ПРАВОВІ АСПЕКТИ КІБЕРБЕЗПЕКИ БІЗНЕСУСергій Буяджи

Адвокат, кандидат юридичних наук, спеціаліст у сфері ІТ та кібербезпеки, а також у сфері онлайн та офлайн казино

16.03.2021

Про кібербезпеку, скоріш за все, замислювалася майже кожна IT-компанія. Багато хто сьогодні не працює на власних технічних ресурсах — замість цього всю роботу будують на використанні хмарних сервісів, інтегрованих рішень, орендованих хостингів тощо.

Такий формат менш затратний, зручніший і сприяє розвитку IT-індустрії в цілому, але водночас гірше захищений з точки зору кібербезпеки. Пропонуємо розглянути, що таке кібербезпека, які загрози вона нейтралізує і як правильно її організувати.

Що таке кібербезпека?

ПРАВОВІ АСПЕКТИ КІБЕРБЕЗПЕКИ БІЗНЕСУКібербезпека — це використання технічних і організаційних засобів безпеки для забезпечення конфіденційності, цілісності та доступності даних IT-компанії, доступ до яких може бути здійснено за допомогою інформаційних і комп’ютерних систем і мереж.

У спрощеному варіанті кібербезпека — це захист від будь-яких загроз, що можуть бути створені шляхом використання інформаційних технологій. Прикладами таких загроз є шкідливе програмне забезпечення, DoS (denial-of-service) атака та інші.

Найчастіше подібні кібератаки спрямовані на:

  • викрадення персональних даних користувачів, клієнтів і співробітників;
  • привласнення конфіденційної та внутрішньої інформації підприємства;
  • порушення чи блокування роботи сервісу, платформи компанії тощо.

Які бувають види кібератак?

Видів атак може бути стільки, скільки є доступних технологій. Авторитетні організації на кшталт Cisco пропонують один список кібератак, окремі IT-спеціалісти —інший, а наявне законодавство містить третій перелік.

Якщо виходити з критерію розповсюдженості, можна виділити наступні види кібератак, з якими може стикнутися IT-компанія:

       1. Шкідливе ПЗ. Віруси були й лишаються одним з найпопулярніших видів кібератак на бізнес. Достатньо згадати кейси NotPetya і ILOVEYOU. Таке програмне забезпечення може мати багато форм, наприклад:

  • вірус — програма, що проникає у код інших програм з метою створення своїх копій. Результат проникнення вірусу — збої комп’ютера через помилки, проблеми з роботою операційної системи, нестача пам’яті пристрою, перегрівання комп’ютера, видалення файлів, порушення працездатності мережевих структур, блокування роботи користувачів тощо;
  • дроппер — програма, що сама по собі не є шкідливою, але після завантаження на пристрій самостійно підключається до Інтернету і завантажує вірусне ПЗ;
  • ПЗ-вимагач — програма, що блокує доступ до даних і загрожує опублікувати або видалити їх. Іноді разом з блокуванням даних програма може шифрувати їх криптографією таким чином, що відновити їх без ключа дешифрування неможливо.

      2. Фішинг. Найчастіше фішинг являє собою відправлення електронних листів від надійних контактів з метою отримання особистої інформації чи спонукання користувачів до яких-небудь дій.

Останній яскравий приклад, пов’язаний з фішингом, — це фішинг-тест у компанії GoDaddy. Всім її співробітникам на електронну пошту відправили повідомлення про те, що їм надається святковий бонус у розмірі 650 USD, з проханням вказати своє місцезнаходження і ввести іншу особисту інформацію. Згідно зі звітом GoDaddy, близько 500 співробітників компанії виявили цікавість до листа і провалили тест.

       3. DoS- і DDoS-атаки. Метою цього виду кібератак є перевантаження ресурсів системи, через що вона не може відповідати на запити обслуговування. Головне завдання DoS- і DDoS-атак — вимкнути систему компанії, у тому числі щоб розпочати атаку іншого типу.

      4. IoT-атака. Суть IoT-атаки полягає в тому, щоб обійти систему безпеки і отримати доступ або ідентифікацію реквізитів доступу до певної IoT-системи. Після цього зловмисники отримують доступ до інформації, що знаходиться на певних пристроях і в акаунтах користувача.

Наведені вище приклади — лише найосновніші. На практиці IT-компанії можуть стикатися з багатьма іншими видами кібератак на бізнес.

Законодавство про кібербезпеку в Україні

Законодавство у сфері кібербезпеки в Україні досить декларативне. Основний профільний закон — Закон України «Про основні засади забезпечення кібербезпеки України». Але цей закон містить загальну інформацію про кібербезпеку і не визначає ані вимог до систем безпеки, ані інструкцій на випадок атаки.

