14 травня 2018, 17:41

Кібербезпека у 2018 році: новий виклик для бізнесу, необхідність чи побажання?

Опубліковано в №19-20 (621-622)

Вадим Баранов
Вадим Баранов «Алєксєєв, Боярчуков та Партнери» юрист

Технології в нашому сучасному житті мають все більше значення. Інтернет став неодмінною частиною усього нашого життя. Незалежно від того, працюємо ми чи розважаємося, все це вже важко уявити без інтернету.


Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!


У 2017 р. у світі відбулося кілька дуже значних кібератак, так званих «вірусів-здирників» (WannaCry, Petya, NotPetya, Bad Rabbit), які призвели до значних збитків, перебоїв у роботі бізнесу та державних органів. Також відбулося достатньо багато зламів приватних компаній з метою викрадення персональних даних фізичних осіб. Було відкрито дві великі вразливості у майже всіх сучасних процесорах, які отримали назву Spectre та Meltdown. На жаль, не вся інформація про атаки потрапляє до ЗМІ, кожного року хакери викрадають чималі суми з банківських систем, зламуючи захист SWIFT-платежів різних банків. Останні повідомлення про викрадення персональних даних з Facebook та MyFitnessPal свідчать про те, що сфера кіберзлочинності тільки набирає обертів. Із все більшим розповсюдженням кількості пристроїв, які використовують інтернет, це створює ще більше нових можливостей для атак.

Загрози 2018 року

2018 р. принесе не лише розвиток ринку кібербезпеки, який очікується на рівні 7%, досягаючи 93 млрд доларів США, але й нові види загроз та нові шляхи зламу мережі комп’ютерів.

Набудуть поширення «віруси-здирники», які, заражаючи систему, шифрують усі її файли та вимагають викуп за розблокування файлів, проте відбудеться зміна цілей таких вірусів. Хакери атакуватимуть середній та малий бізнес, які приділяють значно менше уваги своїй кібербезпеці, вважаючи, з огляду на їхній розмір, що вони навряд чи зацікавлять хакерів.

Сьогодні все більше уваги хакери приділяють вразливостям у сфері Internet of Things (IoT – Інтернет Речей). Наприклад, нещодавно було отримано доступ до мережі казино та викрадено дані через розумний термостат в акваріумі, який був підключений до мережі Wi-Fi казино.

Подальшого розвитку набувають так звані атаки фінансових троянів «золотої лихоманки» (Financial trojan gold rush), спрямовані на отримання даних користувачів для доступу до їхніх банківських акаунтів та викрадення коштів. Останні звіти компанії IBM показують, що активність таких програм за І квартал 2018 р. збільшилася приблизно на 7%, у порівнянні з 2017 р.

Очікується розвиток порівняно нового виду загрози, а саме атак шляхом застосування supply chain (ланцюга поставок). Основною мішенню таких атак будуть великі компанії, які зазвичай є добре захищеними, а от компанії середнього та малого бізнесу, які надають послуги таким великим компаніям, є простішими для зламу. Враховуючи певний рівень довіри між користувачами з обох боків, такий злам є більш ймовірним та містить навіть більший рівень загрози, ніж можливість прямого зламу такої великої компанії ззовні.

Однією з нових загроз у 2018 р. можуть стати так звані програми «без сервера» (serverless applications). Ці програми все ще працюють на сервері, проте їм не потрібен певний конкретний сервер, віртуальне середовище або фізичне сховище для роботи. Нещодавній аудит цих програм показав, що кожна п’ята така програма має ту чи іншу критичну вразливість, яка надає можливість хакеру повністю її захопити та змусити виконувати шкідливі дії.

Також набувають популярності пропозиції із застосування хакерських та ДДоС-атак (DDoS) як послуги. В мережі є популярними сайти, які пропонують різні рівні замовних DdoS-атак. Нещодавно Європол провів масштабну операцію із закриття одного з таких сервісів (сайт WebStresser), який пропонував послуги із замовних DdoS-атак усього за 15 євро на місяць.

Розвиток захисту

Одними з останніх трендів у сфері технологій є розвиток штучного інтелекту, машинна освіта, а також технологія блокчейн. Блокчейн за своєю суттю є технологією розподіленої книги записів. Блокчейн – це розподілена база даних, яка використовується як у приватних, так і в публічних програмах, а не в централізованій структурі, де вся інформація зберігається в декількох дуже великих базах даних. Через їх розподілену природу блокчейни не забезпечують ніякого «хакерського» входу або центральної точки відмови й таким чином забезпечують більшу безпеку, якщо порівнювати з різними поточними транзакційними структурами, керованими базами даних. Однак її застосування у забезпеченні безпеки даних ще попереду.

