ПРАВОВЫЕ АСПЕКТЫ КИБЕРБЕЗОПАСНОСТИ БИЗНЕСАСергей Буяджи

Адвокат, кандидат юридических наук, специалист в области IT и кибербезопасности, а также в сфере онлайн- и офлайн-казино

16.03.2021

О кибербезопасности наверняка задумывалась почти каждая IT-компания. Многие сегодня не работают на собственных технических ресурсах — вместо этого вся работа бизнеса строится на использовании облачных сервисов, интегрированных решений, арендуемых хостингов и т.д.

Такой формат менее затратный, более удобный и способствует развитию IT-индустрии в целом, но в то же время хуже защищен с точки зрения кибербезопасности. Предлагаем рассмотреть, что такое кибербезопасность, какие угрозы она нейтрализует и как правильно ее организовать.

Что такое кибербезопасность?

ПРАВОВЫЕ АСПЕКТЫ КИБЕРБЕЗОПАСНОСТИ БИЗНЕСАКибербезопасность — это использование технических и организационных мер безопасности для обеспечения конфиденциальности, целостности и доступности данных IT-компании, доступ к которым может быть осуществлен с помощью информационных и компьютерных систем и сетей.

В упрощенном варианте кибербезопасность — это защита от любых угроз, которые могут создаваться путем использования информационных технологий. Примерами таких угроз являются вредоносное программное обеспечение, DoS (denial-of-service) атака и другие.

Чаще всего подобные кибератаки направлены на:

  • кражу персональных данных пользователей, клиентов и сотрудников;
  • завладение конфиденциальной и внутренней информацией предприятия;
  • нарушение или блокировку работы сервиса, платформы компании и т.д.

Какие бывают виды кибератак?

Видов атак может быть столько, сколько есть доступных технологий. Авторитетные организации вроде Cisco предлагают один список кибератак, отдельные IT-специалисты — другой, а имеющееся законодательство содержит третий перечень.

Исходя из критерия распространенности, можно выделить следующие виды кибератак, с которыми может столкнуться IT-компания:

      1. Вредоносное ПО. Вирусы были и остаются одним из самых популярных видов кибератак на бизнес. Достаточно вспомнить кейсы NotPetya и ILOVEYOU. Такое программное обеспечение может иметь множество форм, например:

  • вирус — программа, которая внедряется в код других программ с целью создания своих копий. Результат внедрения вируса — сбои компьютера из-за ошибок, проблемы с работой операционной системы, недостаток памяти устройства, перегрев компьютера, удаление файлов, нарушение работоспособности сетевых структур, блокировка работы пользователей и т.д.;
  • дроппер — программа, которая сама по себе не является вредоносной, но после загрузки на устройство самостоятельно подключается к Интернету и загружает вирусное ПО;
  • ПО-вымогатель — программа, которая блокирует доступ к данным и угрожает опубликовать или удалить их. Иногда вместе с блокировкой данных программа может шифровать их криптографией таким образом, что восстановить их без ключа дешифрования невозможно.

    2.Фишинг. Чаще всего фишинг являет собой отправку электронных писем от надежных контактов с целью получения личной информации или побуждения пользователей к каким-либо действиям.

Последний яркий пример, связанный с фишингом, — фишинг-тест в компании GoDaddy. Всем ее сотрудникам на электронную почту отправили сообщения о том, что им предоставляется праздничный бонус в размере 650 USD, с просьбой указать свое местоположение и ввести другую личную информацию. Согласно отчету GoDaddy, около 500 сотрудников компании проявили интерес к письму и провалили тест.

    3. DoS- и DDoS-атаки. Целью этого вида кибератак является перегрузка ресурсов системы, в связи с чем она не может отвечать на запросы обслуживания. Главная задача DoS- и DDoS-атак — отключить систему компании, в том числе чтобы начать атаку другого типа.

    4. IoT-атака. Суть IoT-атаки заключается в обходе системы безопасности и получении доступа или идентификации реквизитов доступа к определенной IoT-системе. После этого злоумышленники получают доступ к информации, которая находится на определенных устройствах и в аккаунтах пользователя.

Указанные выше примеры — только самые основные. На практике IT-компании могут сталкиваться с множеством других видов кибератак на бизнес.

Законодательство о кибербезопасности в Украине

Законодательство в сфере кибербезопасности в Украине довольно декларативно. Основной профильный закон — Закон Украины «Об основных принципах обеспечения кибербезопасности Украины». Однако этот закон содержит общую информацию о кибербезопасности и не определяет ни требований к системам безопасности, ни инструкций на случай атаки.

