Безопасность в сети: как Украина будет регулировать киберпространство
После масштабних кибератак, которые были совершены на многие украинские компании и государственные институции Украина всерьез задумалась о регулировании сферы киберзащиты. Так, в октябре 2017 года Верховная рада приняла соответствующий закон «Об основных принципах обеспечения кибербезопасности Украины», который вступил в силу 9 мая. Документом определяются основы обеспечения защиты национальных интересов Украины в киберпространстве, основные цели, направления и принципы государственной политики в сфере кибербезопасности, а также полномочия государственных органов в этой сфере, основные принципы координации их деятельности по обеспечению кибербезопасности.
Как закон будет применяться на практике и как будет обеспечена безопасность в этой сфере, рассказали Mind эксперты Deloitte в Украине – старший менеджер Департамента консалтинга Андрей Красный, старший консультант Департамента консалтинга Андрей Зимарин и консультант Департамента комплексных трансформаций бизнеса Deloitte в Украине Ирина Мягкая.
9 мая в Украине вступает в силу закон «Об основных принципах обеспечения кибербезопасности Украины». Символично такое совпадение дат или нет, само принятие этого нормативно-правового акта означает для Украины закрепление на законодательном уровне понятийного аппарата с приставкой «кибер» и начало регулирования цифровой экономики в целом.
Закон расширил и дополнил положения Стратегии кибербезопасности Украины, утвержденной Указом Президента в 2016 году. Целью Стратегии было создание условий для безопасного функционирования киберпространства, его использования в интересах личности, общества и государства. При этом, основной массив положений Стратегии касается сферы национальной обороны и не затрагивает бизнес. Стратегия стала подтверждением принятого Украиной курса на евроинтеграцию, началом которого было подписание и ратификация Украиной Конвенции о кибербезопасности. Государства-члены Совета Европы и некоторые другие государства, подписавшие Конвенцию, обязались принимать общие и индивидуально-страновые меры для предотвращения преступлений в цифровой сфере.
Основным достижением закона «Об основных принципах обеспечения кибербезопасности Украины» является имплементация в правовое поле определений, касающихся кибербезопасности, кибератак и киберзащиты, и большего, на сегодняшний день от него ожидать не стоит. С другой стороны, было бы не совсем правильно рассматривать этот закон с точки зрения сравнения его с существующим регулированием в отраслях с 20-25-летней историей развития нормативной базы. Закон о кибербезопасности – это первые и очень важные шаги государства в сфере регулирования киберпространства. Кроме того, в законе есть и положения, которые концептуально затрагивают не только компании государственного сектора, но и частный бизнес. Вводится понятие «критическая информационная структура», объекты которой будут обязаны проходить обязательный аудит кибербезопасности и соответствовать инфраструктурным требованиям Кабмина.
Трезво оценивая ситуацию, мы понимаем, что принятию закона, в большей степени, поспособствовало не мировое сообщество, а история, которая произошла в 2017 году и приобрела огромный мировой резонанс. Отчасти, она заставила украинские компании обратить серьезное внимание на безопасность цифровой инфраструктуры и подумать о принятии мер по ее защите.
Летом прошлого года по Украине волной пронеслась кибератака небезызвестного Petya/Nyetya, которая нанесла значительный ущерб государственному сектору и бизнесу, фактически заморозив бизнес-процессы в стране на несколько дней. С уверенностью можно констатировать, что от вируса пострадало более половины украинских компаний и речь идет не только о небольших сбоях в работе сетей, а о потере крупных объемов данных и финансовой отчетности за несколько отчетных периодов. Сроки восстановления компаний варьировались от нескольких дней до месяца, а в редких случаях и дольше.
Кто виноват в ситуации, которая сложилась? Мнение экспертов – все. В нашей стране на тот момент не было необходимого законодательного регулирования кибербезопасности, ни, что самое важное, достаточных знаний о важности защиты данных у людей, которые управляют бизнесом и страной. Так, в Украине отсутствовало понятие «информационной безопасности», как таковое. С последними кибератаками могли справиться только компании с наивысшим уровнем кибербезопасности, которых в Украине, к сожалению, не так много.
Анализируя последствия, сейчас уже можно более взвешено подойти к вопросу о выводах и что еще важнее, о подходах к предотвращению или максимальному снижению рисков подобных кибератак.
Наряду с ростом киберпреступности и объемом убытков по результатам атак, происходит совершенствование и разработка новых «бизнес-моделей» киберпреступлений. Кроме того, постоянно стираемые границы в киберпространстве позволяют злоумышленникам легче масштабировать свои атаки.
Например, такой вид кибератак как распространение вируса-шифровальщика (Ransomware), до последнего времени считавшийся одной из самых серьезных угроз кибербезопасности в мире, позволяет злоумышленникам вымогать огромные суммы денег с компаний, которые были заражены данным вирусом. Суть Ransomware состоит в том, что это вредоносное программное обеспечение, внедряясь в систему, шифрует данные и блокирует их, тем самым вымогатели получают предмет торга и существенные аргументы в пользу выплаты им требуемой суммы. Более того, стали появляться специальные RaaS-сервисы, которые предлагают криптоблокеры для скачивания со скрытого веб-сервера, доступные любому желающему, для получения дохода от вымогательств в криптовалюте.
Еще одним популярным видом мошенничества в сети является Phishing. Целью фишинга является доступ к конфиденциальным данным пользователей. Обычно маскируясь под какую-нибудь известную организацию фишеры рассылают письма от имени этих организаций с просьбой уточнить либо дополнить персональные данные клиента, собирая таким образом огромные массивы данных и используя их для получения несанкционированного доступа к критическим активам пользователя.
