Кібербезпека бізнесу це не лише технічні заходи
Успішний бізнес – завжди ціль, яку ставить перед собою будь-який підприємець. Це ціль також і для споживачів, яка полягає в отриманні задоволення від володіння чи використання певного продукту; ціль для послідовників, які надихаються ідеями для створення чи підвищення рівня власних сервісів; і, звичайно ж, ціль для конкурентів, яка полягає у зупиненні росту розвитку.
Безліч компаній як мінімум один раз за рік зазнавали зовнішньої атаки або зіштовхувалися з внутрішніми інцидентами інформаційної безпеки. Уявіть собі, кожну секунду у світі створюються сотні одиниць нового шкідливого програмного забезпечення (далі – ПЗ). Чорний ринок вірусів досить великий. Сайт малого, але набираючого попиту проекту може цілком легко опинитися під випадковою DDoS-атакою. Насправді ж непідготовлений ресурс стане недоступним для користувачів через наплив нових юзерів, які вирішили протестувати сервіс після чудової промо-статті.
У чому полягає загроза?
Зовнішніми загрозами для бізнесу є: (І) шкідливе ПО; (ІІ) DDoS-атаки; (ІІІ) фішингові атаки; (IV) проникнення у мережу; (V) втрата пристроїв зі збереженими паролями. Внутрішніми найпопулярнішими загрозами є вразливе програмне забезпечення та витоки через співробітників або їх з вини.
Збільшення обсягів, оброблюваних клієнтських даних, і зростаюча роль інтелектуальної власності в успіху продукту призводять до виникнення нових форм розкрадання інформації. Конкурентів цікавить інформація про внутрішні процеси у компанії, дані про співробітників, фінансова інформація, інтелектуальна власність, дані корпоративного банківського аккаунту.
Проблема кібербезпеки полягає у тому, що бізнес рідко використовує надійне антивірусне ПЗ чи спеціалізовані рішення щодо захисту від DDoS-атак, вживає дій для захисту інформації та фінансових транзакцій. Елементарна проблема: пригадайте скільки у Вас паролів? Швидше за все їх усього декілька, які комбінуються між собою.
Заголовки новин містять безліч повідомлень про зломи комерційних структур, витік даних, електронне шахрайство, порушення функціонування державних структур або критично важливих об’єктів інфраструктури, крадіжку інтелектуальної власності, витоки інформації, пов’язаної з національною безпекою, тощо. Причому об’єктами атаки стають компанії різного рівня та масштабів.
Витоком даних скомпрометовані були навіть аудиторська компанія з «великої четвірки» та велика міжнародна юридична компанія. Більше того, в практиці WIPO Arbitration and Mediation Center траплялися домені кейси з компаніями, які просили переделегувати домен відповідачів через те, що вони використають його у поштовому сервісі для фішингу користувачів та працівників, шахрайських дій, наприклад виставлення підроблених рахунків клієнтам. В 2014 році компанія «Лабораторія Касперського» спільно з Європолом та Інтерполом розкрила групу Carbanak, яка успішно на протязі багатьох років виводила кошти з банків через банкомати або онлайн-банкінг. Діяла група досить просто, через електронну пошту заражалися комп’ютери рядових співробітників і збиралися з них дані про те, яким чином влаштована робота в цьому банку і хто за що відповідає, а у подальшому це допомагало сформувати шляхи крадіжки коштів. Українські інтернет ЗМІ на протязі останніх років розповідали про кібератаки на енергетичні компанії України, розсилку вірусів через пошту від імені податкової та майнінг криптовалюти через розміщення скриптів на сайтах державних установ
Уявімо таку ситуацію: на робочу пошту співробітника надійшов лист. Співробітник, будучи упевненим, що його комп’ютерна система надійно захищена безкоштовним антивірусом, завантаженим з Інтернету, пробираючись через велику кількість банерних реклам, які почали штурмувати браузер після інсталяції цього антивірусного ПО, відкриває e-mail від податкової чи від корпоративної пошти партнера (привіт тайпсквоттинг), логотип якого розміщений на Вашому сайті. Ніяких вкладень, інформація у листі позбавлена будь-якого сенсу, лист у корзину і ніяких проблем. На думку працівника нічого страшного не відбулося. Проте шкідливий код уже в системі. Технічна частина досить проста. Тіло листа містить рядок коду, зазвичай це – зображення розміром піксель, яке взагалі непомітно, або ж елементи на зразок гіперпосилань, кастомізованих шрифтів чи логотипів які вшивають разом із підписом. Така верстка e-mail листів – це звичайна ділова практика. Коли одержувач відкриває лист відбувається завантаження об’єкту зі шкідливим кодом. Конкуренти можуть спрямувати атаку на швидке блокування – шифрування файлів. Або навпаки, бути більше витонченими та креативними, і такий інцидент проявляє себе шляхом зниження потоку запитів від користувачів шляхом перехоплення або видалення із Вашої бази даних. Можлива ситуація, коли конкуренти отримавши базу клієнтів починають надсилати їм непристойний спам від імені та у корпоративному стилі Вашого Сервісу. Такі дії точно обурять юзерів та спонукають їх видалити свій аккаунт.