Вместе с тем в Уголовном кодексе Украины предусмотрена ответственность за ряд преступлений в сфере кибербезопасности. Так, уголовная ответственность наступает за:

  • несанкционированное вмешательство в работу компьютеров, автоматизированных и компьютерных систем, что привело к утечке, потере, подделке, блокированию информации и т.д.;
  • создание с целью использования, распространения или сбыта, а также распространение или сбыт вредных программных или технических средств, предназначенных для несанкционированного вмешательства в работу устройств;
  • несанкционированные сбыт или распространение информации с ограниченным доступом;
  • несанкционированные действия с информацией, которая обрабатывается и хранится на устройствах;
  • нарушение правил эксплуатации устройств или порядка/правил защиты информации, если это причинило существенный вред;
  • умышленное массовое распространение сообщений, осуществленное без предварительного согласия адресатов, что привело к нарушению или прекращению работы устройств.

Кроме того, действия злоумышленников и преступления в сфере кибербезопасности могут быть квалифицированы по другим статьям Уголовного кодекса, например по статье о мошенничестве.

В случае кибератаки стоит зафиксировать ее факт и собрать доказательства, руководствуясь нормами процессуального законодательства. Так, следует провести осмотр места совершения преступления, в котором обязательно должен участвовать IT-специалист и желательно понятые, которые имеют представление о том, что происходит. На этом этапе будет осмотрена компьютерная техника и информация, которая в ней содержится.

Собранные в ходе осмотра доказательства можно положить в основу судебно-криминалистической экспертизы и использовать для расчета размера причиненного ущерба.

Налоговое консультирование

Политика информационной безопасности 

Чтобы максимально предотвратить возможность кибератак на бизнес, который могут причинить ущерб IT-компании, важно внедрять необходимые технические и организационные меры защиты.

Внедрение таких мер регулирует политика информационной безопасности компании. Она может представлять собой как один документ, так и совокупность отдельных документов, которые предусматривают правила поведения по вопросам:

  • работы с письмами, полученными по электронной почте;
  • хранения паролей и другой конфиденциальной информации;
  • передачи информации между устройствами;
  • доступа к системе с собственных устройств;
  • системы доступа и поведения в офисном помещении;
  • подключения цифровых устройств к локальным сетям, Wi-Fi и т.д.

В качестве технических мер кибербезопасности на предприятии в политике информационной безопасности можно указать:

  1. Запрет открывать письма с подозрительным названием или от неизвестного адресата.
  2. Обязанность отправлять конфиденциальную информацию в зашифрованном виде.
  3. Запрет использовать сторонние сервисы при передаче коммерческой тайны компании.
  4. Необходимость при передаче конфиденциальной информации ставить в копию письма руководство.
  5. Обязательное шифрование данных, которые передаются с помощью информационных систем.
  6. Защиту устройств криптографическими паролями доступа.
  7. Запрет на сохранение паролей доступа к любым сервисам/платформам.
  8. Защиту компьютерных и программных сетей.
  9. Внедрение механизмов выявления и блокировки вредоносного ПО.
  10. Внедрение антифрод-механизмов и т.д.

В качестве организационных мер кибербезопасности могут выступать:

  1. Контроль доступа сотрудников и других лиц к компьютерным устройствам и системам.
  2. Протоколы поведения сотрудников в помещении компании.
  3. Регулярные тренинги по кибербезопасности для сотрудников.
  4. Тесты для сотрудников для проверки уровня кибербезопасности и т.д.

Кроме того, перед составлением политики информационной безопасности или любого другого документа в этой сфере следует провести аудит и составить заключение о текущем состоянии информационной защищенности компании.

Важно понимать, что правовое регулирование кибербезопасности — это лишь одна сторона медали. Помимо подготовки политики информационной безопасности и сопутствующих документов необходимо имплементировать ее использование в работе компании. Без этого подобная политика останется декларативным документом.

Также в интересах компании проводить регулярный аудит уровня кибербезопасности в ней. Заключение, которое составляется по итогам такого аудита, должно быть руководством к применению в вопросах усовершенствования текущего уровня кибербезопасности IT-компании.

Таким образом, основными правовыми аспектами кибербезопасности бизнеса являются составление корректных и исчерпывающих политик информационной безопасности IT-компании, внедрение предусмотренных в таких политиках технических и организационных мер на практике, а также фиксация факта кибератаки в соответствии с нормами процессуального законодательства.