Закон о кибербезопасности для бизнеса: что уже изменилось и что еще поменяется?
Вступление в силу Закона «Об основных принципах обеспечения кибербезопасности Украины» дало повод представителям бизнеса еще раз задуматься об опасности киберпреступлений, важности защиты IT-инфраструктуры компании и важных данных, а также о правильном поведении во время визита правоохранителей и защите коммерческой тайны.
Сам по себе Закон является в значительной мере рамочным документом, нацеленным на создание общих правил игры в сфере кибербезопасности для государственных органов и учреждений, государственного и коммунального секторов экономики, а также бизнеса. Поэтому, как отметил руководитель направления «ЮРЛИГА» компании ЛИГА:ЗАКОН Александр Попов, окончательно оценить масштаб его влияния на работу конкретного предприятия можно будет не ранее появления всех требующихся подзаконных документов, большую часть которых следует ждать от Кабмина и НБУ. Оба органа уже указали в своих планах, что утверждение соответствующих документов можно ожидать не ранее 3 квартала 2018 года.
На данный же момент Закон ценен прежде всего тем, что четко определяет перечень государственных органов, имеющих полномочия в сфере обеспечения кибербезопасности и противодействия киберпреступности, а также определяет основные понятия для этой сферы.
Прежде всего под регулирование попадут объекты критической инфраструктуры (их перечня как раз и ждем от правительства), а также информационно-телекоммуникационные системы, используемые в интересах госорганов, органов местного самоуправления, правоохранителей, военных либо для обеспечения функционирования электронного правительства, электронных админуслуг, электронного документооборота либо электронной коммерции. То есть уже можно говорить, что далеко не весь бизнес будет регулярно сталкиваться с государственным регулированием в части защиты своей IT-инфраструктуры.
Для тех же, кто все же подпадет под регулирование (кроме банков и финансовой сферы), ключевым регулятором будет являться Госспецсвязи, которая, в частности, получила возможность проводить проверки. К ее ведению отнесена и вся тематика определения законодательных рамок работы аудиторов информационной безопасности, которые впервые «замечены» государством.
Стоит отметить, что требования к таким специалистам пока не сформированы. Но уже предусмотрено, что они будут проходить аттестацию по процедурам, разработанным Госспецсвязи.
В свою очередь, проведение аудита информационной безопасности отнесено к ключевым обязанностям тех субъектов, которые подпадут под регулирование Закона. Для проведения аудита в обязательном порядке нужно будет привлекать только аттестованных аудиторов.
Возвращаясь к тематике полномочий государственных органов, обратим внимание на то, что Закон четко закрепляет за СБУ и Департаментом киберполиции Национальной полиции полномочия по расследованию киберпреступлений и их предотвращению. Разграничение полномочий предусмотрено в рамках общих правил определения подследственности, то есть СБУ будет заниматься только посягательствами на государственные ресурсы и преступлениям против человечества и государственного строя. Еще один важный момент - Служба безопасности имеет право осуществлять негласные действия по проверке устойчивости объектов критической инфраструктуры, фактически проводя «учебные атаки».
Также уточнен и детализирован статус CERT-UA в качестве ключевого органа в части предоставления консультаций и поддержки субъектам киберзащиты, в том числе попавших в сферу регулирования Закона бизнес-структурам.
Эксперт назвал правила защиты IT-инфраструктуры компании
Ни для кого не секрет, что как только бизнес выходит на определенный уровень прибыли и становится известным, на него обращают внимание не только конкуренты, но и налоговые, и порой даже правоохранительные органы.
Следовательно, возрастает вероятность, что на предприятие могут прийти проверяющие или правоохранители с обыском, направленным на последующую выемку электронных носителей информации.
Общие правила юридической защиты IT-инфраструктуры, в общем, не особо отличаются от остальных сфер бизнеса:
В случае получения «писем счастья» от правоохранителей - готовиться к их визиту.
