АДВОКАТУРА, НОВИНИ

Про захист адвокатської таємниці у цифрову епоху адвокат Ігор Гордусь

Про захист адвокатської таємниці у цифрову епоху розповів адвокат АО «EvrikaLaw», член Комітету з питань інвестиційної діяльності та приватизації Ігор Гордусь під час заходу з підвищення професійного рівня адвокатів, що відбувся у Вищій школі адвокатури НААУ.

Лектор докладно проаналізував разом з учасниками захист адвокатської таємниці у цифрову епоху, а саме:

  • 1. Цифрові ризики конфіденційності.
  • 2. Клієнтська комунікація.
  • 3. Файли, документи і передача даних.
  • 4. Безпека месенджерів.
  • 5. Соцмережі.
  • 6. Офісна безпека.
  • 7. Реагування на інциденти.
  • 8. Резервне копіювання.
  • 9. Аналіз пристроїв і цифрова гігієна.

У рамках характеристики захисту адвокатської таємниці акцентовано на наступному:

1. Цифрові ризики конфіденційності

  1. Злам пошти:
  • Несанкціонований доступ до електронного листування.
  • Ризик: перехоплення листів, доступ до вкладень, компрометація клієнтських даних.
  1. Недбале поводження з файлами:
  • Зберігання документів без шифрування.
  • Передача незахищеними каналами.
  1. Людський фактор (60% витоків):
  • Помилки, недогляд, випадкове надсилання файлів.
  • Витоки через співробітників.
  1. Технічні збої:
  • Поломка обладнання, помилки програм.
  • Можлива втрата документів.
  1. Фішинг:
  • Обман з метою отримання паролів.
  • Ризик крадіжки даних клієнтів.

Метадані — прихований ризик:

  • Файли DOCX, PDF, JPG містять приховані дані: автор, час створення, редагування, геолокація, пристрій, програма.
  • Небезпека: розкриття імен, адрес, чутливої інформації про клієнта.

3 сервіси перевірки витоків:

  1. LeakCheck:
  • показує повні паролі;
  • пошук за email, телефоном, ім’ям;
  • моніторинг витоків.
  1. Dehashed:
  • пошук у величезних базах зламаних даних;
  • понад 12 параметрів пошуку.
  1. HaveIBeenPwned:
  • Безкоштовний;
  • перевірка email та телефону;
  • інтегрований у 1Password.

Юридична відповідальність адвоката:

  • Ст. 22–23 Закону «Про адвокатуру та адвокатську діяльність».
  • Порушення конфіденційності = дисциплінарна відповідальність, аж до позбавлення права на професію.
  • Адвокатська таємниця включає всю інформацію, що стала відома адвокату від клієнта під час звернення.

2. Клієнтська комунікація

1) Уникайте незахищених каналів:

  • Заборонено передавати конфіденційну інформацію через незахищену пошту, незашифровані месенджери.

2) Використовуйте E2EE:

  • Месенджери з наскрізним шифруванням.

3) Шифруйте пошту:

  • Використовуйте безпечні поштові сервіси.
  • Додатково шифруйте вкладення.

Рекомендовані месенджери:

Signal:

  • Повне E2EE.
  • Forward secrecy.
  • Мінімум метаданих.
  • Верифікація контактів через QR-код.

Threema:

  • Не потребує номера телефону.
  • Європейська юрисдикція (Швейцарія).
  • Нульові знання.
  • Анонімність.

Порівняння месенджерів:

  • Рекомендовані: Signal, Threema.
  • З обережністю: WhatsApp.
  • Не рекомендовано: Telegram, Viber.

Причини:

  • Telegram не шифрує всі чати (тільки Secret Chats).
  • Збір метаданих.
  • Вразливий до SIM-атак.

3. Файли, документи і передача даних

Шифрування файлів — 7zip:

  • Безкоштовний.
  • Відкритий код.
  • AES-256.
  • Можна шифрувати імена файлів.
  • Паролі від 12 символів, складні.

Паролі передавати іншим каналом.

Шифрування дисків — VeraCrypt:

  • Створення зашифрованих контейнерів.
  • Приховані томи.
  • Алгоритми AES + Twofish + Serpent.
  • Перевага над BitLocker — мультиплатформеність.

Пароль не менше 20 символів.

Ризики Google Drive / Dropbox:

  • Відсутність клієнтського шифрування.
  • Доступ адміністраторів.
  • Сканування вмісту.

Безпечні хмарні сервіси:

ProtonDrive, Tresorit (Zero-knowledge технологія — ключі має лише користувач).

Безпечна передача файлів:

  1. OnionShare:
  • Через Tor.
  • Анонімність.
  • Без серверів.
  1. Wormhole:
  • E2EE.
  • Одноразові коди.
  • Автовидалення.