Ще одним напрямком розвитку заходів забезпечення кібербезпеки є розвиток та використання штучного інтелекту включно з машинною освітою. Ці технології потенційно можуть здійснювати цілодобовий моніторинг мережі, виявлення будь-яких сторонніх проникнень та усунення наслідків таких проникнень. Можливо, в найближчому майбутньому ми побачимо, як штучний інтелект зі сторони захисту мережі протистоятиме штучному інтелекту, який намагатиметься проникнути в мережу та зламати захист. Однак їх розробка та навчання потребують тривалого часу, а тому найбільш ймовірним початком їх застосування буде кінець 2018 р. або 2019 р.

Світове законодавство. Рух у напрямку регулювання?

Оцінюючи зростання рівня загроз у сфері інтернет-безпеки, а також значення використання всесвітньої мережі для всіх людей, деякі держави модернізували своє законодавство, враховуючи ці нові виклики.

27.04.2016 р. Європейським Парламентом та Радою Європейського Союзу було прийнято Правила (Regulation) №2016/679 під назвою Загальні правила захисту даних (General Data Protection Regulation, або GDPR), які замінюють застарілу Директиву №95/46/EC та набудуть чинності з 25.05.2018 р. На сьогодні жодна країна ще не прийняла таких широких правил поводження з персональними даними. Варто зауважити, що під час слухань сенату щодо справи з витоком персональних даних, який відбувся у Facebook, сенатори достатньо часто посилалися на ці Правила та брали їх як приклад необхідних змін у законодавстві. Адже очевидно, що сьогодні з розвитком технологій дуже значна кількість персональних даних знаходиться в мережі Інтернет, а враховуючи рівень загроз, люди потребують певного рівня захисту своїх даних.

Головні пункти, які містять GDPR:

  • Екстериторіальне застосування Правил. Правила розповсюджують свою дію на всіх операторів, які здійснюють обробку даних, незалежно від їх територіального місцезнаходження; незалежно від того, здійснюється така обробка на території ЄС чи ні; у всіх випадках надання послуг або продажу товарів громадянам ЄС (незалежно від того, стягується за них плата чи ні).
  • Значні штрафні санкції за порушення Правил, які можуть сягати 4% від річного обігу підприємства або 20 млн євро (залежно від того, що є більшим).
  • Отримання прямої згоди від користувачів на обробку їхніх персональних даних. Тепер компанії не зможуть ховатися за великими та відверто нечитабельними правилами надання послуги. Правила вимагають отримання відкритої, зрозумілої та доступної згоди на обробку даних з чітким поясненням, для чого будуть використовуватися дані. Вводиться можливість відкликання згоди на обробку даних. Ця можливість повинна бути настільки ж легкою, як і надання згоди.
  • Суб’єкти даних наділяються такими правами: право бути повідомленими про будь-які витоки даних протягом 72 годин з моменту виявлення такого витоку; право доступу до своїх даних – суб’єкт даних може отримати інформацію щодо того, чи обробляються його дані, які саме дані обробляються та з якою метою, у будь-якого оператора; право бути забутим – тобто право на повне видалення своїх даних з системи оператора, припинення використання даних та повідомлення іншим третім особам, які з ним пов’язані, про припинення використання даних; право отримувати всі свої дані, які є в оператора у структурованому, широковикористовуваному вигляді та у форматі для зчитування машинами з правом їх подальшої передачі будь-якому іншому оператору; право заперечення обробки своїх персональних даних.

06.07.2016 р. Європейським парламентом та Радою Європейського Союзу було прийнято Директиву (ЄС) №2016/1148, яка отримала назву «Безпека мереж та інформації» (Network and Information Security, або NIS) та фактично набирає чинності з 09.05.2018 р. Саме до цієї дати всі країни-члени ЄС повинні інкорпорувати її положення у своє національне законодавство. Незважаючи на те, що майже весь інформаційний простір захопили новини про GDPR, директива NIS є не менш важливою з позиції кібербезпеки. Саме ця директива містить вимоги до країн-членів ЄС, усіх постачальників життєво необхідних послуг та постачальників цифрових послуг. Головними аспектами NIS є такі:

  • стандартизація вимог до кібербезпеки у всіх країнах-членах ЄС;
  • введення поняття «Команди реагування» на інциденти, пов'язані з комп’ютерною безпекою (Computer Security incident response teams, або CSIRT);
  • співпраця між країнами-членами ЄС у сфері кібербезпеки, що включає взаємодію Команд реагування на інциденти, пов'язані з комп’ютерною безпекою;
  • визнання необхідності підвищених вимог щодо кібербезпеки, які потрібно висувати до постачальників життєво необхідних послуг;
  • введення вимог обов’язкового повідомлення про інциденти, пов'язані з кібербезпекою, для постачальників життєво необхідних послуг та операторів цифрових послуг.

