Кібербезпека: негативні наслідки кібератак

На сьогодні кібератака — це не лише віруси чи вкрадені паролі, а й будь-які дії зловмисників, які використовують наявні прогалини у вашій кібербезпеці. У результаті — порушення політики безпеки інформації, завдання збитків автоматизованим системам та комп’ютерним мережам та ще ціла низка негативних наслідків для бізнесу.

Кібератака можлива через:

• недосконале обладнання,
• погане шифрування,
• незахищене підключення,
• поганий пароль на Wi-Fi,
• особисті гаджети в корпоративній мережі,
• недбалість працівників — і ще десятки, якщо не сотні загроз, про які не здогадується простий користувач.

Серед безлічі негативних наслідків кібератаки варто виокремити порушення безпеки персональних даних. На рівні з розвитком технологій та інтеграцією кожного в кіберпростір, все частіше обговорюється небезпека знищення або витоку персональних даних. Це може призвести до:

• шахрайства з використанням платіжних даних власників бізнесу чи клієнтів,
• псування репутації бізнесу,
• інших матеріальних втрат і в результаті — зменшення прибутку.

Тому дії щодо захисту персональних даних є обов’язковою вимогою до підприємства як володільця даних, відповідно до Закону України «Про захист персональних даних». Конвенція Ради Європи № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних» передбачає вжиття відповідних заходів безпеки. А кіберзахист персональних даних визначений у Законі України «Про основні засади забезпечення кібербезпеки України».

Отже, якщо захист даних вашого бізнесу й ризик їх втрати — це виключно ваша проблема, то захист персональних даних, які ви обробляєте — уже ваш обов’язок перед законом. І розібратися в таких нормах часто складніше, ніж технічно організувати саму кібербезпеку.

У цьому, безумовно, можуть допомогти досвідчені юридичні радники. Саме вони зможуть не лише вирішити уже наявні проблеми, але й завчасно виявити потенційні ризики й, таким чином, запобігти порушенню закону та притягненню до відповідальності. За порушення законодавства у сфері обробки персональних даних для посадових осіб підприємства передбачено адміністративну (статті 188-39, 188-40 КУпАП) та кримінальну відповідальність (стаття 182 КК України).

Можливі дії Уповноваженого Верховної Ради України з прав людини:

• проводить планові та позапланові перевірки — складає припис про усунення порушень або протокол про адміністративне правопорушення,
• виявляє під час перевірки ознаки кримінального правопорушення — направляє необхідні матеріали до правоохоронних органів.

Розслідування кіберінцидентів, пов’язаних із витоком персональних даних, забезпечується, передусім, на організаційному рівні підприємства завдяки:

• вчасному реагуванню,
• узгодженості дій,
• локалізації та мінімізації наслідків,
• впровадженню заходів щодо захисту інформації на майбутнє.

Для узгодження дій між працівниками компанії, у разі несанкціонованого доступу третіх осіб до персональних даних, юристу необхідно розробляти на підприємстві політики відповідно до вимог законодавства України й інших держав. Наприклад, вимогами GDPR (Загальний регламент захисту персональних даних ЄС) передбачено обов’язкове повідомлення компетентних органів про кіберінциденти, що призводять до витоку персональних даних. Цікаво, що GDPR може застосовуватися не лише на території ЄС, а й поза його межами — щодо діяльності підприємств, зареєстрованих у ЄС, щодо громадян ЄС тощо.

У разі кіберінцидентів чи кібератак важливо залучати юристів до взаємодії з органами державної влади та представництва інтересів бізнесу в суді.

Володимир Сальников,
адвокат, керівник практики юридичного абонентського супроводу

Наталія Божко,
юрист практики юридичного абонентського супроводу