Техно IT-бізнес Як LegalTech-сервіси дбають про безпеку даних своїх клієнтів

Як LegalTech-сервіси дбають про безпеку даних своїх клієнтів

Автор:

Михайло Года

16:10, 8 жовтня 2022

6 хв

Читать новость на русском

Безпека LegalTech-продуктів, як це виглядає / Unsplash

Пандемія COVID-19 та повномасштабна війна в Україні змусила чи не кожну сферу діяльності звернути свою увагу на IT-технології: перехід до дистанційної роботи, використання різноманітних сервісів та профільних програм. Не винятком стала і юриспруденція. Однак переведення процесів в онлайн має свої підводні камені.

Головними проблемами є зростання ризиків збереження даних, доступу до продукту чи взагалі кібератак, які можуть призвести втрати даних клієнтів і ресурсів. За останні пів року війни Україну атакували ворожі хакери більш ніж 1000 разів. Крім урядових та оборонних секторів, значним чином постраждали фінансові та комерційні організації. Середня вартість витоку даних у світі у 2022 році зросла на 2,6% – з 4,24 мільйона доларів до 4,35 мільйона доларів.

Не пропустіть Що ви робите не так: 8 помилок кіберзахисту, яких припускається бізнес

Саме тому безпека в мережі стала одним з найголовніших викликів у роботі LegalTech-продуктів. Спеціально для 24 каналу директор ActiveLex Володимир Іванов розповів якою повинна бути безпека таких продуктів і чому це справді важливо.

Що таке безпека LegalTech-продуктів

Треба щонайменше 20 років, аби створити позитивну репутацію і усього 5 хвилин, аби її втратити. Не можливо не погодитися з цією фразою у контексті кібербезпеки для LegalTech-сервісів.

Причин тут кілька. Перша: основна аудиторія таких продуктів – юристи, нотаріуси, адвокати, які, користуючись LegalTech-послугами, так чи інакше завантажують та обробляють персональні дані клієнтів або просто шукають чи зберігають важливу інформацію. Друга: доступ до ресурсів і швидкість їхньої роботи. Від першого та другого часто залежить рішення суду, посвідчення чи завірення певного доручення. Тож збій з безпекою LegalTech-продукту дійсно може спричинити кризу репутації та довіри.

Сьогодні кібербезпека для бізнесу та сфери ІТ-продуктів – далеко не зламані паролі. Насамперед це:

Доступ користувачів до сайту, додатка, платформи;
Безпека введених і збережених даних при роботі безпосередньо з самим продуктом (скажімо, історія пошуку в браузері може бути більш конфіденційніша, а її витік мати згубніший вплив, ніж доступ до паролю банківської картки);
Безпека пошт;
Безпека домену й серверів;
Безпека доступу до хмари чи хмарних сервісів;
Безпека віддаленого доступу;
Безпека партнерів та контрагентів (протягом 2021-го зловмисники застосовували метод, коли атакували не свою кінцеву ціль, а когось з їхнього ланцюга постачання і в такий спосіб отримували доступ до сайту, програми тощо).

Тобто, як бачимо, безпека ІТ-продуктів – це набагато об’ємніша структура, ніж лише витік даних.

Приміром, DDOS-атаки перешкоджають доступу користувачів до сайтів чи додатків: перевантажують канал і програма чи платформа не працюють. Так сталося в Україні з державними та великими приватними компаніями за декілька тижнів до повномасштабного вторгнення Росії.

Найбільші державні українські банки зазнали DDOS-атак. Наприклад, користувачі ПриватБанку зіштовхнулися з проблемами некоректної роботи сервісів та сайту компанії. Теж саме було із застосунком Дія, державними реєстрами, сайтами Верховної Ради, уряду тощо. До сайтів не було доступу, з відкритими даними неможливо було працювати. А юристам потрібен був терміновий витяг рішення суду, щоб будувати захист, або адвокату – доступ до тексту закону, чи нотаріусу – до оформлення документа. Це – все важливі процеси, які кожному спеціалісту окремо не можна було відтерміновувати.

Розв'язанням проблеми для представників сфери юриспруденції стали якраз LegalTech-продукти, де зберігаються повні тексти законів, актів, витягів з реєстрів, відомчих актів. Збільшення користувачів і запитів на демоверсію ми відстежили й на своїй платформі Lex, де збираємо й обробляємо всі необхідні для роботи юристів, адвокатів і нотаріусів документи.

Тобто здавалося б просто доступ до того чи іншого ресурсу впливає ланцюговою реакцією на дуже багато секторів і автоматично призводить до збоїв у роботі низки людей.

Як гарантувати безпеку LegalTech-сервісів

За кордоном юридичні компанії чи юристи у великих компаніях, приймаючи рішення про ту чи іншу CRM, програму або ж сервіс для оптимізації роботи юристів, завжди перевіряють розробників щодо безпекових характеристик. Точніше, цим займається служба безпеки, яка зокрема, особливо звертає увагу на:

Наявність захищених серверів. Наприклад, якщо йдеться про Україну, то захищеними вважаються сервери за її межами. Адже в них банально може влучити ракета, вони опиняться під обстрілами чи знеструмиться електроживлення. Тому наша інформаційно-аналітична платформа для юристів розгорнута та працює на серверах німецького дата-центру. Оскільки автоматизація процесів і надійний як фізичний, так і кіберзахист – наші пріоритети.

Можливість бекапування. Надзвичайно важлива функція збереження й копіювання даних, яка проводиться за схемою "3-2-1" – три копії даних, які зберігаються на двох різних типах носіїв, один з яких в окремому місці.

Відповідність LegalTech-продуктів загальному регламенту захисту даних (GDPR). Це – постанова ЄС, якою Європарламент посилює захист персональних даних. Недотримання цього регламенту загрожує компаніям мільйонними штрафами. Тож навіть не збираючи, а лише обробляючи персональні дані у LegalTech-сервісах потрібно стежити за максимальним захистом отриманої інформації.

Також служби безпеки юркомпаній звертають увагу на репутацію стартапу чи продукту, підрядників, історію діяльності тощо.

Безперервне навчання

Безпека – це завжди двосторонній процес. Обізнані користувачі менше відкривають фішингові листи, клієнти, які слідують прописаним правилам безпеки, самі можуть повідомити про шахрайство. Навчатися кібербезпеці ніколи не рано й не пізно, мало того, знання періодично потрібно оновлювати. За даними компанії Solicitors Regulation Authority, 20% опитаних ними фірм жодного разу не приділяли уваги відповідному навчанню персоналу. А 50% не протоколювали тематичні зустрічі і таким чином не мають змоги вдосконалити та відновити у разі потреби знання. Наразі діють міжнародні програми з навчання кібербезпеки, розроблені спеціально для юридичних фірм.

Читайте на сайті Сучасна IT-лабораторія з комп'ютерами Apple запрацювала для студентів ЛНУ імені Івана Франка

Особливо це є важливим для тих, хто працює віддалено. Цікавим є досвід розроблення окремих каналів зв’язку юристів з IT-фахівцями, які у разі чого можуть оперативно повідомити про кіберзагрозу. Ще раз варто нагадати про своєчасне оновлення захисного програмного забезпечення та увімкнення шифрування, двофакторна ідентифікація та інші важливі моменти.

З ростом попиту на програми LegalTech зростає і ризик кібератак. Своєчасний захист та запобігання ймовірним загрозам дозволяє зберегти персональні дані клієнтів і не втратити багаторічну репутацію компаній. Перевірка постачальників IT-продуктів та навчання персоналу основам кібербезпеки з урахуванням сучасних викликів – головні запоруки успіху.