Как избежать самых опасных угроз в сети Интернет

10. 05. 2018
posted by: Юридический бизнес
Просмотров: 54
1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)
  • Автор:
    Айлан Барзилав (Ilan Barzilay) и Эндрю Дэнфорд (Andrew Danford)

Появление сети Интернет открывает перед нами огромное количество прежде недоступных ресурсов. Теперь компании могут использовать электронные средства мгновенной коммуникации с потребителями и компаньонами по всему миру. Но, к сожалению, все эти достижения в предоставлении информации не лишены издержек, поэтому сегодня предприятия не должны забывать о возможных рисках, которые неизбежно присутствуют при использовании данных технологий.

Fotolia 200139445 XS1

В данной статье мы рассмотрим некоторые характерные виды рисков, свойственных применению ресурсов Интернет, а также то, как эти риски могут повлиять на судебный процесс. В дальнейшем мы сконцентрируемся на проблемах интеллектуальной собственности при ведении дел через Интернет.

Электронная угроза безопасности

Одной из наиболее серьезных опасностей для электронных ресурсов предприятия является брешь в системе защиты. Данный вид угрозы поражает неожиданно и распространяется очень быстро. Так, по свидетельству Томаса Эбейта (Thomas Abate) из San Francisco Chronicle, печально известный вирус «червь Бластер» (Blaster worm) заразил около 1,4 миллиона адресов Интернет за первые 24 часа после своего выпуска.

Поскольку подобные инциденты способны нанести серьезный ущерб, каждый год компании тратят миллионы долларов, чтобы предотвратить атаки вирусов. Несмотря на то, что за последние 5 лет количество фирм, столкнувшихся с такой проблемой как брешь в системе безопасности, значительно уменьшилось, более половины участников опроса, проведенного в 2005 году, отметили, что за год им хотя бы раз, но приходилось решать подобные вопросы.

Реальный ущерб от вирусных атак трудно подсчитать, а сметы могут быть подтверждены лишь отдельными примерами. Частично сложность при таких подсчетах представляет разнообразный ущерб, который может вызвать брешь в системе защиты. Вирусы и «черви» могут тормозить работу сетевых и отдельных компьютеров, снижая работоспособность персонала.

Кроме затрат на восстановление электронной инфраструктуры компании, брешь в системе защиты может привести к потере ценной информации. Более того, атака может сказаться и на отношениях с клиентами, например, если потеряна была их конфиденциальная информация, или на длительное время был закрыт доступ к вашему сайту или важному серверу.

Несмотря на то, что нельзя сказать определенно, во сколько именно обойдутся затраты на предотвращение вирусных атак, ущерб от проблем, которые они способны вам принести, может исчисляться миллионами долларов. Чтобы избежать таких огромных затрат, компании должны осознавать возможность риска и принимать меры по предотвращению потенциальных угроз вторжения в их электронные ресурсы.

Меры борьбы с угрозами начинаются с основного «человеческого перепрограммирования» и завершаются установкой сложных технических систем защиты. В первую очередь, компании должны проинструктировать своих работников. Правила безопасности просты и всем известны: не открывать неизвестные прикрепленные файлы, не скачивать файлы с подозрительных веб-сайтов, не отвечать на странные запросы важной информации. Несмотря на свою очевидность, эти первые шаги для защиты от несанкционированных вторжений во внутреннюю сеть, на практике подчас оказываются трудноосуществимы.

Работников следует приучить использовать пароли, которые трудно подобрать другому человеку, и регулярно изменять их. Пароли, по умолчанию установленные производителями программного обеспечения (как пароли беспроводных маршрутизаторов) также обязательно должны изменяться.

Компании, в которых нет собственного отдела информационных технологий, должны регулярно проверять наличие обновлений для безопасности рабочей системы и других программ, включая программу антивируса. Профессионалы в области информационных технологий (а также продвинутые пользователи) могут выполнить и другие работы по средствам защиты, таким как установка и поддержание брандмауэра .

E-MAIL

Электронная почта компании может представлять еще одну угрозу электронным ресурсам компании. Помимо рисков для безопасности, указанных выше, система email сталкивается с опасностями, исходящими от неизвестных сообщений или спама, которые составляют значительный процент потока электронных писем.