Як цьому запобігти?
Система захисту складається з багатьох взаємопов’язаних частин: організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем. Юридична складова є обов’язковою і такою, що передує усім стадіям. Своєчасного оновлення антивіруса і блокування сумнівних сайтів на офісних комп’ютерах недостатньо.
Насправді зламати інформаційні системи набагато легше, ніж забезпечити їх захист та ефективне функціонування. Універсального підходу не має. Необхідно розібратися у походженні атаки, провести розслідування, ідентифікувати вразливі місця, які дали змогу шкідливому ПО розповсюдитися. Далі потрібно вжити заходів щодо вдосконалення процесів, швидкого виявлення індикаторів кіберзагроз та мінімізувати виникнення подібних інцидентів у майбутньому.
Бізнес повинен сформувати більш глибоке розуміння існуючих на сьогоднішній день кібер-ризиків, забезпечити належний моніторинг та розробити плани швидкого реагування, не обмежуючись заходами запобігання ризикам.
Впровадженню ефективної технічної складової захисту від кібератак, передує клопітка робота юристів у симбіозі з фахівцями з кібербезпеки, яка полягає в проведенні ефективного IT-комплаєнсу і ризик-менеджменту. Якщо ж уже відбувся інцидент інформаційної безпеки, юристи разом із фахівцями допоможуть провести ефективне розслідування та вплинути на порушника правовими засобами захисту за протиправне посягання.
Правові аспекти
Питання кібербезпеки наразі є досить гострим для усіх країн світу.
До прийняття Закону України «Про основні засади здійснення кібербезпеки України», національне регулювання обмежувалося нормами загального характеру, прийнятими на галузевому рівні міністерств та відомств та деякою кількістю Указів Президента України.
Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу зафіксовані Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України ще в документі НД ТЗІ 2.5-004-99. Вже давно існують національні криптографічні алгоритми, відображені у відповідних ДСТУ 4145-2002 та ДСТУ ГОСТ 28147-89.
Нажаль, дія вищевказаного Закону не поширюється на відносини та послуги, пов’язані із змістом інформації, що обробляється (передається, зберігається) в комунікаційних та/або в технологічних системах, соціальних мережах, приватних електронних інформаційних ресурсах в мережі Інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси).
Застосування законодавства у сфері кібербезпеки та прийняття суб’єктами владних повноважень рішень на виконання норм цього Закону здійснюються з додержанням принципів мінімально необхідного регулювання, згідно з яким рішення (заходи) суб’єктів владних повноважень повинні бути необхідними і мінімально достатніми для досягнення мети і завдань, визначених цим Законом. Попереду ще багато роботи, адже Кабінет Міністрів України повинен сформувати вимоги та забезпечити функціонування системи аудиту інформаційної безпеки на об’єктах критичної інфраструктури.
Спеціалізований структурний підрозділ Державного центру кіберзахисту та протидії кіберзагрозам Державної служби спеціального зв’язку та захисту інформації України (CERT-UA) періодично публікує рекомендації, які стосуються безпеки поштового сервісу, з протидії загрозі інсайдера, усунення вразливостей, пов’язаних з некоректним налаштуванням DNS-серверів, з самостійного пошуку та ліквідації веб-шеллів, тощо.
У Європі розуміють важливість захисту даних. Так, усім відомий нормативний акт Європейського Союзу, який встановлює правила роботи з персональними даними (GDPR) ставить досить жорсткі вимоги до технічної складової захисту персональних даних у тому числі. До-речі, багато цікавого про GDPR ви можете почитати у нашому блозі ось тут та тут. Але це не єдині зміни, які стосуються кібезахисту.