Есть элементарные процессы, которые могут предотвращать масштабные кибератаки. Приводим самый базовый уровень защиты, который должен быть внедрен на всех предприятиях, а тем более – в государственных структурах.
- Внедрение эффективного процесса управления обновлениями в программном обеспечении для поддержки актуальных версий программного обеспечения (ПО) на всех узлах инфраструктуры организации. Необходимо удостовериться, что новое обновление точно отправлено поставщиком услуг, и проведено обязательное тестирование в отдельной среде на его корректную работу.
- Внедрение сегментации сети – логического деления сети на различные сегменты в зависимости от степени важности – пользователей, серверов и т.д. В таком случае при заражении вредоносным ПО любой рабочей станции, угрозу можно локализовать в пределах одного сегмента, тем самым спасти от заражения всю инфраструктуру компании.
- Создание, поддержание в актуальном состоянии и регулярное тестирование плана реагирования на инциденты кибербезопасности. Оперативная и слаженная реакция сотрудников организации на инцидент позволит максимально быстро локализировать область поражения и минимизировать возможный ущерб от инфицирования вирусом.
В случае кибератакиPetya/Nyetya, уже в первые часы распространения вируса, эксперты по информационной безопасности выявили, по каким путям он распространяется, и какие меры безопасности следует максимально оперативно внедрить. Мы можем предположить, что если бы в первые часы уполномоченные лица официально заявили в открытых источниках о проблеме и путях предотвращения распространения вируса, то последствия могли бы быть гораздо менее масштабными. - Внедрение процесса резервного копирования критических данных и регулярного тестирования этих копий на возможность восстановления. Следует обратить внимание, что наиболее защищенным методом хранения резервных копий является технология записи данных на удаленный носитель. Как оказалось, в Украине операцию резервного копирования проводят лишь малая часть компаний. А те компании, которые все-таки резервируют критическую информацию, сохраняют ее на сервере, который находится в общей инфраструктуре и тоже подвержен вирусной атаке.
Мы озвучили самые базовые требования к защите данных, что можно назвать самой первой ступенью «пирамиды Маслоу», если говорить о кибербезопасности. Чтобы уберечь систему от таких мощных атак, как Petya/Nyetya, нужны дополнительные меры безопасности: рабочий процесс мониторинга сетевых событий и внедрение оборудования с функцией IPS (системой предотвращения вторжений), которые могут обнаружить аномальную активность в сети во время атаки.
Эти процессы требуют проведения определенных работ и затрат ресурсов. Украинский бизнес и государство из-за непонимания всей важности мер безопасности и неосознанности масштаба последствий кибератак, в своем большинстве откладывают или вовсе отказываются на такие траты ресурсов.
Именно поэтому, принятие закона – важный этап для Украины, ведь это запускает комплексный процесс регулирования кибербезопасности, как отдельной важной отрасли.
Следующим этапом должен стать перечень объектов критической инфраструктуры от Кабмина (объекты, имеющие жизненно-важное значение для функционирования страны).
Аналогичный подход был закреплен и в ЕС. Для систематизации и установления минимальных требований для всех стран-членов ЕС была принята директива об общих мерах безопасности сетевых и информационных систем в ЕС 2016/1148. Директива обязует государства-члены определить объекты критической инфраструктуры в разных сферах.
Следуя опыту западных стран, для таких объектов следует внедрить обязательные стандарты по кибербезопасности. При этом даже нет необходимости в разработке новых стандартов. Можно внедрять стандарты ISO (международной организации стандартизации), а также национальные стандарты Германии, США, Британии, которые имеют высокий технический уровень.
Мы считаем, что внедрение стандартов кибербезопасности должно иметь секторальный характер. Это позволит учитывать специфику бизнеса, не теряя комплексного подхода в регулировании данного вопроса. К примеру, для компаний в отрасли энергетики устанавливаются совсем иные стандарты, нежели для транспортных.
На сегодняшний день в некоторых сферах регулятор инициирует внедрение обязательных стандартов. В частности, НБУ ввел обязательные стандарты кибербезопасности для банков.
Разумеется, в эпоху информационного общества сложно полностью избежать угроз в киберпространстве. Цифровая эпоха привнесла в экономику не только положительные трансформации. Частью «цены», которую приходится платить за инновации в цифровой сфере, являются риски киберпреступлений, приобретающие все большие масштабы. Однако, мы надеемся, что осознание проблемы государством и бизнесом, создание современного правового поля, а также соблюдение мер кибербезопасности значительно повысит уровень устойчивости от атак.
Безусловно, невозможно защититься от всего, но ряд превентивных мер, которые уже сейчас в силах осуществлять специалисты в киберсфере, и собственники бизнеса могут предотвратить неприятные последствия и сохранить деньги.
Предотвращение кибератак – часть комплексных трансформационных процессов, которые начались в украинском бизнесе. Как и в любой отрасли, комплексный подход к решению задач по защите от рисков и угроз во всех смежных сферах, позволяет предотвратить серьезные последствия и большие потери для всего бизнеса в целом. В этом смысле, закон и предлагает такой комплексный подход. Трансформации – это не точечно, трансформации – это комплекс, запускающий взаимодополняющие механизмы.
Подводя итоги, мы полагаем, что вступление в силу закона запустит комплексные инфраструктурные изменения не только в плане определения понятийного аппарата, и основных подходов к кибербезопасности, но и оформит саму структуру органов и ведомств, вовлеченных в госполитику кибербезопасности страны. Государство и бизнес станут носителями и активными лоббистами культуры кибербезопасности в общих интересах экономического развития.
Источник: mind.ua
blog comments powered by Disqus
