Вітчизняних операторів та провайдерів телекомунікацій зобов’яжуть фіксувати, зберігати й надавати правоохоронним органам комп’ютерні дані та інформацію, необхідну для ідентифікації постачальників послуг і маршруту, яким її було передано. Крім того, відтепер за рішенням суду провайдери блокуватимуть певні категорії сайтів. Про це йдеться у Рішенні РНБО України від 29.12.2016 р. Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації, яке Президент ввів у дію Указом від 13.02.2017 р. №32/2017.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Така прискіплива увага до питань кібербезпеки країни не є випадковою, оскільки сьогодні як державні, так і приватні компанії зазнають чималих збитків від зухвалих кібератак, до яких вони виявляються зовсім не готовими. Незважаючи на численні випадки хакерського втручання у приватне життя громадян і різноманітні варіанти незаконного маніпулювання інформацією, Україна не має дієвих інструментів для запобігання та відбиття атак в інформаційній сфері, а всі заходи кіберзахисту є безсистемними й неефективними.
А в чому проблема?
Пояснити таке поширення кіберзлочинності в Україні досить легко: відповідальність за комп’ютерні злочини в нашій країні, у порівнянні зі світовими практиками, є вкрай низькою.Приміром, в Іспанії покарання за кіберзлочин – до 15-ти років позбавлення волі.
Щоправда, не так давно законодавець вже робив спробу посилити відповідальність. У 2015 р. на розгляд ВР було подано законопроект про внесення змін до деяких законів України щодо посилення відповідальності за вчинені правопорушення у сфері інформаційної безпеки та боротьби з кіберзлочинністю №2133а. Однак цей документ було передано на доопрацювання до відповідного Комітету. Наразі він готується до повторного першого читання.
За словами першого заступника начальника департаменту кіберполіції Національної поліції України Олександра Гринчака, присвоєння кіберзлочинам статусу тяжких значною мірою сприяло б проведенню слідства та більш ефективному затриманню зловмисників у цій сфері. Проте деякі експерти вважають, що тут справа не у статусі кіберзлочинів, а в неналежному їх розслідуванні.
«Я брав участь у кількох справах з розслідування кіберзлочинів. Десь – як адвокат, десь – як представник цивільного позивача, десь – просто як консультант. Зокрема, я брав участь у першій в Україні справі, в якій хоч когось було затримано. В цій справі з’ясувалося, що гроші, які знаходяться на банківському рахунку, є речовим доказом у справі. Тоді я так і не зрозумів, які саме ознаки робили певний запис на рахунку речовим доказом, але саме постанова слідчого про визнання їх речовим доказом допомогла нам повернути гроші позивачу. В іншій справі експерт не зміг надати висновок щодо інформації, яка знаходилася на вилученому лептопі, оскільки йому не надали пароль для входу в операційну систему. Насправді, пароль надали, але оскільки лептоп майже півроку пролежав під столом слідчого обмотаний скотчем, термін дії пароля закінчився (щоб увійти в систему, користувачу потрібно було приєднати його до корпоративної мережі). Тобто якість розслідування кіберзлочинів аж ніяк не була коником українських правоохоронних органів», – розповів у коментарі «Юридичній Газеті» Дмитро Гадомський, CEO в Axon Partners.
При цьому експерт зазначив, що в минулому році він був членом комісії, яка проводила співбесіди з кандидатами на посади аналітиків і спецагентів з розслідування кіберзлочинів. За його словами, ситуація з відбору фахівців значно покращилася. «Разом зі мною в комісії були чинні слідчі та ІТ-спеціалісти. Рівень відібраних кандидатів був вельми поважним. Судячи з останніх новин (в тому числі щодо Avalanche), якість слідства значно підвищилась. Чи не основна проблема тут у тому, що правоохоронні органи не мають можливості здійснювати розслідування «по гарячих слідах». Це проблема, оскільки сліди такого злочину зберігаються від кількох хвилин до кількох днів», – зауважив пан Гадомський.
