У той час, коли світ поглинає нова хвиля COVID-19, згадалися події дворічної давнини. Вони також пов’язані з вірусом, який застав усіх зненацька та спричинив неабияку шкоду. І якщо перші випадки СOVID-19 було виявлено в Китаї, то цей вірус нагрянув на світову спільноту, вперше з’явившись в Україні. Маю на увазі масштабну деструктивну атаку різновидом вірусу Petya, також відомого як NotPetya, Eternal Petya, Petna, ExPetr тощо. Це сімейство шкідливих програм, що вражає комп’ютери під управлінням ОС Microsoft Windows. Програма шифрує файли на жорсткому диску, а також перезаписує і шифрує дані, необхідні для завантаження операційної системи. В результаті всі файли, що зберігаються на комп’ютері, стають недоступними. Можу підтвердити на своєму гіркому досвіді, що це саме так.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Як згодом виявилося, ця вірусна атака розпочалася щонайменше з 14 квітня 2017 р. з компрометації системи оновлення програми М.Е. Doc. Кульмінація сталася в переддень Дня Конституції, коли було спричинено порушення роботи низки українських державних підприємств, установ, банків. Внаслідок атаки була заблокована діяльність таких підприємств, як аеропорт «Бориспіль», ЧАЕС, Укртелеком, Укрпошта, Ощадбанк, Укрзалізниця, та низки інших великих підприємств. Зараженню піддалися інформаційні системи Міністерства інфраструктури, Кабінету міністрів, сайти Львівської міської ради, Київської міської державної адміністрації, кіберполіції та служби спецзв’язку України.
Але на цьому вірус не зупинився. Великі міжнародні корпорації також зазнали катастрофічних збитків. Деякі підхопили вірус, зокрема, через свої представництва в Україні. Згодом Білий Дім опублікував заяву, що це була «найбільш руйнівна і дорога кібератака в історії». На кінець 2017 р. транснаціональний фармацевтичний гігант Merck оцінив приблизну шкоду від зловмисного програмного забезпечення у $870 млн. В цілому бізнес зазнав збитків у сукупній вартості близько $10 млрд. Навіть вірус WannaCry - горезвісний «хробак», який поширився за місяць до NotPetya, у травні 2017 р., за оцінками, коштував від $4 до $8 млрд. Атака вірусом WannaCry або WannaCrypt зачепила понад 230 тис. комп’ютерів у понад 150 країнах, а британська національна служба охорони здоров’я (NHS), іспанська телефонна компанія Telefónica та німецька державна залізниця опинилися серед найпотужніших постраждалих.
Це факт, що кібератаки стають безперечною загрозою сьогодення. І тут мова йде не тільки про транснаціональні корпорації у ролі потенційних жертв. Звіт 2019 Data Breach Investigation Report виділив декілька тенденцій:
- 43% порушень даних стосувались малого бізнесу;
- 69% порушень були вчинені сторонніми особами;
- 53% порушень були хакерськими;
- 33% порушень включали соціальну інженерію (вивчення людської поведінки та фактори, які на неї впливають);
- 71% порушень мали фінансовий мотив;
- 56% порушень були виявлені не раніше, ніж через декілька місяців після зараження.
Найсвіжіша статистика свідчить, що кіберзлочинці націлені на малий бізнес, щоб отримати несанкціонований доступ до даних, які вони можуть продавати в DarkNet. Хакерські атаки з використанням знань соціальної інженерії зосереджені на слабких місцях у системах, мережах, програмному забезпеченні та людях, щоб отримати доступ до необхідних джерел інформації.
Комплаєнс = кібербезпека?
Можна дискутувати, чи є дотримання вимог кібербезпеки повноцінною частиною комплаєнсу в класичному розумінні. Але безперечно, що ці дві категорії все більше перетинаються.
У кібербезпеці комплаєнс означає створення комплексної програми, яка встановлює контроль над ризиками з метою захисту цілісності, конфіденційності та доступності інформації, що зберігається, обробляється чи передається. Однак комплаєнс кібербезпеки не базується на окремому стандарті чи нормативному документі. У США, залежно від галузі, різні стандарти забезпечення інформаційної безпеки можуть перетинатися між собою. Наприклад, усі перелічені нижче нормативні акти певною мірою встановлюють вимоги до кібербезпеки. Прошу звернути увагу, що це не вичерпний перелік:
- HIPAA (Health Insurance Portability and Accountability Act)/HITECH Omnibus Rule - у сфері охорони здоров’я;
- PCI-DSS (Payment Card Industry Data Security Standard) - щодо захисту інформації власників кредитних карток;
- SOX (Sarbanes-Oxley Act) - щодо фінансової звітності компаній;
- GLBA (Gramm-Leach-Bliley Act) - у сфері надання фінансових послуг;
- COPPA (Children’s Online Privacy Protection Rule) - щодо збирання інформації онлайн, яка стосується дітей віком до 13 років;
- GDPR - щодо захисту персональних даних.
