Голосование




влажность:

давление:

ветер:

влажность:

давление:

ветер:

влажность:

давление:

ветер:

влажность:

давление:

ветер:

влажность:

давление:

ветер:



Безопасность в сети: как Украина будет регулировать киберпространство

14 мая 2018
Безопасность в сети: как Украина будет регулировать киберпространство
Фото: pixabay.com

После масштабних кибератак, которые были совершены на многие украинские компании и государственные институции Украина всерьез задумалась о регулировании сферы киберзащиты. Так, в октябре 2017 года Верховная рада приняла соответствующий закон «Об основных принципах обеспечения кибербезопасности Украины», который вступил в силу 9 мая. Документом определяются основы обеспечения защиты национальных интересов Украины в киберпространстве, основные цели, направления и принципы государственной политики в сфере кибербезопасности, а также полномочия государственных органов в этой сфере, основные принципы координации их деятельности по обеспечению кибербезопасности.

Как закон будет применяться на практике и как будет обеспечена безопасность в этой сфере, рассказали Mind эксперты Deloitte в Украине – старший менеджер Департамента консалтинга Андрей Красный, старший консультант Департамента консалтинга Андрей Зимарин и консультант Департамента комплексных трансформаций бизнеса Deloitte в Украине Ирина Мягкая.

9 мая в Украине вступает в силу закон «Об основных принципах обеспечения кибербезопасности Украины». Символично такое совпадение дат или нет, само принятие этого нормативно-правового акта означает для Украины закрепление на законодательном уровне понятийного аппарата с приставкой «кибер» и начало регулирования цифровой экономики в целом.

Закон расширил и дополнил положения Стратегии кибербезопасности Украины, утвержденной Указом Президента в 2016 году. Целью Стратегии было создание условий для безопасного функционирования киберпространства, его использования в интересах личности, общества и государства. При этом, основной массив положений Стратегии касается сферы национальной обороны и не затрагивает бизнес. Стратегия стала подтверждением принятого Украиной курса на евроинтеграцию, началом которого было подписание и ратификация Украиной Конвенции о кибербезопасности. Государства-члены Совета Европы и некоторые другие государства, подписавшие Конвенцию, обязались принимать общие и индивидуально-страновые меры для предотвращения преступлений в цифровой сфере.

Основным достижением закона «Об основных принципах обеспечения кибербезопасности Украины» является имплементация в правовое поле определений, касающихся кибербезопасности, кибератак и киберзащиты, и большего, на сегодняшний день от него ожидать не стоит. С другой стороны, было бы не совсем правильно рассматривать этот закон с точки зрения сравнения его с существующим регулированием в отраслях с 20-25-летней историей развития нормативной базы. Закон о кибербезопасности – это первые и очень важные шаги государства в сфере регулирования киберпространства. Кроме того, в законе есть и положения, которые концептуально затрагивают не только компании государственного сектора, но и частный бизнес. Вводится понятие «критическая информационная структура», объекты которой будут обязаны проходить обязательный аудит кибербезопасности и соответствовать инфраструктурным требованиям Кабмина.

Трезво оценивая ситуацию, мы понимаем, что принятию закона, в большей степени, поспособствовало не мировое сообщество, а история, которая произошла в 2017 году и приобрела огромный мировой резонанс. Отчасти, она заставила украинские компании обратить серьезное внимание на безопасность цифровой инфраструктуры и подумать о принятии мер по ее защите.

Летом прошлого года по Украине волной пронеслась кибератака небезызвестного Petya/Nyetya, которая нанесла значительный ущерб государственному сектору и бизнесу, фактически заморозив бизнес-процессы в стране на несколько дней. С уверенностью можно констатировать, что от вируса пострадало более половины украинских компаний и речь идет не только о небольших сбоях в работе сетей, а о потере крупных объемов данных и финансовой отчетности за несколько отчетных периодов. Сроки восстановления компаний варьировались от нескольких дней до месяца, а в редких случаях и дольше.

