Кіберпростір став місцем для логічного продовження людського існування в якісно новому вимірі, в той час як втрата даних або їх спотворення веде як до репутаційних, так і майнових втрат. Секретами про те, що таке кібербезпека і як її потрібно організовувати на підприємстві, поділилися на другій лекції 11-го семестру Правничої школи Європейської Бізнес-Асоціації (EBA) та Астерс партнери центру СyberDesk - Юрій Котляров та Олександр Макаревич.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Зокрема, пан Котляров розповів про тенденції розвитку кібербезпеки в Україні і регуляторні ініціативи, які мають можливість сформувати правове поле, в межах якого вже, можливо, з наступного року доведеться працювати. Серед основних документів ЄС у сфері кібербезпеки, на які варто звернути увагу юристу з кібербезпеки, він виділив:
- Стратегію кібербезпеки ЄС, 2013 р.;
- Директиву NIS, 2015 р.;
- Стратегію єдиного цифрового ринку (DSM Strategy), 2015 р.
В цей час в Україні з’являлися подібні ініціативи, які, за словами пана Котлярова, визначили ландшафт для подальших дій, а саме:
- Стратегія національної безпеки України, 2015 р.;
- Стратегія кібербезпеки України, 2016 р.;
- Закон України «Про основні засади забезпечення кібербезпеки України», 2017 р.
На основі цих документів вже підготовлені та узгоджуються нормативно-правові акти, що сформують правовий ландшафт імплементації та комплаєнсу вимог до об’єктів критичної інформаційної інфраструктури. Серед таких проектів:
- порядок визначення переліку об’єктів критичної інформаційної інфраструктури;
- загальні вимоги з кіберзахисту об’єктів критичної інфраструктури;
- порядок проведення незалежного аудиту інформаційної безпеки на таких об’єктах.
На практичних аспектах зупинився Олександр Макаревич. Так, він роз’яснив, що кібербезпека є лише частиною більш ємного поняття - інформаційної безпеки. Водночас кібербезпека охоплює питання тільки захисту активів, які обробляються в інформаційній мережі, тобто в Інтернеті. Все інше - загрози зовнішнього середовища, фізична безпека, помилки персоналу тощо - охоплює інформаційна безпека.
За його словами, механізми кібербезпеки не надто складні, відтак в багатьох питаннях не потрібно бути технічним спеціалістом, щоб вберегти себе і свою компанію від кібератак. «Якщо у вашій компанії немає спеціаліста з кібербезпеки, досить велику частку роботи можна зробити самостійно як юрист, володіючи елементарними поняттями», - наголосив пан Макаревич.
Сама ж кібербезпека базується на трьох засадах (так звана «тріада кібербезки»):
- конфіденційність - питання надання та обмеження доступу до інформації. Простіше кажучи, потрібно визначити, хто має доступ до якоїсь інформації, а хто - ні;
- цілісність - недопущення ситуації, коли інформаційний актив може бути змінений і таким чином спотворений;
- доступність - виключення ситуації, коли інформаційний актив на якийсь час перестає бути доступним для користувача, наприклад, при наявності віддаленого серверу.
Пан Макаревич також розповів про алгоритм, який необхідно вжити для розробки плану протидії по відношенню до різних сценаріїв кібератак. Такий алгоритм включає в себе:
- ідентифікацію активів;
- оцінку ризиків, включаючи оцінку того, що саме може загрожувати, і слабких місць інформаційних активів;
- прийняття рішення щодо вжиття або невжиття певних заходів, адже інколи вартість усунення загрози може перевищувати саму вартість активу, і це потрібно враховувати;
- розгляд пропозицій по контрзаходам;
- проведення аналізу остаточного ризику, тобто порівняння рівня ризикованості до і після впровадження контрзаходів;
- якщо всі інстанції пройдені і бюджет погоджений - план впровадження контрзаходів.
Також Олександр Макаревич поділився одним із можливих практичних підходів до розрахунку рівня ризику Так, модель аналізу ризиків складається з двох частин: вірогідності настання певної події і рівня наслідків обидві частини можуть мати рівень наприклад від 1 до 4. У свою чергу вірогідність події складається з притаманної цьому активу вразливості та контрзаходів, які прийняті для її недопущення; рівень наслідків - з переліку загроз, які притаманні цьому активу, і вартості самого активу.
Таким чином для обчислення рівня ризиковості потрібно помножити між собою кількісний показник вірогідності настання події і рівня наслідків. Підрахувавши це, вже можна складати список пріоритетності усунення певних загроз.
І наостанок кілька практичних порад від пана Макаревича:
- персонал має постійно проходити навчання щодо правил безпеки і соціальної інженерії (фішингу);
- паролі не повинні бути легкими, адже тоді їх можна буде легко підібрати. («Ніяких admin-admin, 12345, qwerty, імен матері, доньки, дружини»). Краще, щоб доступ взагалі проходив через двофакторну автентифікацію, тобто пароль плюс пін-код, який надходитиме на телефон у момент підключення;
- встаючи з робочого місця, заблокуйте комп’ютер (lock-out). Це має увійти у звичку;
- пересилаючи конфіденційну інформацію, архівуйте її так, щоб ключ від архіву був лише у вас і вашого контрагента;
- завжди оновлюйте свій антивірус;
- перевіряйте бекграунд персоналу, який працює з конфіденційною інформацією;
- копіюйте важливі дані на окремі оффлайнові носії (бекап даних) і відновлюйте інформацію при необхідності.
Виконуйте ці прості правила, і шанси, що вас хакнуть, будуть в рази менше!