Генеральний директор ООО «САЙ ЕC ЦЕНТРУМ» Микола Коваль стверджує, що недосконалість законодавства та суддівської системи, низький рівень підготовки з питань розслідування кіберзлочинів і кіберзагроз призводять до складнощів, пов’язаних не лише з ідентифікацією зловмисників, а й до неможливості доведення провини останніх. На думку експерта, державно-приватне партнерство може прискорити процес вдосконалення знань і навичок фахівців, а також системи в цілому. «З власного досвіду впевнено можу сказати, що обмін інформацією та взаємодія приватних компаній з суб’єктами забезпечення кібербезпеки країни вже продемонструвала позитивні результати в питаннях протидії кіберзлочинності та забезпечення кіберзахисту держави. Водночас спостерігається недостатність державної підтримки, яка мала б бути спрямована на заохочення згаданих процесів», – констатує пан Коваль.
Серед іншого, експерти з технічної підтримки нарікають, що нині в Україні не існує єдиного реєстру кіберінцидентів, що є додатковою проблемою. Створення відповідного реєстру дозволило б керівникам IT-підрозділів перевіряти маркери компрометації, відслідковувати, кому ще розсилалися аналогічні зразки шкідливого програмного забезпечення, обмінюватися індикаторами атак та убезпечувати таким чином свої об'єкти від кіберзлочинців.
Хто ж допоможе?
Втрата комерційної інформації або її розкриття зловмисниками чи конкурентами в результаті кібератаки у більшості випадків призводить до значних збитків на ринку; витрат, пов'язаних з перебоями в операційній діяльності організації; недовіри клієнтів; зниження та навіть знищення репутації фірми; штрафів від регулюючих органів; розорення компанії.
Як свідчить статистика, кіберзагрози однаковою мірою поширюються як на відомі великі компанії та холдинги, так і на представникiв малого й середнього бiзнесу. Тому питання iнформацiйної безпеки повинні бути чи не на першому місці кожного пiдприємства, незалежно вiд його масштабiв, рiвня складностi та характеру комерційної дiяльностi. Особливо це стосується юридичних компаній, в яких основним цінним активом є саме iнформацiя, а її крадiжка, втрата, неправильне використання, несанкцiоноване змiнення чи розкриття можуть мати серйозний вплив та наслідки.
«ІТ-інфраструктура юридичної компанії майже нічим не відрізняється від ІТ-інфраструктури типової компанії. Можливо, ситуація із захищеністю ІТ в цих компаніях є навіть гіршою (навряд чи люди з юридичною освітою та специфічністю цієї роботи приділяють достатньо уваги питанням кіберзахисту). З досвіду можемо сказати, що найбільш близькими до юридичної сфери атаками були атаки на нотаріусів, що мали на меті внесення змін до державних реєстрів. У таких випадках успішна реалізація загрози призводила до безпосередніх репутаційних ризиків, адже, як виявилося, нотаріус мав не лише визнати, що з його комп’ютера від його імені були внесені відповідні зміни, а ще й повинен був довести свою непричетність до шахрайства. Зміст і специфіка атаки полягають у тому, що зловмисники з використанням шкідливих програм отримували доступ до комп’ютерів, підключених до державних реєстрів, та вчиняли нотаріальні дії від імені відповідного нотаріуса, користуючись тим, що інформаційні системи реєстрів «довіряли» саме цим комп’ютерам. На жаль, модель загроз не враховувала ризик компрометації робочого місця нотаріуса», – зазначив пан Коваль.
Експерти радять інформувати про будь-які інциденти з посягання на інформаційну безпеку CERT-UA (Команда реагування на комп’ютерні надзвичайні події в Україні Держспецзв’язку) та департамент Кіберполіції Національної поліції України. Такі звернення є вкрай важливими для з’ясування того, чи є такий iнцидент поодиноким. Крім того, Команда реагування на надзвичайнi ситуацiї CERT надає певну пiдтримку та консультацiї у зв'язку з iнцидентом, що може допомогти жертвi атаки вжити ефективних контрзаходiв. При цьому варто пам’ятати, що у разі кібератаки IТ-персонал компанії повинен забезпечити належне збереження доказiв iнциденту. Рекомендації щодо збору даних IТ-персоналом у разi інцидентів iнформацiйної безпеки або у разi ураження шкiдливим ПЗ розміщені на веб-сайтi групи комп'ютерного реагування CERTEU Євросоюзу.
