Основи цифрової безпеки для адвокатів
Про основи цифрової безпеки для адвокатів розповів адвокат АО «EvrikaLaw», член Комітету з питань інвестиційної діяльності та приватизації Ігор Гордусь під час заходу з підвищення кваліфікації адвокатів, що відбувся у Вищій школі адвокатури НААУ.
Матеріали заходів
21.08.2025

Лектор докладно проаналізував разом з учасниками основи цифрової безпеки для адвокатів, а саме:

  • 1. Цифрові загрози.
  • 2. Фішинг та соціальна інженерія.
  • 3. Захист електронної пошти.
  • 4. Браузерна безпека.
  • 5. Безпечне використання пристроїв.
  • 6. Резервне копіювання.
  • 7. Публічний Wi-Fi.
  • 8. Захист акаунтів у месенджерах.

У рамках характеристики цифрової безпеки для адвокатів акцентовано на наступному:

1. Цифрові загрози

Основні типи загроз:

  1. Кібератаки.

Цілеспрямовані атаки на IT інфраструктуру: шкідливе ПЗ, DDoS-атаки, віруси шифрувальники, які блокують доступ до даних.

  1. Несанкціонований доступ.

Злам акаунтів, підбір паролів, крадіжка облікових даних, використання незахищених мереж для доступу до інформації.

  1. Витік даних.

Ненавмисне розголошення через небезпечні комунікації, втрата пристроїв, незахищене зберігання чутливої інформації.

Юридичні наслідки для адвоката:

  • Дисциплінарна відповідальність. Порушення адвокатської таємниці є грубим порушенням правил адвокатської етики, що може призвести до дисциплінарного провадження та позбавлення права на заняття адвокатською діяльністю.
  • Матеріальні збитки. Клієнт має право вимагати відшкодування матеріальної та моральної шкоди, завданої розголошенням конфіденційної інформації. Страхування професійної відповідальності не завжди покриває такі випадки. Штрафи за порушення законодавства. Витрати на ліквідацію наслідків інциденту. Судові позови клієнтів.
  • Репутаційні втрати. Найскладніше відновити професійну репутацію. Втрата довіри клієнтів, колег та партнерів може мати довгострокові наслідки для практики адвоката чи юридичної фірми в цілому. Втрата клієнтів. Зниження вартості послуг. Виключення з професійних асоціацій.

2. Фішинг та соціальна інженерія

Фішинг – методи маніпуляції, які використовують зловмисники для отримання конфіденційної інформації або несанкціонованого доступу до даних адвокатів та їхніх клієнтів.

Фішинг:

  • Підроблені листи. Імітація повідомлень від колег, клієнтів або державних органів з терміновими запитами.
  • Підозрілі посилання. Фішингові URL-адреси, замасковані під легітимні ресурси судів чи реєстрів.
  • Маніпуляція страхом. Створення відчуття терміновості та загрози для спонукання до необдуманих дій.
  • Шкідливі вкладення. Заражені документи під виглядом судових рішень, контрактів чи законопроєктів.

Соціальна інженерія – маніпуляція людьми з метою отримання конфіденційної інформації або доступу до закритих систем. На відміну від технічних атак, націлена на психологічні слабкості людини.

Поширені техніки соціальної інженерії:

  • Претекстинг. Видавання себе за знайому особу або посадовця для отримання привілейованої інформації.
  • Quishing. Використання QR-кодів для перенаправлення на фішингові сайти.
  • Shoulder surfing. Візуальне підглядання за екраном пристрою або під час введення паролю у публічних місцях.
  • Vishing. Телефонні шахрайські дзвінки з метою виманювання даних або коштів.
  • Baiting. Підкидання флешок або “подарунків” із шкідливим програмним забезпеченням.

Алгоритм реагування на підозру фішингу:

  1. Не відкривати вкладення або посилання.

Утримайтесь від кліку на підозрілі посилання або відкриття вкладень, особливо якщо вони несподівані або мають незвичний формат.

  1. Перевірити адресу відправника.

Уважно огляньте повну електронну адресу або номер телефону відправника, звертаючи увагу на підозрілі домени та неточності.

  1. Перевірити справжнє посилання.

Наведіть курсор на посилання (без кліку), щоб побачити справжню URL-адресу в рядку статусу браузера або спливаючій підказці.

  1. Зв’язатися альтернативним способом.

Зверніться до відправника через офіційні контакти чи перевірені канали комунікації для підтвердження автентичності повідомлення.

  1. Повідомити IT – спеціаліста.

Зверніться до IT-відповідального або адміністратора системи для отримання допомоги та запобігання поширенню загрози.

  1. Зберегти докази.

Збережіть скріншоти, електронні листи та інші матеріали для подальшого аналізу та можливого розслідування інциденту.

Слід пам’ятати, що швидке та правильне реагування може запобігти серйозним наслідкам фішингової атаки.

3. Захист електронної пошти

Електронна пошта — головна мішень зловмисників і найбільш вразливий канал комунікації адвоката. Ефективний захист поштової скриньки — необхідність для збереження конфіденційності клієнтських даних.

Захист електронної пошти:

  • Двофакторна автентифікація (2FA). Додатковий рівень захисту після введення паролю: код з SMS, додатку чи фізичного ключа.
  • Захист вкладень. Сканування вкладень на наявність шкідливого коду та неперевіреного виконуваного вмісту.
  • Налаштування фільтрів. Блокування спам-повідомлень та фішингових листів за допомогою спеціальних правил фільтрації.
  • Регулярний аудит безпеки. Перевірка облікових записів на підозрілу активність, перегляд останніх сесій та пристроїв доступу.