По данным MX Logic, компании, которая занимается обработкой email-сообщений, спам составил 67% от всех сообщений, прошедших через систему за первые 8 месяцев 2005 года.3 Столь огромный поток спама может замедлить работу почтовых серверов компаний, отвлекая работников на удаление нежелательных сообщений, и вылиться предприятиям в миллиардные затраты каждый год. В свете проблем, которые представляет спам, Конгресс издал в 2003 году Закон о Контроле распространения нежелательной информации рекламного и порнографического характера (CAN-SPAM), (кодекс США, 15 раздел, §§ 7701-7713). Согласно ему, все нежелательные email-сообщения должны иметь соответствующие обозначение и не должны содержать обманчивых предметных строк или поддельных заголовков. Кроме того, в подобных сообщениях необходимо наличие специальной инструкции, объясняющей, как избежать получения подобного сообщения в будущем. И наконец, в таком письме должен быть указан достоверный адрес отправителя. Нарушения данного закона караются денежными санкциями. Согласно Федеральной комиссии по торговле (Federal Trade Commission), агентству, ответственному за исполнение данного закона, он действительно способствовал успешному снижению отрицательного влияния спама на предприятия и потребителей.

Несмотря на широко разглашаемые намерения, закон имеет некоторую ограниченность в применении. Прежде всего, он не распространяется на спам, приходящий из других стран, а он составляет около 50% от всего объема . Именно поэтому любые попытки в рамках закона сдержать наплыв спама могут, в конце концов, оказаться напрасными.

Во-вторых, Закон отстраняет законы штатов по управлению спамом, даже если эти законы оказываются более строгими. Тем не менее, законы о поддельных сообщениях, не относящихся к спаму, издаваемые штатами, не отстраняется Законом о Контроле распространения не желаемой информации рекламного и порнографического характера (CAN-SPAM), благодаря чему законы некоторых штатов могут бороться с не желаемыми сообщениями по e-mail сами.

В-третьих, Федеральная комиссия по торговле может учредить черные списки сообщений. Наконец, Закон не дает права предприятиям или потребителям личного права на предъявление иска, вынуждая их надеяться на то, что правительство в судебном порядке накажет нарушителей.

Помимо законодательства, в арсенале предприятий можно найти ряд других способов борьбы со злом, которое причиняет спам. Фильтрация входящих email-сообщений всегда обеспечивала и обеспечивает наилучшую защиту корпоративного электронного почтового ящика. Осуществление фильтрации возможно за счет использования внутрисистемного обслуживания программ отображения спама, включая обыкновенные черные списки адресов спама, либо за счет использования вне системных ресурсов компаний по фильтрации e-mail.

Более того, компании должны проинструктировать работников по поводу корректного использования учетных записей электронной почты. Чтобы снизить риск спама, работники компании должны ограничить круг лиц, осведомленных об email-адресах, предназначенных для общения и не имеющих отношения к данному бизнесу, сделать это можно, например, при заполнении регистрационной формы онлайн.

Некоторые компании поступают следующим образом: удаляют символ «@» с веб-страниц, чтобы избежать автоматического сбора электронных адресов своих работников. Предпринимая подобные меры, компания может значительно снизить риск воздействия спама на дела компании.

Помимо угрозы извне, а именно - со стороны тех приложений, которые могут содержать вирус, а также спама, электронная почта может навредить компании из-за действий ее непосредственных работников. Система e-mail представляет собой быстрое и удобное средство для обмена мнениями. Однако его скорость и простота в обращении могут привести к халатности в отношении формулировки и отправки таких сообщений. Стоимость такого безграмотно составленного email-сообщения может оказаться высокой, так же, как ошибки или признания в электронном сообщении могут подвергнуть компанию риску несения ответственности.

Например, личные email-сообщения Билла Гейтса имели разрушительные последствия для его компании Microsoft во время недавнего антитрестовского разбирательства. К тому же, небрежно составленные сообщения особенно опасны, поскольку их почти невозможно удалить полностью.

Чтобы бороться с данной угрозой, компаниям следует ввести политику использования корпоративной электронной почты, в которой были бы четко прописаны все правила. Такая политика должна делать акцент на том значении, которое работники должны придавать корректному составлению email-сообщений, во избежание опасных утверждений.

Кроме всего прочего, компании должны донести до работников, что обмен мнениями по обязательствам или другим опасным вопросам посредством e-mail не должен иметь места без специального запроса. И, наконец, компании должны применять ту же политику сдерживания по отношению к email, как и к другим документам.