Разом із тим у Кримінальному кодексі України передбачена відповідальність за низку злочинів у сфері кібербезпеки. Зокрема, кримінальна відповідальність настає за:

  • несанкціоноване втручання в роботу комп’ютерів, автоматизованих і комп’ютерних систем, що призвело до витоку, втрати, підробки, блокування інформації тощо;
  • створення з метою використання, розповсюдження або збуту, а також розповсюдження або збут шкідливих програмних або технічних засобів, призначених для несанкціонованого втручання в роботу пристроїв;
  • несанкціоновані збут або розповсюдження інформації з обмеженим доступом;
  • несанкціоновані дії з інформацією, що оброблюється і зберігається на пристроях;
  • порушення правил експлуатації пристроїв або порядку/правил захисту інформації, якщо це завдало суттєвої шкоди;
  • умисне масове розповсюдження повідомлень, здійснене без попередньої згоди адресатів, що призвело до порушення або припинення роботи пристроїв.

Крім того, дії зловмисників і злочини у сфері кібербезпеки можуть бути кваліфіковані за іншими статтями Кримінального кодексу, наприклад за статтею про шахрайство.

У випадку кібератаки варто зафіксувати її факт і зібрати докази з огляду на норми процесуального законодавства. Так, слід провести огляд місця скоєння злочину, в якому обов’язково має брати участь IT-спеціаліст і бажано поняті, які мають уявлення про те, що відбувається. На цьому етапі буде оглянута комп’ютерна техніка та інформація, що в ній міститься.

Податкове консультування

Зібрані протягом огляду докази можна покласти в основу судово-криміналістичної експертизи і використати для розрахунку розміру завданої шкоди.

Політика інформаційної безпеки 

Щоб максимально запобігти можливості кібератак на бізнес, які можуть завдати збитків IT-компанії, важливо впроваджувати технічні та організаційні засоби захисту.

Впровадження таких заходів регулює політика інформаційної безпеки компанії. Вона може являти собою як один документ, так і сукупність окремих документів, що передбачають правила поведінки з питань:

  • роботи з листами, отриманими електронною поштою;
  • зберігання паролів та іншої конфіденційної інформації;
  • передання інформації між пристроями;
  • доступу до системи з особистих пристроїв;
  • системи доступу і поведінки в офісному приміщенні;
  • підключення цифрових пристроїв до локальних мереж, Wi-Fi тощо.

В якості технічних засобів кібербезпеки на підприємстві у політиці інформаційної безпеки можна вказати:

  1. Заборону відкривати листи з підозрілою назвою або від невідомого адресата.
  2. Обов’язок відправляти конфіденційну інформацію в зашифрованому вигляді.
  3. Заборону використовувати сторонні сервіси при переданні комерційної таємниці компанії.
  4. Необхідність при переданні конфіденційної інформації ставити в копію листа керівництво.
  5. Обов’язкове шифрування даних, що передаються за допомогою інформаційних систем.
  6. Захист пристроїв криптографічними паролями доступу.
  7. Заборону на зберігання паролів доступу до будь-яких сервісів/платформ.
  8. Захист комп’ютерних і програмних мереж.
  9. Впровадження механізмів виявлення і блокування шкідливого ПЗ.
  10. Впровадження антифрод-механізмів тощо

Організаційними засобами кібербезпеки можуть виступати:

  1. Контроль доступу співробітників та інших осіб до комп’ютерних пристроїв і систем.
  2. Протоколи поведінки співробітників у приміщенні компанії.
  3. Регулярні тренінги з кібербезпеки для співробітників.
  4. Тести для співробітників для перевірки рівня кібербезпеки тощо

Крім того, перед складанням політики інформаційної безпеки чи будь-якого іншого документу в цій сфері треба провести аудит і зробити висновок про поточний стан інформаційної захищеності компанії.

Важливо розуміти, що правове регулювання кібербезпеки — це лише один бік медалі. Окрім підготовки політики інформаційної безпеки і супутніх документів необхідно імплементувати її використання в роботі компанії. Без цього подібна політика залишиться декларативним інструментом.

Також у інтересах компанії проводити регулярний аудит рівня кібербезпеки в ній. Висновок, що робиться за підсумками такого аудиту, має бути інструкцією для використання в питаннях удосконалення поточного рівня кібербезпеки IT-компанії.

Таким чином, основними правовими аспектами кібербезпеки бізнесу є складання коректних і вичерпних політик інформаційної безпеки IT-компанії, впровадження передбачених у таких політиках технічних і організаційних засобів на практиці, а також фіксація факту кібератаки згідно з нормами процесуального законодавства.