Аналогічні кроки щодо підвищення вимог до кібербезпеки проводить Китай. У листопаді 2016 р. у Парламенті Китаю було прийнято закон про кібербезпеку, який набрав чинності 01.06.2017 р. Як і законодавство ЄС, основною метою закону є прийняття більш жорстких вимог до операцій з обробки персональних даних, вимог з кібербезпеки до операторів мереж, у тому числі визнання великих фінансових установ як операторів мереж, встановлення вимог та обмежень щодо передачі персональних і чутливих даних за межі території Китаю, а також встановлення значних штрафних санкцій за порушення вимог закону, які можуть бути як фінансовими, так і повним припиненням бізнес-діяльності порушника.

Захист даних для юридичного бізнесу: необхідність чи просто додаток?

На мою думку, захист даних в юридичному бізнесі є необхідністю, враховуючи, що юридичні компанії працюють з надзвичайно чутливою інформацією, якою є внутрішня інформація клієнта (персональні дані фізичних осіб, комерційна інформація бізнесу тощо). Всі ці види інформації повинні бути захищеними. Реалізація такого захисту обов’язково має включати роботу з працівниками, які повинні користуватися двофакторною аутентифікацією при доступі до своєї пошти або хмарного робочого місця та слідкувати за електронними листами, які вони отримують, та у разі отримання будь-якого сумнівного листа знати, що з ним робити.

Україна, перебуваючи на шляху гармонізації свого законодавства із законодавством ЄС, повинна розглянути можливість оновлення Закону України «Про захист персональних даних» та створення нового законодавства на основі Правил GDPR і положень Директиви NIS. Адже правила GDPR спрямовані на загальний захист персональних даних, не обмежуючись формою їх існування.

До того ж не можна забувати про початок використання електронного судочинства в нашій країні та введення в дію Єдиної судової інформаційно-телекомунікаційної системи, забезпечення безпечного функціонування якої повинно бути одним з пріоритетів подальшої судової реформи. Використання законодавства на основі Правил GDPR та Директиви NIS допоможе забезпечити захист та цілісність судової системи України. Отриманий досвід дозволить зміцнити кіберзахист усіх державних органів та постачальників життєво необхідних послуг, що в умовах наявної кіберзагрози з боку Росії допоможе протистояти кібератакам.

Доцільним для українських юридичних компаній було б почати застосовувати вимоги Правил GDPR у своїй роботі вже сьогодні з метою забезпечення можливості обслуговування клієнтів фізичних осіб держав-членів ЄС, наслідком чого буде надання більш якісних послуг та покращений захист будь-яких даних, які клієнти передають юридичним компаніям, а також для внутрішніх клієнтів.

Сьогодні достатньо популярним способом захисту даних є використання хмарних сервісів для їх зберігання та роботи, враховуючи їхню доступність та порівняну захищеність. Одними з найпопулярніших є OneDrive від Microsoft, Google Drive від Google та Dropbox. Однак використання хмарних сервісів насправді є лише одним з можливих заходів підвищення рівня кібербезпеки. Наявність досвідченого системного адміністратора дозволить значно підвищити кібербезпеку фірми від можливих загроз та пришвидшить її відновлення у разі можливої атаки.

Що далі?

Значні зміни до законодавства ЄС та спрямування свого погляду на цю сферу в інших розвинених країнах у 2018 р. призведе до збільшення попиту на послуги із забезпечення кібербезпеки, що матиме наслідком подальше зростання цієї галузі.

Очікується прийняття аналогічних за своїм духом законів для регулювання кібербезпеки та забезпечення безпеки персональних даних у США (особливо, враховуючи розслідування щодо втручання Росії у президентські вибори та значний виток персональних даних у незашифрованому вигляді з Facebook). Під час сенатських слухань у сенаті США, сенаторами було представлено законопроект, спрямований на регулювання використання даних, а саме CONSENT Act (скорочення від Customer Online Notification for Stopping Edge-provider Network Transgressions (Повідомлення споживача про припинення порушення, допущеного мережевим провайдером). Також ще у жовтні 2017 р. було представлено законопроект Honest Ads Act (Законопроект про чесну рекламу), спрямований на регулювання сфери інтернет-реклами, розповсюджувачами якої в основному є Facebook та Google, у зв’язку з розслідування щодо купівлі Росією політичної реклами під час виборів Президента США у 2016 р.

Однозначно можна сказати, що кібербезпека набуватиме все більшого значення, а її розвиток призведе до покращення безпеки кінцевого користувача. Як і завжди, розвиток галузі призведе до більш широкого поширення все ще дорогих засобів із забезпечення кібербезпеки на широкого користувача, що матиме наслідком зменшення можливостей зламу численних програмних додатків, які ми використовуємо у своєму повсякденному житті.

Проте, як і в усьому, значну частину своєї власної кібербезпеки й досі створює користувач. Найчастіше лише від нього залежить безпека його даних.

0
0

Додати коментар

Відмінити Опублікувати