Керівник, почни з себе!
Керiвникам, партнерам, власникам юридичних компаній слід мати на увазі, що зберiгання та обробка інформації в електронному форматi передбачає певні зобов'язання для пiдприємства, адже воно несе вiдповiдальнiсть за управлiння даними, а отже, має забезпечити вiдповiдний рiвень безпеки. Тому саме керівник повинен першочергово вжити вiдповiдних заходів для захисту даних вiд випадкового чи незаконного знищення, від несанкцiонованого використання чи внесення змiн.
За словами Олексія Орловського, засновника української антивірусної лабораторії «Zillya! Антивірус», для багатьох компаній значною проблемою є безграмотність у питаннях кібербезпеки саме керівників. «Я вважаю, якщо власник, підприємець або топ-менеджер матиме достатній рівень знань про кібербезпеку і кіберзагрози, то він зможе ефективно керувати своїм персоналом. Він повинен розбиратися в тому, з чим має справу. Тут вся відповідальність саме на його плечах. Не можна просто перекласти її на співробітників», – впевнений пан Орловський.
Експерти сходяться на тому, що співробітникам компанії потрібно не просто розповісти, як користуватися програмним забезпеченням, а пояснити, що таке кіберзагроза та якими можуть бути її наслідки. Адже, як правило, комерційні структури та фізичні особи не знають, як поводитися у разі виникнення кіберпроблеми.
Радше людська помилка…
Київське відділення ISACA (Information Systems Audit and Control Association) всесвітньовідомої організації з розробки методологій та стандартів у сфері управління, аудиту й безпеки інформаційних технологій (ІТ) разом з Microsoft переклали українською мовою «Настанови з кібербезпеки від експертів» (далі – Настанови), які було спільно розроблено Бельгійським Відділенням Міжнародної Торгової Палати, Федерацією підприємств Бельгії, Ernst&Young, корпорацією Майкрософт, Бельгійським відділенням ISACA, асоціацією L-SEC та Бельгійським центром боротьби проти кіберзлочинності.
Як зазначено в документі, за результатами останніх досліджень, 35% iнцидентiв iнформацiйної безпеки є радше результатом людської помилки, нiж навмисної кiбератаки. Багатьох інцидентів (з решти 65%), якi є наслiдком навмисної кiбератаки, можна було б уникнути, якби постраждалi особи працювали з iнформацiєю у бiльш безпечний спосiб.
Таким чином, реалізація заходiв безпеки не повинна бути обмежена лише IТ-вiддiлом. Великі компанiї, які вже багато років на ринку, розглядають iнформацiйну безпеку як бiзнес-вимогу, безпосередньо пов'язану зi стратегічними цiлями й завданнями пiдприємства, корпоративною полiтикою, управлiнням ризиками, вимогами щодо дотримання відповідності та показниками продуктивностi.
Навiть у невеликих юридичних компанiях з-поміж спiвробiтникiв або ж на позаштатній основі має бути призначена особа, яка регулярно оцiнюватиме достатність заходів інформаційної безпеки та формально візьме на себе зобов’язання з інформаційної безпеки. Незважаючи на те, що в невеликих компанiях така особа може бути зайнята не повний робочий день, її функції можуть виявитися вкрай важливими для існування підприємства. У великих юридичних компанiях розподiл таких функцiй, ролей та обов'язкiв має бути здiйснений помiж окремими посадовими особами, робочими групами та командами, кожен член яких повинен чiтко знати свої обов'язки й усвiдомлювати рiвень вiдповiдальностi. У разі запровадження подібної схеми важливе значення матимуть належне документування та внутрiшня комунiкацiя.
Слідкуйте за оновленням «патчів»!
