Може здаватися, що кібербезпекою серйозно займаються лише в Пентагоні. Насправді ж, пов’язані з нею проблеми відомі Україні не лише з книжок.
Влітку 2017 року Україна була атакована вірусами сімейства Petya з російським корінням, непрямі збитки для економіки від яких оцінюються в 10 млрд грн. Постраждали як великі компанії, на зразок Укрзалізниці, так і маленькі бізнеси, чия діяльність була призупинена. Кілька тижнів тому жертвою атаки з крадіжкою даних стала одна з найбільших українських сервісних ІТ-компаній — SoftServe.
Нещодавно американський уряд заявив про наміри виділити Україні $38 млн. На проєкт з кібербезпеки, бенефіціаром якого має стати Міністерство цифрової трансформації. Очікується, що фінансування дозволить державі посилити свою захищеність у кіберпросторі. Отже, проблема кібербезпеки існує, а кіберзагрози можуть зачепити будь-кого — від громадян і маленьких бізнесів до корпорацій і цілих держав.
Передусім кібербезпекою повинні займатися технічні спеціалісти у сфері захисту інформації. Поради юриста можуть лише допомогти правильно організувати процеси та розібратися у масиві нормативно-правових актів з питань кібербезпеки і кіберзахисту, саме існування яких для багатьох є сюрпризом.
З чого почати бізнесу, щоб бути захищеним? Перелічимо практичні кроки, які будуть однаково корисні як великій корпорації, що володіє об'єктами критичної інфраструктури (електростанції, транспорт, зв’язок), так і невеликому інтернет-магазину.
- Провести аудит та оцінити ризики
Починати наводити лад слід з оцінки стану, в якому перебуває організація. Для цього потрібно оцінити її активи та їх вразливість з погляду ризиків кібербезпеки (наприклад, потенційні збитки від крадіжки фінансової інформації, персональних даних працівників, блокування роботи поштового сервера, веб-порталу тощо).
Для проведення аудиту слід залучити фахівців у сфері захисту інформації, які вкажуть на вразливості після вивчення комунікаційних та технологічних систем організації. Звіт про виявлені вразливості визначить етапи, які потрібно пройти бізнесу, щоб стати захищеним.
- Дотримуватися стандартів кібербезпеки
Закон зобов’язує згадані вище об'єкти критичної інфраструктури відповідати низці вимог з кіберзахисту. Для некритичних, з погляду національної безпеки, бізнесів обов’язкових законодавчих вимог чи стандартів немає. Проте їм теж рекомендується прийняти внутрішню політику (хай невелику за обсягом), якою визначити ключові права та обов’язки працівників і осіб, відповідальних за кібербезпеку.
Така політика має включати як повсякденні обов’язки працівників (регулярно змінювати паролі, не залишати комп’ютер в розблокованому стані, не використовувати зовнішні носії, не відвідувати підозрілі веб-сайти тощо), так і плани реагування організації на кіберінциденти з розподілом обов’язків відповідальних за кіберзахист та менеджмент компанії.
- Призначити відповідального
Далеко не в кожної організації є потреба створювати підрозділ з кібербезпеки. Але навіть на рівні невеликого бізнесу буде корисно визначити особу, яка за посадою відповідає за кібербезпеку. У невеликих організаціях такі функції, зазвичай, виконує системний адміністратор. Достатньо визначити функції та завдання такої особи в політиці з кібербезпеки. Якщо роботу з кібербезпеки особа поєднує зі своєю основною роботою (як у випадку із системним адміністратором), можна передбачити невелику доплату за виконання додаткових функцій.
- Правильно реагувати на інциденти
Кіберінцидент — це не завжди націлена атака, оскільки він може мати як навмисний, так і ненавмисний характер, спричиняється як діями людей, так і незалежними від них подіями. Основне завдання при виявленні кіберінциденту — правильно його ідентифікувати, оцінити, з чим ми маємо справу, та нейтралізувати загрозу. Знову ж таки, у великих організаціях створюються цілі команди з реагування на кіберінциденти. Для невеликого бізнесу достатньо визначити відповідальній особі чіткі кроки, які, залежно від обставин, вона може здійснити самостійно чи із залученням сторонньої підтримки.
За законом, навіть приватні компанії мають право розраховувати на оперативну підтримку Урядової команди реагування на кіберінциденти (CERT-UA). Тоді як кіберполіція чи інші правоохоронні органи можуть провести розслідування лише постфактум, такі організації, як CERT-UA, Ситуаційний центр забезпечення кібербезпеки при СБУ (MISP-UA) чи Національний координаційний центр кібербезпеки (НКЦК) при РНБО допомагають нейтралізувати загрозу в її активній фазі. Крім того, держателі державних інформаційних ресурсів зобов’язані інформувати про будь-які інциденти Державну службу спеціального зв’язку та захисту інформації (ДССЗЗІ).
- Подумати про страхування кіберризиків
Також компаніям варто розглянути можливість страхування кіберризиків. Це може заощадити ресурси на безпеку та допоможе покрити збитки у разі втрати даних чи блокування роботи компанії. Уже досить багато страхових компаній пропонують в Україні цю послугу.
Наприклад, згаданий вірус NotPetya завдав компанії Mondelez та її офісам по всьому світу збитків на $100 млн. Кіберризики компанії були застраховані в Zurich Insurance, яка б мала покрити завдану шкоду. Однак страховик відмовився здійснити виплату, оскільки за договором його відповідальність виключалась, якщо кібератака була пов’язана з ворожими діями іноземної держави (фактично, актом війни). Це й дозволило компанії кваліфікувати дії Росії (звідки, вірогідно, і здійснювалась атака) як акт війни проти України, щоб уникнути виплати. Остаточне рішення у цьому спорі дасть суд у штаті Іллінойс, куди звернулась Mondelez.
Легковажне ставлення до кіберзагроз може коштувати бізнесу надто дорого, особливо, якщо він зав’язаний на інформації та використанні комунікаційних і технологічних систем (а таких бізнесів сьогодні — більшість). Наші прості кроки є лише початком великого шляху роботи над безпекою компанії. Однак пройшовши навіть ці кроки, можете бути певні, що ваша організація стане більш захищеною, ніж переважна більшість аналогічних компаній в Україні.
Автор: Олександр Мельник, радник
Опубліковано: НВ Бізнес, 19 жовтня 2020 р.