Реагування на підозрілі листи:

  1. Не відкривайте вкладення. Підозрілі файли можуть містити шкідливий код.
  2. Перевіряйте URL посилань. Наведіть курсор, щоб побачити справжню адресу.
  3. Повідомте адміністратора. Передайте підозрілий листу відділ безпеки.
  4. Використовуйте окремий сканер. Перевіряйте вкладення через спеціалізовані сервіси.

4. Браузерна безпека

Сучасний браузер є основним інструментом доступу до інформації, проте потребує додаткового захисту для безпечної роботи з клієнтськими даними:

  1. Антитрекери та плагіни. Privacy Badger, uBlock Origin — блокують відстеження та рекламу, що збирає дані про вашу активність.
  2. Менеджери паролів. Bitwarden, KeePass — зберігайте унікальні надійні паролі та отримуйте безпечний доступ до них.
  3. HTTPS та сертифікати. Перевіряйте наявність HTTPS-з’єднання та валідність сертифікатів при роботі з чутливими даними.
  4. Режим приватного перегляду. Використовуйте інкогніто-режим для роботи з чутливими даними клієнтів на спільних комп’ютерах.

Надійні паролі – перша лінія захисту конфіденційних даних адвокатської практики.

Правильне створення та зберігання паролів критично важливе для цифрової безпеки:

  • Типові помилки .Прості та легко вгадувані паролі, повторне використання на різних сервісах.
  • Надійний пароль. Мінімум 16 символів з комбінацією літер, цифр та спеціальних знаків.
  • Менеджери паролів. Використовуйте спеціалізовані програми (Bitwarden, 1Password) замість браузерних сховищ.
  • Перевірка витоків. Регулярно перевіряйте паролі на сервісі haveibeenpwned.com на предмет компрометації.
  • Парольна політика. Запровадьте у фірмі обов’язкову ротацію паролів, двофакторну автентифікацію та мінімальні вимоги складності.

5. Безпечне використання пристроїв

Належний захист робочих пристроїв– основа безпеки юридичної практики та конфіденційності клієнтських даних:

  • Розділення середовищ. Чітке розмежування особистого та робочого простору на пристроях.
  • Файрволи та брандмауери. Контроль мережевого трафіку та блокування підозрілих з’єднань.
  • Антивірусний захист. Постійно оновлюванні комплексні рішення для виявлення та блокування загроз.
  • Безпека зовнішніх носіїв. Шифрування та сканування флеш-накопичувачів перед використанням.

6. Резервне копіювання:

  1. Хмарні рішення:
  • Доступ з будь-якого пристрою та локації.
  • Автоматична синхронізація та версіонування.
  • Захист від фізичних пошкоджень та крадіжок.

Недолік залежність від постачальника та інтернет-з’єднання.

  1. Локальні рішення:
  • Повний контроль над даними та носіями.
  • Незалежність від інтернет-з’єднання.
  • Швидкий доступ до великих об’ємів даних.

Ризик фізичної втрати або пошкодження носіїв.

  1. Шифрування резервних копій:

Шифрування резервних копій забезпечує додатковий рівень захисту, навіть якщо зловмисник отримає фізичний доступ до даних.

Використовуйте AES-256 шифрування. Зберігайте ключі шифрування окремо від даних.

  1. Автоматизація процесу.

Автоматизоване резервне копіювання знижує ризик людської помилки та забезпечує регулярність створення копій.

Налаштуйте розклад для щоденного резервного копіювання. Встановіть систему повідомлень про статус резервного копіювання.

7. Публічний Wi-Fi

Безкоштовний Wi-Fi у готелі чи кав’ярні може коштувати конфіденційності ваших клієнтів.

Зловмисники використовують публічні мережі для перехоплення даних та доступу до чутливої інформації:

  • Підміна DNS. Перенаправлення вашого трафіку на шахрайські сайти через маніпуляції з DNS-сервером.
  • Перехоплення трафіку. Знімання незашифрованого трафіку та читання даних користувачів у реальному часі.
  • Атаки типу “Evil Twin”. Створення підроблених точок доступу Wi-Fi, що імітують легітимні мережі
  • Атаки “людина посередині”. Перехоплення трафіку між клієнтом та веб-сайтом через підміну з’єднання.

Рекомендовані практики при роботі у відрядженнях:

  1. Використовуйте надійний VPN-сервіс.
  2. Створіть власну точку доступу з телефону.
  3. Відвідуйте лише HTTPS-сайти.
  4. Вимикайте Wi-Fi, коли не користуєтесь.

8. Захист акаунтів у месенджерах

Адвокати щодня використовують месенджери та соціальні мережі для комунікації. Забезпечення їх безпеки — важливий аспект збереження конфіденційності клієнтів.

  1. Використовуйте унікальні надійні паролі для кожного сервісу.
  2. Завжди вмикайте двофакторну автентифікацію (2FA).
  3. Регулярно перевіряйте список підключених пристроїв.

Безпека юридичної практики залежить від найслабшої ланки у системі захисту рівня цифрової грамотності всіх працівників, особливо тих, хто має доступ до конфіденційних даних.

Основні висновки та рекомендації:

  • Багаторівневий захист. Використовуйте комплексний підхід до безпеки з різними рівнями захисту для критичної інформації.
  • Регулярні оновлення. Своєчасно оновлюйте програмне забезпечення та системи безпеки на всіх пристроях.
  • Надійна автентифікація. Використовуйте унікальні паролі та двофакторну автентифікацію для всіх облікових записів.
  • Навчання команди. Регулярно проводьте навчання з питань кібербезпеки для колег та персоналу.

Корисні продукти (OpenSource):

VeraCrypt – створення зашифрованих контейнерів/дисків.

File Shredder – перезапис файлів перед видаленням.

KeePassXC – локальне зберігання паролів.

LastPass – онлайн зберігання паролів.

Першоджерело - https://tinyurl.com/2ppvr338