Як йдеться у Настановах бельгійських експертів, системи та програмне забезпечення компаній (в тому числi мережеве устаткування) повиннi оновлюватися, як тiльки стають доступними так звані «патчі» та оновлення мiкропрограмного забезпечення. Такi оновлення та патчi безпеки виправляють системнi вразливостi, якими можуть скористатися зловмисники. Експерти рекомендують використовувати автоматизовані сервiси оновлення, особливо для систем безпеки, до складу яких входять антивiруснi, веб-фiльтрацiйнi додатки й iнструменти виявлення вторгнень. Користувачам потрібно приймати лише актуальнi оновлення для систем безпеки, надiсланi безпосередньо оригiнальним виробником. В жодному випадку не можна здійснювати оновлення програмного забезпечення, запропоноване, наприклад, в електронному листi, надiсланому сторонньою фiрмою чи особою.
І мобільні перевірте!
Значнi загрози інформаційній безпецi та управлiнню справами юридичної компанiї містить використання співробітниками мобiльних пристроїв (особливо, якщо на них зберігається конфiденцiйна чи важлива iнформацiя, або якщо за їх допомогою можна отримати доступ до корпоративної мережi). Тут iснують ризики втрати або загрози цілісності даних, зараження вiрусними програмами, зловживання ресурсами, атаки через Iнтернет чи локальну мережу. Загалом, концепцiя використання власних пристроїв спiвробiтникiв є дуже привабливою для багатьох органiзацiй, але вона має суттєвий недолiк, який полягає у зростаннi ризику розкриття важливої інформації компанiї. Тому експерти рекомендують юридичним компаніям чiтко регламентувати, якi саме пристрої можуть отримувати доступ до локальної мережi компанiї та iнформацiї, а також запровадити вiдповiдну полiтику i процедури в галузi iнформацiйної безпеки. Крім того, програмне забезпечення на таких пристроях має пiдтримуватися в актуальному станi, щоб пристрiй завжди залишався захищеним від новітніх версій шкiдливих програм i вiрусiв.
Не зайвим буде запровадження звiтування працівників щодо загубленого або вкраденого обладнання, а також передбачення функції дистанцiйного видалення всiєї корпоративної iнформацiї з пам’ятi такого пристрою. Співробітникам юридичних компаній, які працюють з важливою інформацією, необхідно встановити надiйний додаток для системи безпеки електронної пошти; не вiдкривати неочiкуванi текстові повідомлення від невiдомих вiдправникiв; не переходити за невiдомими посиланнями; не спiлкуватися в чатах з незнайомими людьми.
За принципом службової необхідності
Задля забезпечення конфiденцiйностi, цiлiсностi та збереження інформації доступ до неї має надаватися виключно за принципом службової необхiдностi. Як йдеться у Настановах, жодна особа в організації не повинна мати доступ до всіх систем обробки даних. Спiвробiтники повиннi мати доступ до даних та інформаційних систем, якi їм потрiбнi для здiйснення своїх службових обов’язкiв. Повноваження адмiнiстратора (права «суперкористувача») повиннi бути наданi лише кiльком довiреним спiвробiтникам з-поміж IТ-персоналу та керівного складу.
Крiм того, спiвробiтники не повиннi мати можливiсть встановлювати будь-яке програмне забезпечення на корпоративнi ноутбуки та стацiонарнi комп’ютери без попереднього дозволу, а також змiнювати попередньо встановленi налаштування безпеки й параметри програмного забезпечення системи безпеки. Наявнiсть такої можливостi створює дуже високий ризик виникнення iнцидентiв iнформацiйної безпеки, тому вона має розглядатися як привiлейоване право та надаватися лише у тих випадках, коли це дiйсно необхiдно.
Користувачi локальної мережi юридичної компанiї повиннi мати можливiсть отримання доступу лише до таких сервiсiв та ресурсiв у мережi Iнтернет, якi необхiднi для здiйснення дiяльностi компанiї та виконання службових обов’язкiв спiвробiтниками. Сервiси та вебсайти, якi створюють пiдвищений ризик проникнення шкiдливих програм на комп'ютер або до корпоративної мережi (наприклад, сервiси обмiну файлами мiж користувачами, порнографiчнi сайти), мають бути заблоковані.
