищення в цілому.

Однозначно в цьому випадку дешевше запобігти катастрофі, ніж усувати її наслідки. Як захистити свою юридичну компанію від кіберзлочинів — читайте вже згодом, у наступній серії.

To be continued…

Do you have an interesting idea for an event?