Веб-сайты

Веб-сайты компании являются важным условием для предоставления информации о товарах и услугах. Они позволяют потребителям получить доступ к информации о компании, вне зависимости от места нахождения и временных рамок, которыми связаны традиционные средства передачи информации. Однако помимо преимуществ, веб-сайты также подвергают вашу компанию риску.

Как уже было упомянуто выше, электронная безопасность представляет собой одну из наиболее значимых проблем для сегодняшних предприятий. Кроме ваших потенциальных клиентов, веб-сайт обеспечивает доступ и для тех, кто может быть заинтересован в повреждении безопасности сети компании. Эта проблема особенно актуальна для тех фирм, которые оказывают онлайн-услуги, – именно они должны оставаться особенно бдительными для того, чтобы предотвратить раскрытие конфиденциальной информации, касающейся их клиентов.

Во избежание любого вторжения в систему защиты через веб-сайт, компания должна применять меры электронной безопасности, которые уже обсуждались выше. Они включают в себя постоянное обновление программ безопасности, для защиты от развивающейся угрозы, а, кроме того, использование шифрования важных данных, необходимое для того, чтобы предотвратить раскрытие конфиденциальной информации пользователей сайта.

Помимо традиционных проблем, которые могут создавать веб-сайты, они также могут подвергнуть компанию преследованию по суду со стороны других штатов. На самом деле, анализ контактов обычного минимума приобретает новое значение в киберпространстве. При оценке причастности веб-сайтов к личной юрисдикции, некоторые суды применяют тестирование по скользящей шкале, когда высокая интерактивность веб-сайта увеличивает подверженность судебной юрисдикции . В деле Zippo окружной суд сосредоточил внимание на «природе и качестве коммерческой деятельности, которая распространяется через Интернет», чтобы определить личную юрисдикцию сторон.

Не факт, что наличие одного веб-сайта подвергнет вас судопроизводству, хотя веб-сайты, которые осуществляют продажу продукции, либо другую интерактивную характеристику, вместе с наличием доказательств того, что жители данного штата приобретают данную продукцию (или используют ее), все же могут подвергнуть компанию преследованию по суду в других штатах. Те компании, которые крайне обеспокоены наличием риска, решительно подвергли сокращению количество веб-сайтов или даже совсем отказались от них. Так что ваше предприятие должно непосредственно взвесить коммерческую ценность активного использования сайтов и долю того риска, который может привести их в суд по малоизвестной юрисдикции.

Чтобы распространять о себе информацию, многие компании теперь используют не только традиционные корпоративные сайты, но и блоги. Последние, как известно, дают возможность отдельным лицам публиковать свои собственные идеи быстро и недорого. Однако блоги, как личные, так и корпоративные, также способны подвергнуть компанию риску.

Компании оказываются уязвимыми из-за информации, выкладываемой в блогах, или из-за бездействия по поводу адресации сомнительной корреспонденции. Вот некоторые примеры рисков, которым могут подвергать себя компании из-за блогов: клевета, диффамация, оскорбление или нарушение прав на интеллектуальную собственность, например, авторского права и права на торговую марку. Последняя опасность представляет наиболее трудную проблему для компаний, поскольку для блоггеров нет ничего проще, чем скопировать и вставить чужое содержание без разрешения на это его непосредственного владельца.

Для борьбы со всеми этими рисками компаниям следует проводить политику правильного использования блогов, обращая особенное внимание на те моменты, когда речь идет об ответственности работников за личные утверждения и соответствующие отказы, включаемые в содержание блогов.

Кроме того, политика должна предусматривать запрет на любое несанкционированное раскрытие информации, принадлежащей компании или ее клиентам, а также принимать меры при нарушении положений Комиссии по ценным бумагам, касательно утечки определенной корпоративной информации. Необходимо отметить важность защиты прав на интеллектуальную собственность, чтобы избежать нарушений авторского права и права на торговую марку. Если блог компании носит статус официального, целесообразным может оказаться обзор содержаний корреспонденции и примечаний.

Наконец, компаниям не следует забывать о тех осложнениях, которые могут возникнуть из-за представления на веб-сайте информации о новой продукции. Подобное представление может стать публикацией прототипа (ограничительной части патентной формулы) по закону о патентах, снижая, таким образом, патентоспособность представленного изобретения. (См. Кодекс Соединенных Штатов, раздел 35, §102(b) (35 U.S.C. §102 (b)).