Я знаю пароль…
Також експерти наголошують на важливості суворої парольної політики серед співробітників юридичних компаній. Для цього потрібно запровадити низку правил. Так, пароль повинен бути довгим і складним. Користувачi не повинні зберігати паролі у браузері та маютьперіодично змiнювати їх на нові(бажано кожнi 3 мiсяцi). Крім того, потрібно мати рiзнi паролi для використання рiзних додаткiв. Доцiльно також розглянути запровадження багатофакторної автентифікації, яка окрім пароля вимагає надання додаткової iнформації для отримання доступу, особливо коли такий доступ пов'язаний з підвищеним рiвнем ризику (наприклад, при віддаленому доступi до системи). Керівникам юридичних компаній не варто забувати, що сьогодні існує багато ефективних методів шифрування інформації. Насамперед, експерти радять застосовувати їх при використанні електронної пошти, особливо у випадках, коли передається важлива iнформацiя.
Для шифрування електронних листів можна використовувати технологію PGP (вона шифрує повідомлення перед відправкою, а перехоплений лист буде просто набором символів, який зможе розкодувати лише власник спеціального ключа). Зашифрувати повідомлення з використанням PGP можна, наприклад, за допомогою програми MailVelope).
При цьому варто пам’ятати, що портативнi пристрої (ноутбуки, карти пам’ятi, смартфони) можуть стати легкою здобиччю для крадiя або можуть бути загубленi. Тому компанiям слiд забезпечити шифрування даних на таких пристроях за замовчуванням.
Резервуйте копії!
Оскільки більшість юридичних компаній працюють з величезними обсягами інформації, спеціалісти у сфері ІТ радять створювати резервні копiї. Якщо iнформацiя буде вкрадена, змiнена, стерта або загублена, наявнiсть резервної копiї матиме вирiшальне значення. Необхідно запровадити корпоративну полiтику, якою буде визначено наступні моменти: резервнi копiї яких саме даних будуть створюватися, яким чином та як часто; хто вiдповiдатиме за їх створення; де зберiгатимуться резервнi копiї даних; хто матиме доступ до них тощо. Однак слід пам’ятати, що носiї (компакт-диски, магнiтна стрiчка або жорсткий диск), якi використовуються для зберігання резервних копiй даних, також є вразливими. Отже, щодо резервних копiй має бути забезпечений такий же рiвень захисту, як i для оригiнальних даних.
Аутсорсинг під контролем?
У разі використання послуг аутсорсингу фахівці по боротьбі із кіберзлочинністю радять підтримувати належний рівень безпеки, адже третi сторони, якi не забезпечують адекватний захист iнформацiї або iнформацiйних систем, можуть пiддати серйознiй загрозi дiяльнiсть, репутацiю та цiннiсть бренду компанiї. Сьогодні поширеною практикою є заохочення постачальників ІТ-послуг дотримуватися принаймні принципiв захисту iнформацiї та iнформацiйної безпеки, якi застосовуються в компанiї, котра замовляє послуги, а також вимагати надання доказiв про те, що інформація захищена належним чином.
Компаніям, які користуються послугами аутсорсингу, необхiдно забезпечити можливiсть доступу до журналів операцiй (протоколiв) за послугами, що надаються зовнішніми постачальниками. Такий доступ має важливе значення для проведення відповідного аналiзу та ефективного оцінювання кіберзагроз.
Аналіз стiйкості юридичної компанiї до кiберзагроз i виявлення вразливих мiсць дозволить оцінити прогрес у сфері корпоративної безпеки та адекватнiсть вживаних заходiв. Таке оцiнювання може здiйснюватися внутрiшнiми або незалежними аудиторами та перевiрками (наприклад, тестування на проникнення i виявлення кібервторгнень).
