Сьогодні, 26 квітня 2018 р., відбувся онлайн-захід «Кібербезпека: чого чекати бізнесу від 2018 року?», організований «Юридичною Газетою» спільно з Intecracy Group. Юристи та IT-спеціалісти обговорили питання, пов’язані із кіберзахистом електронних даних компаніями.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
За словами Геннадія Гулака, директора Департаменту кібербезпеки інституту математичних машин Національної Академії Наук, кібервійна розпочалася досить давно і ведеться то з більшою, то з меншою інтенсивністю за всіма напрямками. Це пов'язано із зростанням напруженості в суспільстві та бізнесі, а також відносинами між політичними партіями, державами.
На його думку, суспільство буде «кібербезпечним» тільки тоді, коли усвідомить існуючу проблему і буде брати участь в її вирішенні. «Для того, щоб знайти гідний механізм протидії кібератакам, необхідно продумати, як буде діяти потенційний противник наступного разу. Не можна сказати, що у цьому напрямі державою досягнуто колосальних успіхів, оскільки зламати інформаційні системи набагато легше, ніж забезпечити їх функціонування відповідно до призначення», - зазначив пан Гулак.
Які юридичні наслідки можуть бути в результаті кібератак, розповіла Ольга Бєлякова, партнер CMS Cameron McKenna Nabarro Olswang. «Перше, на що звертається увага, – люди думать, що оминуть кібератаки, або що до них можна підготуватися. Варто пам’ятати, що кіберінциденти – це не тільки хакерська атака. Вони можуть виникнути й всередині компанії та бути зумовленими нігілізмом співробітників у контексті використання її системами. Дуже важливим є те, щоб компанія турбувалася про навчання своїх співробітників, пояснюючи їм правила роботи з технічним матеріалом і матеріально-технічною базою», - наголосила вона.
Також пані Бєлякова виділила наслідки кіберінцидентів, серед яких найбільш небезпечними є витік даних та шкода діловій репутації, яка залежить і від бізнесу, який веде компанія, і від підготовки та реагування. Окрім цього, вона навела такі рекомендації щодо підготовки та реагування на кіберінциденти:
- підготовка плану дій на випадок кібератак;
- мати контакти людей, у яких вже є досвід усунення наслідків кібератак;
- аналіз комерційних договорів (положення про форс-мажор тощо);
- підготовка співробітників заздалегідь до таких можливих ситуацій;
- страхування кіберризиків (популярне за кордоном, зокрема, в Америці).
У свою чергу Діма Гадомський, CEO Axon Partners, розповів про те, наскільки юридичні компанії захищені від кібератак. Так, за статистикою, юридичні компанії (ТОП-200) витрачають на своє IT-забезпечення від 4% до 4,5% свого річного доходу, у той час як компанії, що знаходяться нижче за рейтингом, – близько 2% від свого доходу або менше.
За словами Олександра Киселевського, керуючого партнера Intecracy Group, необхідний інший підхід – спочатку слід створити таке захищене середовище, де будуть вимоги, які виконуватимуться усіма сторонами за допомогою трьох факторів: технічний захист інформації, криптозахист інформації, певні організаційні засоби (залучення юристів тощо). «Якщо не будемо вчити, пояснювати та співпрацювати, не дотримуючись усіх факторів, то ніякої користі з захисту не буде. Це вимоги до побудови: якщо ви маєте те чи інше програмне забезпечення, то слід використовувати й те, що рекомендує увесь світ», - зазначив він.
Про відповідальність за невиконання зобов’язань у разі кіберінциденту розповіла Катерина Олійник, партнер, керівник практики інтелектуальної власності Arzinger. На її думку, наразі ця тема найбільше обговорюється взагалі у площині IT-комплаєнсу і ризик-менеджменту. Наприклад, європейське законодавство передбачає, що компанія, яка є власником певного масиву даних, відповідає і за здійснення комплексу заходів, які необхідні для того, щоб попередити й убезпечитися від втрати даних заходів.
Окремо пані Олійник розповіла про Регламент по захисту персональних даних GDPR (EU General Data Protection Regulation – прим. ред.), який вступить в силу у травні 2018 р. Він передбачає, що компанія зобов’язана вжити належних заходів для попередження кіберінцидентів. Підстава звільнення від відповідальності буде тільки у тому випадку, коли компанія доведе, що вжила усіх належних заходів для безпеки. Вони мають 2 основні блоки:
- організаційний (передбачає: наявність політик в компанії, які окреслюють, яким чином здійснюється взаємодія з будь-яким технічним обладнанням; які дані, коли та яким чином вони використовуються і передаються третім особам; всі способи реагування й мініміації ризиків, додаткового плану заходів про відновлення інформації й наслідків кіберизиків);
- технічний.
За її словами, усі ризики мають підвищити внутрішню культуру управління роботи з даними і моделями захисту, чого наразі немає. «Здійснення усіх заходів, що передбачають убезпечення і правильні моделі реагування на такі заходи, є підставою для того, щоб у подальшому, у випадку якихось критичних дій, довести, що це була обставина непереборної сили. Таке загальне поняття як «форс-мажор» не є на сьогодні абсолютною категорією – воно має певні ознаки, які передбачають або класичні явища природи, які дійсно у деяких випадків не можна передбачити, або ті обставини, які не можна було спрогнозувати і для запобігання яких компанія чинила певний комплекс дій», - розповіла Катерина Олійник.
«Чудово, коли є можливість загальносистемного підходу, починаючи з розуміння, які ви дані взагалі збираєте, яким чином ви їх оброблюєте, які дії робите для того, щоб мінімізувати ризики. Це можна починати від простих речей, як взагалі мінімізація тих даних, які у вас є і залишаються, до класичного і постійного аудиту технічних засобів безпеки і роботи з кожним працівником, щоб доводити звичайні речі щодо роботи з даними», - зазначила вона.