Контроль версій документів:

  • OnlyOffice (на власному сервері, повний контроль).
  • Google Docs (історія змін, але менша приватність).

4. Безпека месенджерів

1. Настройки приватності:

На прикладі Telegram:

  • обмежити видимість номера телефону,
  • обмежити, хто може писати,
  • приховати статус “був онлайн”,
  • налаштовувати регулярно — бо месенджери змінюють політику.

2. Верифікація контактів у Signal:

Запобігає MITM-атакам.

Алгоритм:

  1. Відкрити чат.
  2. Перевірити код безпеки.
  3. Порівняти зі співрозмовником іншим каналом.
  4. Підтвердити.
  5. Повідомити про зміну пристрою — код змінюється.

5. Соцмережі

Які дані розкривають соцмережі:

  • Контакти, друзі, підписники – професійні зв’язки.
  • Геолокація – маршрути, офіс.
  • Сторіз – випадкове потрапляння документів.
  • LinkedIn – повна історія роботи й клієнтів.

OSINT-аналіз:

Зловмисники можуть створити цифровий профіль адвоката:

  • лайки,
  • коментарі,
  • підписки,
  • час активності.

Кейс Кембриджу: 150 лайків – точний психометричний профіль.

Видалення метаданих із фото:

Інструменти:

  • ExifCleaner (Windows/macOS/Linux);
  • mat2 (Linux).

Видаляє:

  • GPS,
  • пристрій,
  • автора,
  • час зйомки.

Налаштування приватності:

Facebook:

  • Приватний профіль.
  • Обмеження пошуку за телефоном/email.
  • Перегляд тегів.
  • Вимкнення геоданих.

Instagram:

  • Приватний акаунт.
  • Близькі друзі для сторіз.

6. Офісна безпека:

1) Wi-Fi:

  • WPA3.
  • Гостьова мережа для відвідувачів.
  • Сегментація мережі.
  • Оновлення прошивки роутера.

Кейс: витік даних через гостьовий Wi-Fi без пароля.

  • Політика паролів:
  • 12+ символів.
  • Зміна кожні 90 днів.
  • Заборона повторення 10 попередніх.
  • Блокування після 3 невдалих спроб.
  • BIOS/UEFI:
  • Пароль на вхід.
  • Заборонити завантаження з USB.
  • Secure Boot.
  • Акаунти:
  • Індивідуальні акаунти.
  • Заборонено спільні.
  • 2FA.
  • Автоблокування після 5 хвилин.
  • Журнали доступу:
  • Фіксація всіх входів: дата, час, IP.
  • Сповіщення про підозрілу активність.
  • Зовнішні носії:
  • Заборонені незашифровані флешки.
  • Використовувати IronKey, BitLocker To Go.
  • Вести облік носіїв.

7. Реагування на інциденти

Перші дії при зламі:

  1. Терміново відключити від мережі.
  2. Визначити обсяг шкоди.
  3. Задокументувати все (скріншоти, логи).
  4. Повідомити керівництво, службу безпеки, клієнтів (за потреби).

Протокол інциденту містить:

  • номер інциденту,
  • дату/час,
  • хто виявив,
  • тип інциденту,
  • системи,
  • опис,
  • вплив на клієнтів,
  • вжиті заходи.

Що збирати під час інциденту:

  • журнали подій,
  • скріншоти,
  • дані мережевого трафіку,
  • хронологію дій.

8. Резервне копіювання

Навіщо робити бекапи:

  • злам системи,
  • віруси-вимагачі,
  • випадкове видалення,
  • поломка техніки.

Кейс: втрата бази 200+ клієнтів – збитки 350 000 грн.

Правило 3-2-1:

  • 3 копії даних,
  • 2 різні носії,
  • 1 копія поза офісом.

Інструменти:

Duplicati:

  • AES-256
  • інкрементальні копії
  • підтримка хмар

Cobian Backup:

  • графік
  • різні типи копій

Borg Backup:

  • дедуплікація
  • шифрування
  • командний рядок

9. Аналіз пристроїв і цифрова гігієна

Чек-ліст цифрової гігієни:

Щотижня:

  • оновлення системи,
  • перевірка паролів,
  • аналіз дозволів додатків,
  • антивірусне сканування,
  • мінімізація цифрового сліду,
  • резервні копії.

Перевірка смартфонів:

Android — Exodus Privacy:

  • показує трекери й дозволи
  • ризикові дозволи:
  • мікрофон,
  • камера,
  • геолокація в фоні,
  • контакти.

iOS — MVT:

  • аналіз резервної копії на шпигунські програми.

Перевірка ПК:

  • ESET Internet Security (комерційний);
  • Malwarebytes (антишпигун);
  • Autoruns (аналіз автозапуску).

Аби першими отримувати новини, підпишіться на телеграм-канал ADVOKAT POST.

Related Posts: