«Порушення цілісності інформації зазвичай спричинюється не поганими людьми, а хорошими людьми, які припускаються помилок, або погано налагодженими бізнес-процесами»
Ларрі Понемон, засновник Інституту Понемон
Останнім часом проблема захищеності інформації компаній від кіберзагроз набула надзвичайно великої актуальності в усьому світі та в Україні, зокрема. Всім відомі недавні випадки нападів на інформаційні системи низки державних органів та підприємств енергетики в Україні, кібератаки на системи електронного листування осіб, політичних партій і установ у США, Франції, Великобританії тощо. Випадки кібератак проти приватних компаній широко не набувають такого широкого розголосу, хоч і їхня кількість також неухильно зростає.
У США з проблемою кіберзагроз зіштовхнулися трохи раніше, ніж в Україні, тому на сьогоднішній день там вже відпрацьована система превенції і захисту від кібератак, а також більш-менш успішно діє система моніторингу стану інформаційної безпеки. Особливу увагу питанням кібербезпеки приділяють американські компанії та організації, які володіють так званою «чутливою» інформацією, – це банки, лікарні, юридичні фірми, ЗМІ тощо.
За інформацією американської кіберкомпанії «Мандіант», протягом останніх років від дій кіберзловмисників постраждало близько 80 із сотні найбільш прибуткових компаній США. Інша кіберкомпанія – «Понемон інститут» – підрахувала, що через кібератаки кожна компанія в США щороку втрачає в середньому близько 200 доларів. Звісно, це усереднена цифра, а відтак окремі компанії через кіберзлочинність зазнають значно суттєвіших збитків, обсяги яких подекуди вимірюються тисячами, а то й мільйонами доларів.
Окрім фінансових збитків (пов’язаних з відновленням діяльності пошкоджених комп’ютерів та відновленням втраченої інформації), шкода від кібератак для компаній може призводити до:
- репутаційних втрат;
- витоку конфіденційної комерційної інформації,
- притягнення до відповідальності за порушення законодавства про захист персональних даних тощо.
Тож постає питання, а чи взагалі можливо захистити свою компанію від кіберзагроз або принаймні максимально мінімізувати викликані ними збитки?
Одразу варто зазначити, що повністю убезпечити інформаційну систему компанії від зовнішнього впливу практично неможливо, оскільки зловмисники можуть запускати кібератаки з потужнішого технічного обладнання і використовувати найновіші кіберсхеми втручання в інформаційні системи компаній.
Численні дослідження свідчать, що перш за все інформаційну систему компанії роблять уразливою до кіберзагроз саме її працівники, що користуються комп’ютерними гаджетами. Часто це обумовлюється відсутністю у працівників базових знань щодо безпечного використання приладів під час роботи у мережі «Інтернет». Навчання працівників правилам безпечного користування гаджетами та мережею Інтернет є важливим інструментом та потужним ресурсом для компаній для убезпечення від фатальних наслідків від можливих кібервторгнень.
В нагоді тут якраз і може стати трудове право, застосування норм якого допоможе компанії побудувати ефективну систему захисту інформації, з чітко приписаним механізмом запобігання та раннього виявлення можливих кіберзагроз, із підвищенням кіберграмотності працівників, шляхом їх навчання та посилення персональної відповідальності. Саме це і є предметом нашого подальшого розгляду.
Для мінімізації уразливості компанії до кіберзагроз, на яку можуть вплинути дії або бездіяльність працівників при користуванні гаджетами та Інтернетом, компаніям варто запровадити механізм забезпечення інформаційної безпеки шляхом вчинення таких послідовних дій.
1. Розробка Політики інформаційної безпеки («Політика»)
Назва документу, що регулюватиме порядок захисту компанії від кіберзагроз, може різнитись (наприклад, «Політика кібербезпеки», «Правила використання технічних засобів» тощо), в залежності від бачення керівника компанії. Проте слід зважати на те, що важливішим від назви є зміст документу, чіткість формулювань та ефективність механізму контролю за дотриманням його положень.
Перш за все, Політика має відображати специфіку діяльності конкретної компанії, для якої вона розробляється. Якщо це компанія, що працює з «чутливою інформацією», то її положення мають бути більш суворими. Наприклад, для банківської системи передбачені спеціальні вимоги щодо інформаційної безпеки. Вони розробляються уповноваженим на це органом – Національним банком України, на нього ж покладено функцію контролю за дотриманням цих вимог. Також особливу увагу варто звернути на Закон України «Про захист персональних даних», який зобов’язує власника персональних даних здійснювати їх захист від випадкових втрати або знищення, а також від незаконної обробки.
При розробці Політики важливо чітко прописати всі її положення, з визначенням прав та обов’язків як працівників, так і роботодавців. Зокрема, треба особливо ретельно визначити порядок встановлення додатків та програм на комп’ютери та телефони, надсилання документів тощо. Для цього можна скористатись Міжнародним стандартом ISO 27001:2013 щодо інформаційної безпеки, який встановлює вимоги до створення, впровадження, підтримки та постійного поліпшення системи менеджменту інформаційної безпеки в усіх організаціях, незалежно від форми власності та розміру. Зазначений стандарт також містить вимоги до оцінки і обробки ризиків інформаційної безпеки з урахуванням потреб організації.