Если чувствуете, что к вам в офис могут прийти контролеры или правоохранители, то необходимо подумать о следующем:
- уделить внимание качественной теоретической подготовке персонала: но не проводить тренинги или семинары для абсолютно всех сотрудников (ввиду того, что персонал меняется и такие тренинги будут реально эффективны, если они будут проводить не реже одного раза в полгода), а в случае если такой период проведения тренингов для персонала является дискомфортным для предприятия, определить одного человека, который в случае проведения обыска будет сохранять спокойствие и точно знать, что делать и как себя вести;
- соблюдать «гигиену» рабочих мест: это значит не хранить на столе записные книжки или USB-флешки с важными данными, не держать на столе бумажку с записанными паролями, кодами доступа и, разумеется, наличные денежные средства и т. п.;
- проверить наличие документов о приобретении оборудования (компьютеров, серверов и других элементов IT-инфраструктуры): чтобы при необходимости доказать правоохранителям, что носители информации находятся в собственности компании;
- использовать шифрование, бэкапы, облачные хранилища, но при этом не забывать о человеческом факторе;
- вывести видеонаблюдение на внешний носитель: внутренние видеорегистраторы, на которые осуществляется запись с видеокамер, установленных в помещении компании, могут быть удалены или отключены во время проведения обыска, поэтому стоит позаботиться об организации автоматического копирования записи на внешний носитель (например, в «облако») или на сервера, находящиеся в других помещениях, вне офиса компании. Потом эти записи могут очень пригодиться, например, для доказывания незаконных действий во время обыска.
Такие рекомендации бизнеса предоставил старший юрист, адвокат АФ Pragnum Алексей Некрасов, выступая 30 мая на заседании Комитета малого и среднего бизнеса Киевской ТПП.
Также Алексей Некрасов заметил, что во время обысков и выемок на предприятиях часто допускают роковые ошибки. Если работники недостаточно знакомы с законодательством, они вполне могут допустить даже незаконный обыск. Среди распространенных ошибок: отсутствие копий изымаемых документов; выдача документов без предварительного «аудита»; невнимательная вычитка протокола обыска; несогласованность действий с контрагентами. А когда дело доходит до открытия уголовного производства и постоянного общения с правоохранителями, часто в компании вообще отсутствует стратегия участия в уголовном производстве. Поэтому на случай критических ситуаций лучше иметь заранее продуманный план или хотя бы знать, к какому специалисту можно оперативно обратиться.
Кроме «внешних» угроз информационной безопасности компании, проблемы могут возникнуть и внутри самой компании, поэтому стоит заранее позаботиться о защите коммерческой тайны и действовать на опережение. Негативными факторами в данном контексте Алексей Некрасов назвал уязвимую систему управления персоналом; некачественную работу юридического, финансового и административного отделов; несоответствие операционных процессов компании требованиям законодательства и современной практике ведения бизнеса; отсутствие качественных средств защиты информации.
Оптимальной защитой коммерческой информации, по мнению господина Некрасова, является комплекс мер: от грамотного составления должностных инструкций, заключения договоров о неразглашении коммерческой тайны и до физической блокировки возможности передачи сотрудниками информации на внешние ресурсы либо носители.
Юрист советует активно заботиться о кибербезопасности бизнеса, ведь шансы привлечения киберпреступников к уголовной ответственности крайне низкие: менее 90 приговоров на всю Украину по подобным преступлениям, начиная с 2015 года, не позволяют оптимистично смотреть на этот способ защиты.
10 советов Алексея Некрасова бизнесу:
1. Поставьте в офисе хорошие двери и систему видеонаблюдения, которая будет сохранять записи в «облака». При этом роутер должен быть вне пределов офиса.
2. Обучите персонал азам поведения во время внезапных следственных действий и назначьте ответственного, к которому сможет обратиться каждый сотрудник.
3. Соблюдайте «гигиену» рабочего стола и напоминайте об этом персоналу.
4. Знайте, что у вас есть не только обязанности, но и права: например, ничего не говорить и ничего не подписывать.
5. Ничего не выдавайте правоохранителям без аудита/согласования с адвокатом.
6. Вся информация должна быть зашифрована и, по возможности, храниться в облаках.
7. Ограничивайте доступ персонала к ненужной ему коммерческой информации.
8. Максимально документируйте право доступа персонала к информации и их уведомление об ответственности за ее разглашение.
9. Не забывайте о правильном оформлении прав на технику / программы и необходимости наличия соответствующих документов в офисе.
10. Максимально диверсифицируйте собственников техники, помещений, товаров.
Как облачные ІТ-системы защитят бизнес от киберугроз, рассказал эксперт
Используя классические ІТ-системы, компании находятся под угрозой, убежден управляющий партнер Airvice Consulting Руслан Яременко. Прежде всего, речь идет о проведении правоохранителями обысков, после которых работа компании часто оказывается заблокирована.
Так происходит потому, что все данные компании (сервера, бухгалтерия и т. п.) физически находятся в офисном помещении и легко доступны. И часто даже не делаются резервные копии этих данных, или же оказывается, что резервные копии были на тех серверах, которые изъяли.