Кто виноват в ситуации, которая сложилась? Мнение экспертов – все. В нашей стране на тот момент не было необходимого законодательного регулирования кибербезопасности, ни, что самое важное, достаточных знаний о важности защиты данных у людей, которые управляют бизнесом и страной. Так, в Украине отсутствовало понятие «информационной безопасности», как таковое. С последними кибератаками могли справиться только компании с наивысшим уровнем кибербезопасности, которых в Украине, к сожалению, не так много.

Анализируя последствия, сейчас уже можно более взвешено подойти к вопросу о выводах и что еще важнее, о подходах к предотвращению или максимальному снижению рисков подобных кибератак.

Наряду с ростом киберпреступности и объемом убытков по результатам атак, происходит совершенствование и разработка новых «бизнес-моделей» киберпреступлений. Кроме того, постоянно стираемые границы в киберпространстве позволяют злоумышленникам легче масштабировать свои атаки.

Например, такой вид кибератак как распространение вируса-шифровальщика (Ransomware), до последнего времени считавшийся одной из самых серьезных угроз кибербезопасности в мире, позволяет злоумышленникам вымогать огромные суммы денег с компаний, которые были заражены данным вирусом. Суть Ransomware состоит в том, что это вредоносное программное обеспечение, внедряясь в систему, шифрует данные и блокирует их, тем самым вымогатели получают предмет торга и существенные аргументы в пользу выплаты им требуемой суммы. Более того, стали появляться специальные RaaS-сервисы, которые предлагают криптоблокеры для скачивания со скрытого веб-сервера, доступные любому желающему, для получения дохода от вымогательств в криптовалюте.

Еще одним популярным видом мошенничества в сети является Phishing. Целью фишинга является доступ к конфиденциальным данным пользователей. Обычно маскируясь под какую-нибудь известную организацию фишеры рассылают письма от имени этих организаций с просьбой уточнить либо дополнить персональные данные клиента, собирая таким образом огромные массивы данных и используя их для получения несанкционированного доступа к критическим активам пользователя.

Есть элементарные процессы, которые могут предотвращать масштабные кибератаки. Приводим самый базовый уровень защиты, который должен быть внедрен на всех предприятиях, а тем более – в государственных структурах.

  • Внедрение эффективного процесса управления обновлениями в программном обеспечении для поддержки актуальных версий программного обеспечения (ПО) на всех узлах инфраструктуры организации. Необходимо удостовериться, что новое обновление точно отправлено поставщиком услуг, и проведено обязательное тестирование в отдельной среде на его корректную работу.
  • Внедрение сегментации сети – логического деления сети на различные сегменты в зависимости от степени важности – пользователей, серверов и т.д. В таком случае при заражении вредоносным ПО любой рабочей станции, угрозу можно локализовать в пределах одного сегмента, тем самым спасти от заражения всю инфраструктуру компании.
  • Создание, поддержание в актуальном состоянии и регулярное тестирование плана реагирования на инциденты кибербезопасности. Оперативная и слаженная реакция сотрудников организации на инцидент позволит максимально быстро локализировать область поражения и минимизировать возможный ущерб от инфицирования вирусом.
    В случае кибератакиPetya/Nyetya, уже в первые часы распространения вируса, эксперты по информационной безопасности выявили, по каким путям он распространяется, и какие меры безопасности следует максимально оперативно внедрить. Мы можем предположить, что если бы в первые часы уполномоченные лица официально заявили в открытых источниках о проблеме и путях предотвращения распространения вируса, то последствия могли бы быть гораздо менее масштабными.
  • Внедрение процесса резервного копирования критических данных и регулярного тестирования этих копий на возможность восстановления. Следует обратить внимание, что наиболее защищенным методом хранения резервных копий является технология записи данных на удаленный носитель. Как оказалось, в Украине операцию резервного копирования проводят лишь малая часть компаний. А те компании, которые все-таки резервируют критическую информацию, сохраняют ее на сервере, который находится в общей инфраструктуре и тоже подвержен вирусной атаке.