Банальний людський фактор…
Якою складною не була б система захисту інформації в компанії, найслабкішою ланкою в питанні захисту об'єктів від кібератак є банальний людський фактор, на що, власне, й розрахована переважна більшість цільових атак.
Так, за словами Ольги Зінченко, аналітика Positive Technologies, просте відкриття співробітниками компанії спам-листів і може стати причиною кіберзагрози. «Під час розслідування кібератаки на одну велику юридичну компанію з'ясувалося, що компрометація сталася в результаті запуску шкідливого коду, отриманого співробітниками компанії з масових спам-розсилок. Протягом останніх 2-х років наші фахівці неодноразово зіштовхувалися з використанням соціальної інженерії при цільових атаках на організації різних галузей. Засобом для впровадження в цільову систему програмного забезпечення, необхідного для подальшого розвитку атаки, як правило, виявлялася електронна пошта. Зловмисники імітували листи від партнерів, з якими жертви регулярно взаємодіяли в роботі. Це не викликало підозр, оскільки відправнику повністю довіряли. Такі атаки можливі лише після ретельної підготовки та вивчення внутрішніх процесів компаній, а також після атак на партнерські організації. Наприклад, навесні 2016 р. фахівці Positive Technologies розслідували інцидент, коли нібито від імені генерального директора італійської промислової компанії була здійснена масова спам-розсилка на контрагентів компанії. Всі листи містили персональні звернення на ім’я та прізвище отримувача, а шаблон листа відповідав оригінальним листам, які раніше надсилала компанія. Однак у листах були посилання на фітингові ресурси, що містили віруси, але виглядали так само, як офіційний сайт компанії. Наслідки подібних атак оцінити вкрай складно, оскільки не можна точно сказати, хто з контрагентів «купився» на фітингову розсилку, які саме ресурси були скомпрометовані в результаті атаки. Можна говорити про те, що методи соціальної інженерії вже не перший рік популярні у зловмисників. Найближчим часом вони не відмовляться від них, а навпаки, потурбуються про створення нових (ще більш зухвалих) сценаріїв», – зазначила експерт.
Підтримує колегу Олег Сич, технічний директор антивірусної компанії Zillya!, який також стверджує, що 80% всіх заражень ПК відбуваються шляхом отримання СПАМ-розсилок зі шкідливим ПЗ. «Якщо персонал не розуміє, що відкривати листи від невідомих адресатів – це небезпечно, а тим більше ігнорує заборону відкривати та продивлятися вкладені документи чи архіви, то навіть найпотужніший антивірус не зможе на 100% захистити від атаки та подальшого зараження. Таких прикладів багато: використання приватної пошти на ПК в мережі компанії; застосування змінних носіїв інформації, що не перевіряються на віруси та «кочують» з ПК до ПК; завантаження на робочий ПК софта зі сторонніх джерел тощо. Окремою темою є «чистоплотність» та професійність роботи з сервером компанії, що обумовлює відсутність на ньому, наприклад, користувацьких програм», – зауважив пан Сич у коментарі «Юридичній Газеті».
Інвестуйте у захист!
Як не дивно, але нерiдко компанiї навiть не усвiдомлюють, що трапився інцидент iнформацiйної безпеки. Iнколи системи компанiї залишаються зламаними та зараженими вiрусами впродовж мiсяцiв або рокiв, перш нiж факт зовнiшнього втручання буде виявлено (якщо це взагалi вiдбудеться). Таким чином, як би компанія не була захищена організаційно та технічно, вона повинна бути добре підготовлена до реагування на інциденти безпеки. Бажано, щоб відповідні спеціалізовані треті сторони (досвідчені фахiвцi в галузi кiбербезпеки), які можуть допомогти в локалізації та усуненні інциденту безпеки, були визначені заздалегідь. Також експерти радять компаніям інвестувати в запровадження комбінації систем виявлення та запобігання зовнішнім вторгненням, що значно знизить ризики зовнішніх і внутрішніх атак та ІТ-інфраструктуру.