У країнах Європейського Союзу базовою директивою у сфері кібербезпеки є NIS Directive (see EU 2016/1148). Цей документ є складовою загальної стратегії ЄС і вимагає від усіх країн-членів, інтернет-провайдерів та операторів критичної інфраструктури, таких як платформи електронної комерції та соціальних мереж, операторів у сфері енергетики, транспортних, банківських та медичних послуг, забезпечити надійне захищене цифрове середовище в усьому ЄС.
Нещодавно було прийнято також EU Cybersecurity Act (закон про кібербезпеку ЄС), який:
- зміцнює ENISA (агентство з кібербезпеки ЄС), надаючи йому постійний мандат, посилюючи його роль, фінансові та кадрові ресурси;
- встановлює першу загальноєвропейську систему сертифікації засобів кібербезпеки на європейському внутрішньому ринку та в кінцевому підсумку прагне поліпшення кібербезпеки в широкому спектрі цифрових продуктів та послуг.
В Україні також існує певний перелік документів у сфері кіберзахисту. Це закони «Про основні засади забезпечення кібербезпеки України», «Про захист інформації в інформаційно-телекомунікаційних системах», рішення РНБО «Про Стратегію кібербезпеки України», постанова КМУ «Про затвердження загальних вимог до кіберзахисту об’єктів критичної інфраструктури» та деякі стандарти ДСТУ. Водночас багато експертів з індустрії IT вказують на невідповідність нормативної бази реаліям бізнес-середовища. Існує думка, з якою важко не погодитися, що стратегія нашої держави у сфері кіберзахисту потребує фундаментальних змін та комплексного підходу.
Комплаєнс-програма з кібербезпеки
Особливо в США ринок послуг зі створення та підтримки комплаєнс-програм у сфері кібербезпеки є доволі розвиненим. Існує достатня кількість конкуруючих між собою компаній, які поєднують спеціалістів з правовим та технічним бекграундом. Вони консультують бізнес щодо найрізноманітніших аспектів інформаційного захисту.
Якщо коротко підсумувати, то програма дотримання кібербезпеки може мати такі складові:
1) Наявність комплаєнс-команди
Навіть у малому та середньому бізнесі необхідна команда, яка поєднуватиме спеціалістів з технічними та юридичними знаннями. Оскільки організації продовжують переміщувати свої важливі бізнес-операції до «хмарних сервісів», треба створити міжвідомчий робочий процес і налагодити спілкування між бізнесом та ІТ-відділами.
2) Аналіз ризиків
Оскільки більшість стандартів та нормативно-правових актів фокусуються на застосуванні підходу, що ґрунтується на оцінці ризиків, організації всіх розмірів мають брати участь у процесі аналізу ризиків. Експерти компанії Zeguro радять наступні кроки:
- визначте всі інформаційні активи та інформаційні системи, мережі та дані, до яких вони мають доступ;
- перегляньте рівень ризику кожного типу даних. Визначте, де зберігається, передається та збирається інформація з високим ризиком та відповідно оцініть ризик цих локацій;
- оцінивши ризик, слід його проаналізувати. Традиційно організації використовують таку формулу: Ризик = (схильність порушення × вплив)/вартість;
- проаналізувавши ризик, треба визначити, чи потрібно його переносити, відмовлятися, приймати чи пом’якшувати.
3) Елементи управління/контролю
Виходячи з толерантності до ризику, слід визначити, як його зменшити чи перенести. Керування може включати:
- брандмауери (програма чи пристрій для захисту комп’ютерних систем);
- шифрування;
- політику щодо паролів;
- програму управління ризиками постачальника;
- тренінги для працівників;
- страхування.
4) Політика з інформаційної безпеки
Політика з інформаційної безпеки є регламентом поведінки працівників компанії щодо поводження з корпоративною інформацією, містить правила використання ресурсів компанії, встановлює вимоги при взаємодії з контрагентами. Така політика може стати основою для будь-яких необхідних внутрішніх чи зовнішніх аудитів.
5) Постійно контролюйте та реагуйте
Усі вимоги дотримання зосереджуються на тому, як розвиваються загрози. Кіберзлочинці постійно працюють над пошуком нових способів отримання даних. Постійний моніторинг виявляє лише нові загрози. Ключовим моментом програми відповідності є реагування на ці загрози перше, ніж вони призведуть до порушення даних. Не реагуючи на виявлену загрозу, моніторинг залишає місце для недбалості, що виникає через відсутність безпеки. Тому залучати професіоналів з необхідними технічними знаннями є ключовою складовою підтримання інформаційної безпеки.