Мы озвучили самые базовые требования к защите данных, что можно назвать самой первой ступенью «пирамиды Маслоу», если говорить о кибербезопасности. Чтобы уберечь систему от таких мощных атак, как Petya/Nyetya, нужны дополнительные меры безопасности: рабочий процесс мониторинга сетевых событий и внедрение оборудования с функцией IPS (системой предотвращения вторжений), которые могут обнаружить аномальную активность в сети во время атаки.

Эти процессы требуют проведения определенных работ и затрат ресурсов. Украинский бизнес и государство из-за непонимания всей важности мер безопасности и неосознанности масштаба последствий кибератак, в своем большинстве откладывают или вовсе отказываются на такие траты ресурсов.

Именно поэтому, принятие закона – важный этап для Украины, ведь это запускает комплексный процесс регулирования кибербезопасности, как отдельной важной отрасли.

Следующим этапом должен стать перечень объектов критической инфраструктуры от Кабмина (объекты, имеющие жизненно-важное значение для функционирования страны).

Аналогичный подход был закреплен и в ЕС. Для систематизации и установления минимальных требований для всех стран-членов ЕС была принята директива об общих мерах безопасности сетевых и информационных систем в ЕС 2016/1148. Директива обязует государства-члены определить объекты критической инфраструктуры в разных сферах.

Следуя опыту западных стран, для таких объектов следует внедрить обязательные стандарты по кибербезопасности. При этом даже нет необходимости в разработке новых стандартов. Можно внедрять стандарты ISO (международной организации стандартизации), а также национальные стандарты Германии, США, Британии, которые имеют высокий технический уровень.

Мы считаем, что внедрение стандартов кибербезопасности должно иметь секторальный характер. Это позволит учитывать специфику бизнеса, не теряя комплексного подхода в регулировании данного вопроса. К примеру, для компаний в отрасли энергетики устанавливаются совсем иные стандарты, нежели для транспортных.
На сегодняшний день в некоторых сферах регулятор инициирует внедрение обязательных стандартов. В частности, НБУ ввел обязательные стандарты кибербезопасности для банков.

Разумеется, в эпоху информационного общества сложно полностью избежать угроз в киберпространстве. Цифровая эпоха привнесла в экономику не только положительные трансформации. Частью «цены», которую приходится платить за инновации в цифровой сфере, являются риски киберпреступлений, приобретающие все большие масштабы. Однако, мы надеемся, что осознание проблемы государством и бизнесом, создание современного правового поля, а также соблюдение мер кибербезопасности значительно повысит уровень устойчивости от атак.

Безусловно, невозможно защититься от всего, но ряд превентивных мер, которые уже сейчас в силах осуществлять специалисты в киберсфере, и собственники бизнеса могут предотвратить неприятные последствия и сохранить деньги.

Предотвращение кибератак – часть комплексных трансформационных процессов, которые начались в украинском бизнесе. Как и в любой отрасли, комплексный подход к решению задач по защите от рисков и угроз во всех смежных сферах, позволяет предотвратить серьезные последствия и большие потери для всего бизнеса в целом. В этом смысле, закон и предлагает такой комплексный подход. Трансформации – это не точечно, трансформации – это комплекс, запускающий взаимодополняющие механизмы.

Подводя итоги, мы полагаем, что вступление в силу закона запустит комплексные инфраструктурные изменения не только в плане определения понятийного аппарата, и основных подходов к кибербезопасности, но и оформит саму структуру органов и ведомств, вовлеченных в госполитику кибербезопасности страны. Государство и бизнес станут носителями и активными лоббистами культуры кибербезопасности в общих интересах экономического развития.

Источник: mind.ua

420

blog comments powered by Disqus

Телекоммуникации


Последние Популярные Коментируют

Темы форума

13 сентября 2018 16:9 vs 4:3
11 сентября 2018 Horizons 2 at 85.0°E