Останнім часом чи не найбільше уваги приділяється проблемам захисту інформації в компаніях. Це цілком логічно, адже події останніх 4-х років дають чітке розуміння, що ризики впливу і втручання хакерів у життєдіяльність фізичних та юридичних осіб значно збільшилися. Найчастіше наслідками масштабних кібератак є порушення або припинення на деякий час діяльності компанії, розголошення персональних даних, конфіденційної інформації або комерційної таємниці, що спричиняє численні фінансові та репутаційні збитки.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Окрім сумнозвісного вірусу Petya.A, з 2014 р. іноземні хакери неодноразово впливали на процес нормального функціонування багатьох суспільно-важливих підприємств і державних органів. Яскравим прикладом цього явища слугує розміщення помилкових результатів президентських виборів у 2014 р., зупинення роботи багатьох електростанцій у 2015 р. та блокування роботи сайту провідного залізничного перевізника у 2016 р. Однак діяльність хакерів спрямована не лише на компанії державного значення. Також у зоні ризику перебувають компанії-представники малого та середнього бізнесу, які зазвичай або недостатньо приділяють уваги захисту інформації, або не мають фінансової можливості забезпечення технічної безпеки даних. Саме такі компанії є більш легкою ціллю для хакерів.
Законодавче регулювання. Що пропонується?
Протягом тривалого часу в Україні не існувало законодавства, яке врегульовувало б питання забезпечення безпеки як в інформаційному, так і в кіберпросторі. Першою спробою врегулювати це питання був Проект Закону України «Про засади інформаційної безпеки України», яким пропонувалося розмежування інформаційної та кібербезпеки. Інформаційна безпека передбачає стан захищеності життєво важливих інтересів людини, суспільства та держави, за якого завдання шкоди відбувається через неправильне поводження з інформацією (її неповнота, несвоєчасність, недостовірність, несанкціонований обіг тощо). При цьому кібербезпека є здатністю людини, суспільства і держави запобігати та протидіяти негативному впливу й несанкціонованому управлінню інформаційними ресурсами із застосуванням телекомунікаційних та інформаційно-комунікаційних систем і мереж. Тобто розмежування цих двох понять дозволяє умовно поділити механізми захисту інформації на технічні (наприклад, запровадження ефективних систем захисту інформації на електронних пристроях та в мережах) та правові (розробка певних політик у компанії, які сприятимуть зниженню ризиків неправомірного розголошення інформації).
Однак чинний Закон України «Про основні засади забезпечення кібербезпеки України» не передбачає необхідного розмежування, звужуючи сферу регулювання Закону до забезпечення інтересів у контексті забезпечення кібербезпеки, яке обмежується використанням лише кіберпростору. Окрім цього, Закон не поширюється на використання комунікаційних систем, які не взаємодіють з публічними мережами електронних комунікацій. Тобто внутрішні комунікаційні системи, які не мають виходу до мережі Інтернет, не підпадають під дію цього Закону. На жаль, цей Закон є переважно декларативним та не пропонує конкретних механізмів забезпечення належного рівня кібербезпеки як державних, так і приватних підприємств, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для нормального функціонування суспільства.
Кабінет Міністрів України прийняв Розпорядження Про затвердження плану заходів на 2018 р. з реалізації Стратегії кібербезпеки України. Проте Стратегія (так само, як і Закон) не передбачає плану заходів для приватних компаній. Якщо Закон декларує основні принципи забезпечення кібербезпеки на об’єктах критичної інфраструктури, то Стратегія надає перелік заходів, які мають бути виконані колом державних органів. Таким чином, питання забезпечення кібербезпеки у приватних компаніях законодавством фактично не врегульовано.
Шляхи вирішення
Як вже було зазначено, механізми забезпечення належної кібербезпеки в компанії можна поділити на технічні та правові. Попри недостатню врегульованість правових механізмів забезпечення кібербезпеки в компанії, все ж таки існують шляхи мінімізації ризиків неправомірного розголошення інформації з обмеженим доступом, конфіденційної інформації, персональних даних (як працівників, так і контрагентів) та комерційної таємниці.
Одним з них може бути отримання послуг з кібер-страхування. На відміну від США та країн Європи, в Україні надання подібних послуг є не просто непоширеним, але й взагалі майже відсутнє. Слід зазначити, що кібер-страхування не передбачає проведення технічних заходів, але водночас є ефективним інструментом страхування ризиків фінансових втрат внаслідок атак хакерів, фішингу, кібер-вимагання, втрат конфіденційної інформації, персональних даних, комерційної таємниці, а також у випадку виникнення упущеної вигоди.