Причем компании, охраняющие свои секреты производства, должны быть уверены в том, что информация, помещенная на сайтах, никоем образом их не раскроет. Тщательно относиться к содержанию такой информации необходимо потому, что как только она становится доступной в Интернет, секрет производства может быть раскрыт . Кроме того, не стоит забывать и о внутренних сетях, доступных только для работников, поскольку раскрытие информации через них также может оказаться причиной потери прав на секреты производства, если сообщения внутренней сети окажутся вдруг небезопасными.

Электронный поиск

Так как в наше время управление предприятием все чаще и чаще происходит при помощи различных электронных средств, растет значимость информации, хранящейся в электронном виде. Например, email-сообщения составили более 70% от 2000 вещественных доказательств в недавнем антитрестовском судебном процессе c участием Microsoft .

В декабре в федеральные правила гражданского судопроизводства будут внесены поправки, чтобы узаконить поиск «информации, хранящейся в электронном виде» . В них отмечается, что все виды электронной информации, а не только те, которые ранее можно было охарактеризовать как «документы», поддаются поиску. Данные изменения потребуют от компаний, столкнувшихся с судопроизводством, внимательно просматривать свою электронную информацию, а также бумажные папки при предоставлении поддающейся поиску информации.

Информация в электронном виде может вызвать некоторые проблемы для тяжущихся сторон. Во-первых, она храниться в качестве разнообразных файлов. Помимо традиционных документов с обработкой текста и e-mail-сообщений, стороны в судебном процессе должны будут учесть базы данных, протоколы серверов и даже метаданные, которые содержаться в определенных файлах. Во-вторых, информация, хранящаяся в электронном виде, легко создается и распространяется, поэтому может находиться в различных местах. Например, храниться на серверах компании, в личных компьютерах, в ноутбуках, на сменных носителях, в карманных компьютерах и в других переносных устройствах. В-третьих, электронные файлы компании включают гораздо больше информации, чем можно было бы разместить в материальной форме. 1 гигабайт документов с обработкой текста представляет собой приблизительно 65 000 печатных страниц .

Чтобы в будущем избежать головных болей по поводу поиска информации в электронном виде, в отношении нее компаниям рекомендуется проводить ту же политику хранения, что и по отношению к бумажным документам. Это сократит количество информации, которую придется просматривать, если вдруг начнется судебное процесс. Когда назревает судебный процесс, компании, однако, должны оставить всю политику руководства информацией, чтобы сохранить поддающуюся обнаружению информацию для судебного процесса.

Несмотря на то, что поправки в федеральные правила гражданского судопроизводства гарантируют освобождение от ответственности при ненамеренном уничтожении электронных доказательств посредством регулярных процедур управления информацией, стороны должны поступать добросовестно при использовании преимущества этого нового постановления. Когда судебное разбирательство становиться неизбежным, компании не должны рассматривать данное постановление об освобождении от ответственности как приглашение к уничтожению электронной информации с помощью процедур по управлению информацией.

Компании, столкнувшиеся с судебным разбирательством, должны провести тщательную работу по распознанию и сохранению информации в электронном виде, во избежание жалоб о преднамеренном уничтожении или искажении документа, которые могут привести к строгим санкциям против данной стороны. Последние включают в себя: неблагоприятные судебные решения и решения по выплате штрафов адвокатам, решение против обвиняемого, а также выплата штрафа адвокату за «ряд оскорблений», к коим относится замена компьютеров, в которых содержалась необходимая информация, на новые незадолго до инспекции сайтов .

Чтобы избежать подобных проблем, стороны должны активно распознавать и сохранять потенциальные доказательства. Столкнувшись с грядущим или потенциальным судебным разбирательством, компания должна проинструктировать своих работников о том, что нельзя изменять, удалять или уничтожать информацию, которая может оказаться важной в споре. Им следует напоминать, что данная информация может храниться в нескольких видах и иметь несколько местоположений.

И, наконец, регулярное уничтожение документов и других данных с помощью проведения регулярных процедур управления информацией, должно быть немедленно приостановлено, когда компания сталкивается с судебным разбирательством. Данные меры помогут компании справиться с обязанностями электронного поиска.

Опубликовано в журнале ЮБ №01-2007

 

Добавить комментарий


Защитный код
Обновить

Яндекс.Метрика