09 травня 2018 року набрала чинності Директива Європейського парламенту і Ради (ЄС) №2016/1148, під назвою «Безпека мереж та інформації» (Network and Information Security).
Вимоги до безпеки та повідомлення, передбачені в цій Директиві, не повинні застосовуватися до підприємств, на які розповсюджуються вимоги статей 13a та 13b Директиви 2002/21/ЄC (про спільні правові рамки для електронних комунікаційних мереж та послуг), або до надавачів довірчих послуг, на яких розповсюджуються вимоги статті 19 Регламенту (ЄС) № 910/2014 (про електронну ідентифікацію та довірчі послуги для електронних транзакцій на внутрішньому ринку).
За цією Директивою, кожна держава-член ухвалює національну стратегію щодо безпеки мережевих та інформаційних систем, що визначає стратегічні цілі та доречну політику та регуляторні інструменти з метою досягнення та підтримання високого рівня безпеки мережевих та інформаційних систем.
Надавачі цифрових послуг повинні забезпечити рівень безпеки, співмірний з рівнем ризику, що виникає для безпеки цифрових послуг, які вони надають, враховуючи важливість інших послуг для операцій інших суб’єктів господарської діяльності в межах Союзу. На практиці, ступінь ризику для операторів основних послуг, які часто є істотними для підтримки важливої соціальної та економічної діяльності, є вищим ніж для надавачів цифрових послуг.
Таким чином, вимоги до безпеки для надавачів цифрових послуг повинні бути менш суворими. Надавачі цифрових послуг повинні мати свободу вживати заходи, які вони вважають належними для управління ризиками, що виникають для безпеки їхніх мережевих та інформаційних систем. Через свій транскордонний характер, надавачі цифрових послуг повинні підлягати більш гармонізованому підходу на рівні Союзу. Імплементаційні акти повинні сприяти конкретизації та реалізації таких заходів.
Висновки
Кібербезпека – це дійсно складний процес, але вона є обов’язковою складовою успішного бізнесу. Настала епоха Інтернету, наразі кожна організація стає цифровою, і так чи інакше використовує в своїй діяльності новітні технології і процеси, застосовують нові принципи організації праці. Кожна складова бізнес-процесів, представляє лише окрему ланку в нескінченному ланцюзі взаємопов’язаних елементів. Сьогодні компаніям складніше ніж коли-небудь чітко визначити критичні точки у власній багатогранній інфраструктурі через яку вони взаємодіють з оточуючим світом. Такі умови створюють підґрунтя для хакерських атак.
Об’єктом уваги зловмисників стають абсолютно різні за масштабами та сферою діяльності компанії. Найбільш часто, заходи безпеки обумовлюються рівнем загроз і ризиків. Нажаль кіберпростір повен загроз, проте заходи по запобігання атак повинні обумовлюватися рівнем ризику, оскільки тактика і методи кіберзлочинців постійно змінюються.
Зараз ви можете думати, що впроваджений захист ефективний, але він скоро застаріє. Кібербезпека це не разова акція. Роль юриста полягає у тому, аби підготувати ефективне підґрунтя для впровадження технічної складової, провести змістовний комплаєнс, переглянути і оптимізувати минулі і поточні процедури та організувати на належному рівні ризик-менеджмент.
Такі заходи забезпечать рівень безпеки інформаційних систем, та врахують такі елементи: (a) безпеку систем; (b) врегулювання інцидентів; (c) управління безперервністю бізнесу; (d) моніторинг та постійний аудит; (e) відповідність міжнародним стандартам; (f) розслідування інцидентів та притягнення винних до відповідальності.
Виявлення ризиків допоможе організувати роботу фахівців, виходячи з природи і небезпеки загроз. Це дасть змогу спрямувати ресурси на найбільш уразливі місця. Кібербезпека потребує постійної підтримки та аналізу її ефективності. Слід узгоджувати бізнес-ініціативи з питаннями безпеки. У цьому допоможуть затвердженні компанією політики, які враховують цілі компанії та закріплюють чітку послідовність дій працівників. Важливою складовою захисту є постійне оновлення засобів забезпечення безпеки та підняття рівня захисту.