Страхові компанії в деяких країнах Європи (зокрема, в Німеччині), окрім покриття збитків компанії, також пропонують послуги з відновлення репутації компанії шляхом використання великого кола комунікаційних інструментів. Такий підхід не лише значно спрощує ведення компанією своєї діяльності з фінансової позиції, але й дозволяє достатньо швидко «відновити ім’я» на загальному ринку. Незважаючи на те, що в Україні лише незначна кількість страхових компаній відкликається на запит щодо надання послуг з кібер-страхування, в майбутньому така послуга набуватиме більшої популярності та поширення.
Не останню роль у забезпеченні кібербезпеки в компанії відіграє безпечність ведення процесу обробки персональних даних. Одним з основних інструментів регулювання процесів щодо персональних даних є General Data Protection Regulation (далі – Регламент), який набув чинності 25.05.2018 р. Його дія поширюється на процес обробки персональних даних, що здійснюється українськими компаніями щодо фізичних осіб, які отримують товари чи послуги на території ЄС, незалежно від того, де проводиться оплата за отримані товари чи послуги, а також з метою моніторингу поведінки фізичних осіб, якщо така поведінка відбувається на території ЄС. Під такі умови підпадає значне коло українських компаній різного «калібру» бізнесу.
Водночас ухилення від виконання вимог Регламенту може призвести до притягнення компанії до відповідальності у розмірі від 10 млн євро до 20 млн євро, що для багатьох українських компаній є значним ударом по фінансовому стану. Щоб запобігти настанню можливих негативних наслідків невідповідності ведення діяльності положенням Регламенту, компанії необхідно розглянути можливість проведення аудиту щодо відповідності ведення діяльності компанії положенням Регламенту.
Окрім проведення аналізу основної документації компанії, яка визначає порядок обробки та захисту персональних даних, такий аудит може включати технічний аналіз, який може передбачати, наприклад, проведення оцінки основних технічних та організаційних заходів забезпечення безпеки даних, виявлення основних прогалин і надання рекомендацій щодо їх мінімізації. Проведення такого аудиту дозволить компанії «вбити двох зайців» – отримати експертний висновок щодо відповідності ведення діяльності з правової позиції та рекомендації щодо покращення вже наявної в компанії системи обробки й захисту персональних даних.
Одним з видів «чутливої» інформації є комерційна таємниця, збереження якої вважається чи не найбільш важким завданням компанії. Незаконне збирання, використання або розголошення комерційної таємниці є кримінальним злочином та карається штрафом від 17 тис. грн до 136 тис. грн. Проте головною складністю є те, що іноді майже неможливо визначити, хто розголосив (передав) комерційну таємницю. Саме тому компанії важливо розробити якісну політику конфіденційності. Така політика дозволить не лише визначити обсяг, правовий статус та порядок доступу до інформації, але й встановить обов’язки працівників у сфері захисту інформації, порядок контролю компанією за дотриманням інформації та види відповідальності у разі порушення вимог конфіденційної політики.
Важливим моментом, який також необхідно враховувати у процесі розробки конфіденційної політики, є встановлення строку, протягом якого працівник, який має доступ до конфіденційної інформації та/або комерційної таємниці, не міг її розголошувати навіть після звільнення з компанії. Зазвичай така умова прописується як окремий договір про неконкуренцію або включається до тексту трудового договору, проте включення такого положення до конфіденційної політики не буде зайвим.
Якщо працівників можна зобов’язати дотримуватися умов внутрішніх політик компанії, то як бути з діловими партнерами? Якщо у процесі правовідносин, що виникають між компанією та її контрагентами, діловими партнерами та потенційними діловими партнерами відбувається обмін інформацією, розкриття або втрата якої може завдати шкоди компанії чи надати вигоду третій особі, доцільним є укладення договору про нерозголошення. Основною умовою договору про нерозголошення обов’язково встановлюється розмір відповідальності за неправомірне розголошення вищезазначеної інформації. Таким чином, розробка конфіденційної політики та типового договору про нерозголошення допоможуть значно зменшити виникнення ризиків розголошення конфіденційної інформації та/або комерційної таємниці у майбутньому.
Незважаючи на те, що на нинішньому етапі нормативне врегулювання забезпечення кібербезпеки у приватному секторі дуже шкутильгає, існує значна кількість способів та механізмів, за допомогою яких можна підвищити рівень захисту інформації та значно зменшити ризики її втрати, пошкодження або розголошення. Однак найближчим часом ситуація має змінитися, оскільки поступово весь документообіг та порядок його ведення перейдуть в електронну площину. Саме тому з’являється потреба у нових послугах щодо забезпечення безпеки в інформаційному та кіберпросторах. Адже в часи новітніх технологій набагато простіше втратити свій бізнес – достатньо лише одного «кліка» комп’ютерної мишки.