Проблемним моментом у діяльності компаній з позиції забезпечення кібербезпеки може виявитись визначення меж можливого регулювання порядку застосування технічних приладів співробітниками. Як відомо, в останні роки все більшого розповсюдження набуває практика Bring-Your-Own-Device – використання працівниками під час виконання їх безпосередніх функцій власних комп’ютерів, телефонів та інших гаджетів. Це суттєво збільшує рівень вразливості інформації, яку вони використовують в процесі роботи. Американська технологічна компанія IBM провела дослідження і виявила, що близько 60 відсотків додатків для знайомств вразливі до зовнішнього впливу, а це може призвести до втрати не лише даних у додатку, а і усіх даних, які містяться на приладі.
Але чи можуть роботодавці заборонити використовувати власні пристрої працівників на їхній розсуд? Одразу на думку спадають конституційні заборони щодо втручання в особисте життя та право кожного володіти, користуватись і розпоряджатись свою власністю. Тож з юридичної точки зору не можна заборонити особі встановлювати ті чи інші додатки на власні пристрої, а відтак положення про обмеження їх використання буде радше моральним, а не забезпеченим правовим примусом.
При використанні суто робочого обладнання для робочих цілей, питань щодо законності контролю зазвичай не виникає, хоча і тут потрібно зважати на пропорційність втручання у приватну сферу життя людини та необхідність попередження її про моніторинг використання комп’ютерів, мобільних телефонів та іншого обладнання. Так, минулого року Європейський суд з прав людини у справі «Барбулеску проти Румунії» підтвердив, що моніторинг приватної електронної переписки з роботодавцем працівника, який думав, що ця переписка містить виключно робочі повідомлення, не вважається непропорційним втручанням у право на повагу до приватного життя та кореспонденції, хоча на перший погляд і може виглядати порушенням прав людини працівника. Здійснений роботодавцем моніторинг був визнаний у цьому випадку законним, оскільки був обумовлений його правом контролювати робочий процес.
2. Запровадження Політики інформаційної безпеки
Для того, щоб Політика інформаційної безпеки стала обов’язковою до виконання, її треба офіційно запровадити – затвердити відповідним наказом керівника компанії, з наступним ознайомленням з нею працівників під підпис. Як варіант, можна прописати усі основні положення стосовно цього у Правилах внутрішнього трудового розпорядку. Щодо нових працівників, можливим є включення вимоги про дотримання Політики до положень трудового договору з ними, посадової інструкції.
3. Ознайомлення працівників із Політикою інформаційної безпеки
Ключовим аспектом реалізації Політики є те, що усі працівники компанії мають ознайомитися з нею до початку роботи. Формально вистачить і того, що працівник прочитає положення Політики і розпишеться про ознайомлення. Однак, все ж рекомендується провести роз’яснювальну роботу щодо важливості дотримання положень Політики до того, як працівник приступить до роботи.
На сьогоднішній день, судова практика щодо порушення політик інформаційної безпеки стосується передусім працівників банківських установ, адже щодо них існує спеціальне законодавче регулювання. У таких справах судді перш за все звертають увагу на те, чи був працівник ознайомлений з положеннями Політики. Наприклад, у справі № 487/2006/15-ц Заводський районний суд міста Миколаєва скасував догану, накладену на працівника банку за порушення вимог «Положення про безпеку та захист даних». Суд врахував той факт, що працівник не був ознайомлений безпосередньо з вказаним Положенням, а лише з посадовою інструкцією, яка містила обов’язок його дотримання.
4. Призначення відповідальної особи
Важливо визначити, хто буде відповідати за моніторинг дотримання вимог Політики. Найкраще, щоб цим безпосередньо займався IT-менеджер компанії, проте HR-менеджер, звісно, також має допомагати організовувати кадрову роботу, спрямовану на забезпечення інформаційної безпеки. Часом особисто керівник здійснює контроль за дотриманням положень Політики. У будь-якому разі на відповідальну особу покладаються обов’язки щодо розслідування усіх випадків порушення вимог Правил з метою подальшого притягнення порушника до відповідальності.
5. Притягнення до відповідальності
Кожний випадок порушення Правил має бути розслідуваний, а винні – притягнуті до дисциплінарної відповідальності з врахуванням усіх вимог, передбачених Кодексом законів про працю. У разі незначних порушень можна обмежитись усним попередженням і, можливо, проведенням додаткової роз’яснювальної роботи з працівником.
6. Постійне вдосконалення
За даними різних кіберкомпаній, в Інтернеті щодня з’являється понад 100 тис. нових різновидів вірусів. Звісно, найбільше аналізом нових кіберзагроз та розробкою засобів їх стримування має займатись IT-персонал компаній. Проте окреслена тенденція показує, що у зв’язку зі зростанням кількості нових викликів для інформаційної безпеки надзвичайно важливо весь час вдосконалювати систему менеджменту інформації в цілому.
Зокрема, необхідно постійно навчати працівників безпечно працювати з інформацією. Для виявлення прогалин у знаннях працівників щодо захисту інформаційної безпеки слід проводити відповідні тестування та організовувати тематичні тренінги за визначеним відповідальною особою графіком.
Таким чином, для ефективної протидії можливим кібератакам та забезпечення інформаційної безпеки компанії, зусилля менеджменту треба перш за все спрямовувати на те, аби мінімізувати людський фактор, для чого запровадити чітко прописані внутрішні правила реалізації інформаційної безпеки, водночас забезпечивши належний контроль за їх дотриманням. Важливо не нехтувати постійним навчанням персоналу компанії з питань запобігання та протидії кіберзагрозам, оперативно вносячи корективи до існуючих порядків та правил.
Опубліковано: "Юридична Газета", №14, 04 квітня 2017 р.
Автори: Оксана Войнаровська, Ярослава Загоруйко