Дмитро Гадомський, CEO в Axon Partners
Є банальні та очевидні рекомендації, а є кропітка робота ІТ-директора. Зрозуміло, що я профан у цьому, тому мої рекомендацій точно не для ІТ-директора. Головна моя ідея в тому, що зламати можна будь-що. Друга ідея в тому, що додаткова зручність у роботі – це завжди додаткові ризики з позиції кібербезпеки. Десь поміж цих двох ідей лежить двофакторна авторизація на будь-які сервіси (пошту, соціальні мережі тощо), шифрування жорстких дисків, встановлення та оновлення файерволів (включаючи нудне додавання правил для кожного нового застосування), використання антивірусу. Більшість атак відбуваються через недосконалість людини. Як би ви не ховали свій сервер у підвалі й приховували справжні IP-адреси, достатньо просто представитися працівником поліції та суворим голосом запитати системного адміністратора про адресу серверної. Звичайно, не з кожним це спрацює, але з більшістю можливий такий варіант.
Що стосується репутаційних ризиків, то тут цікавіше. З одного боку, в Україні мало відомо про те, що ми знаходимося на 5 чи 6 місці у світі за кількістю кібератак, ініційованих з нашої території. Це статистика провідних антивірусних компаній світу. Однак одиниці з компаній, які постраждали від такого злочину, звертаються до поліції. Адже факт того, що ІТ-інфраструктура була зламана, є ударом по репутації. Якщо ж після атаки в паблік потрапляє інформація про клієнтів компанії або, ще гірше, про незаконну діяльність юридичної фірми, то про репутацію такою юридичної фірми взагалі можна забути (навіть на нашому ринку, де репутація юридичних фірм важить так вже й небагато).
Олег Сич, технічний директор антивірусної компанії Zillya!
Найкращий засіб попередження кібератак на ПК компанії (якщо говорити про захист від шкідливого ПЗ) – це обізнаність з основами кібербезпеки персоналу всіх рівнів, включаючи керівників (не лише обізнаність, а й пильне слідування ним). Адже людина є найбільш слабкою ланкою в системі безпеки даних будь-якої складності. Звичайно, кожна компанія може найняти у штат людину, яка налаштовуватиме та підтримуватиме систему кібербезпеки, використовувати сучасні корпоративні антивірусні програми, налаштовані під потреби безпеки установи. Все це також дуже потрібно та є важливою складовою загальної системи кібербезпеки юридичних компаній.
Наслідки ігнорування базових правил кібербезпеки можуть стати причиною втрати важливих даних. Шкідливе програмне забезпечення, що якимось чином потрапляє на ПК, може зашифрувати всю інформацію та вимагати викуп за повернення доступу, може просто вкрасти ці данні та передати третім особам, може збирати дані, інформацію про пошукову діяльність, відвідування сайтів, логіни та паролі до акаунтів, електронної пошти, соціальних мереж, Інтернет-банків. Крім того, можливі репутаційні втрати, пов’язані із втратою конфіденційної інформації клієнтів. Варто розуміти, що можливості шкідливого ПЗ безмежні щодо інформації на ПК, який воно вразило. Звісно, антивірусні програми будуть виявляти такі віруси, блокувати та знешкоджувати їх, однак і за досить короткий час вони можуть завдати значної шкоди.
Микола Коваль, uенеральний директор ООО "САЙ ЕC ЦЕНТРУМ"
Для захисту від кіберзагроз розроблено чимало стандартів, регламентів та рекомендацій. Перераховувати їх немає сенсу. Вкрай важливо підвищувати рівень обізнаності з питань інформаційної безпеки (наприклад, самостійно або за допомогою найманих фахівців проводити семінари та тренінги). Як альтернативний варіант – користуватися послугами компаній, які надають аналітичну інформацію щодо актуальних кіберзагроз. Крім того, потрібно взяти за правило й регулярно проводити тестування на проникнення, моделювання загроз, визначення стійкості співробітників до фішингових та інших атак. Необхідно забезпечити відповідність інформаційної безпеки на підприємстві вимогами (рекомендаціям) профільних стандартів (наприклад, ISO27001).