Но решение есть - нужно хранить информацию в «облаке». Сравнивая классическую и облачную ІТ-системы, Руслан Яременко отметил, что последняя выигрывает по всем пунктам: не требует капитальных затрат на покупку серверов и лицензий, обладает простым и понятным интерфейсом, высокой мощностью и надежностью (мощные современные сервера, защита шифрованием всего трафика и данных, резервные копии), высоким уровнем защиты от киберугроз, соответствует требованиям GDPR, обеспечивает защиту от DDoS-атак, дает возможность работы из любого места (идеально подходит для компаний с филиалами), а главное - в «облаке» автоматизированы средства резервного копирования и хорошая защита от современных кибератак.
Но все не так просто. Для «выхода в облако» IТ-специалистам необходимо владеть особыми компетенциями, в том числе и не техническими: знать английский язык (для коммуникации с дата-центрами и провайдерами) и особенности работы дата-центров; иметь практические навыки работы с необходимым ПО, опыт проектирования «облачных» сред и реализации нескольких облачных IТ-систем; уметь правильно планировать рабочий процесс и рассчитывать бюджет проекта; уметь убеждать, вести переговоры, оперативно решать возникающие в ходе работы задачи и т. п.
Вопросы кибербезопасности в 2018 году согласно опросам и отчетам авторитетных компаний (PwC, TrendMicro, Microsoft, Check Point, Symantec) ожидаемо вышли на первое место в рейтинге бизнес-рисков для всех типов компаний. Уничтожение данных вирусами-шифровальщиками (Ransomware), постоянно увеличивающиеся масштабы вывода из строя корпоративных сайтов (взломы и DDoS-атаки), похищение персональных и банковских данных (Phishing и трояны) - это далеко не полный список киберугроз, с которыми бизнесу придется сталкиваться в этом году.
Среди современных киберрисков для бизнеса можно выделить следующие: взломы и заражения вирусами, утеря и утечка данных, фишинг, DDoS-атаки, уже упомянутое изъятие оборудования при обыске, а в результате - связанные финансовые потери (например, недополученная прибыль, претензии от пострадавших контрагентов, штрафы по GDPR и т. п.).
Один из актуальных трендов: продолжающаяся эпидемия Ransomware - шифровальщиков-вымогателей, которые совершенствуются и становятся более опасными и изощренными. Даже мотивы меняются: если в 2017 году атака общеизвестного вируса WannaCry имела финансовую подоплеку, то вирус RanRan, который атаковал Ближний Восток и Филиппины, вместо денег требует неких политических заявлений.
Таким образом, в 2018 году атаки Ransomware выйдут за грань финансовой выгоды, прогнозирует Руслан Яременко. Также получат развитие атаки, уничтожающие данные (похожие на NotPetya), сохранится быстрое распространение с помощью вирусов-червей, а шантаж, как и раньше, будет сопровождаться удерживанием данных и компьютеров «в заложниках».
Утери, кражи, изъятие и порча компьютерного оборудования - повседневные реалии украинского бизнеса. Это приводит к потере важных корпоративных данных и продолжительным простоям в работе, а значит, к потере денег. А потеря денег - это непозволительная роскошь для компаний, работающих в современных условиях высококонкурентных рынков. И задача руководителя - минимизировать затраты, всевозможные форс-мажоры и простои. В этом ему помогут облачные технологии, которые избавят компанию от капитальных затрат и нивелируют часть бизнес-рисков.
Покупая сервера и лицензии на программное обеспечение, компании несут значительные капитальные затраты (CAPEX). Также необходимо вести учет этих материальных ценностей, регулярную амортизацию, периодическое списание устаревшего, докупать запасные части для ремонта, обеспечивать помещение для серверов и платить за потребляемую ими электроэнергию. Все это требует дополнительных финансовых трат, добавляет работы бухгалтерии и IT-службе и является «головной болью» руководителя. Но от этого всего можно избавиться. Применяя облачные IT-системы, практически все необходимое (сервера и программы) можно брать в аренду в дата-центрах или у специализированных сервис-провайдеров и относить ежемесячную плату за пользование на операционные затраты (OPEX). Вы упростите администрирование ИТ-ресурсов, получите предсказуемые расходы на ИТ-обеспечение и нивелируете ряд серьезных бизнес-рисков.
Эти и многие другие рекомендации бизнесу были озвучены Русланом Яременко в рамках воркшопа «Кибербезопасность: бизнес без опасности!», который проводился 30 мая в рамках заседания Комитета малого и среднего бизнеса Киевской ТПП.
