Кибербезопасность: негативные последствия кибератак

На сегодня кибератака — это не только вирусы или украденные пароли, а и любые действия злоумышленников, которые используют имеющиеся пробелы в вашей кибербезопасности. В результате — нарушение политики безопасности информации, нанесение ущерба автоматизированным системам и компьютерным сетям и еще целый ряд негативных последствий для бизнеса.

Возможные причины кибератаки:

• несовершенное оборудование,
• плохое шифрование,
• незащищенное подключение,
• плохой пароль на Wi-Fi,
• личные гаджеты в корпоративной сети,
• небрежность работников — и еще десятки, если не сотни угроз, о которых не догадывается простой пользователь.

Среди множества негативных последствий кибератаки можно выделить нарушение безопасности персональных данных. Наравне с развитием технологий и интеграцией каждого в киберпространство, все чаще обсуждается опасность уничтожения или утечки персональных данных. Это может привести к:

• мошенничеству с использованием платежных данных владельцев бизнеса или клиентов,
• порче репутации бизнеса,
• другим материальным потерям и в результате — уменьшению прибыли.

Поэтому действия по защите персональных данных являются обязательным требованием к предприятию как владельцу данных, согласно Закону Украины «О защите персональных данных». Конвенция Совета Европы № 108 «О защите лиц в связи с автоматизированной обработкой персональных данных» предусматривает принятие соответствующих мер безопасности. А киберзащита персональных данных определена в Законе Украины «Об основных принципах обеспечения кибербезопасности Украины».

Итак, если защита данных вашего бизнеса и риск их потери — это исключительно ваша проблема, то защита персональных данных, которые вы обрабатываете — уже ваша обязанность перед законом. И разобраться в таких нормах часто сложнее, чем технически организовать самую кибербезопасности.

В этом, безусловно, могут помочь опытные юридические советники. Именно они смогут не только решить уже существующие проблемы, но и заблаговременно выявить потенциальные риски и, таким образом, предотвратить нарушение закона и привлечение к ответственности. За нарушение законодательства в сфере обработки персональных данных должностных лиц предприятия предусмотрена административная (статьи 188-39, 188-40 КУоАП) и уголовной ответственности (статья 182 УК Украины).

Возможные действия Уполномоченного Верховной Рады Украины по правам человека:

• проводит плановые и внеплановые проверки — составляет предписание об устранении нарушений или протокол об административном правонарушении,
• выявляет при проверке признаки уголовного правонарушения — направляет необходимые материалы в правоохранительные органы.

Расследование киберинцидентов, связанных с утечкой персональных данных, обеспечивается, прежде всего, на организационном уровне предприятия благодаря:

• своевременному реагированию,
• согласованности действий,
• локализации и минимизации последствий,
• внедрению мероприятий по защите информации на будущее.

Для согласования действий между работниками компании, в случае несанкционированного доступа третьих лиц к персональным данным, юристу необходимо разрабатывать на предприятии политики в соответствии с требованиями законодательства Украины и других государств. Например, требованиями GDPR (Общий регламент защиты персональных данных ЕС) предусмотрено обязательное уведомление компетентных органов о киберинцидентах, приводящих к утечке персональных данных. Интересно, что GDPR может применяться не только на территории ЕС, но и за его пределами — относительно деятельности предприятий, зарегистрированных в ЕС, относительно граждан ЕС и тому подобное.

В случае киберинцидентов или кибератак важно привлекать юристов к взаимодействию с органами государственной власти и представительства интересов бизнеса в суде.

Владимир Сальников, адвокат, руководитель практики юридического абонентского сопровождения

Наталья Божко, юрист практики юридического абонентского сопровождения