НМЛ інформатики, дистанційної та STEM-освіти
 
ЛАБОРАТОРІЯ ІНФОРМАТИЗАЦІЇ, ДИСТАНЦІЙНОЇ ТА S.T.E.M. ОСВІТИ

Безпека у мережі: як Україна регулюватиме кіберпростір Та як новий закон «Про основні засади забезпечення кібербезпеки України» вплине на бізнес

10 трав. 2018
Після масштабних кібератак, які були здійснені минулого року на багато українських компаній і державні інституції, Україна всерйоз замислилась над регулюванням сфери кіберзахисту.

Так, в жовтні 2017 року Верховна рада ухвалила відповідний закон «Про основні засади забезпечення кібербезпеки України», який набирає чинності 9 травня. Документом визначаються основи забезпечення захисту національних інтересів України в кіберпросторі, основні цілі, напрямки та принципи державної політики в сфері кібербезпеки, а також повноваження державних органів у цій сфері, основні принципи координації їх діяльності щодо забезпечення кібербезпеки.

Як закон буде застосовуватися на практиці і як буде забезпечено безпеку в цій сфері, розповіли Mind експерти Deloitte в Україні – старший менеджер Департаменту консалтингу Андрій Красний, старший консультант Департаменту консалтингу Андрій Зимарин і консультант Департаменту комплексних трансформацій бізнесу Deloitte в Україні Ірина Мягка.

 

9 травня в Україні вступає в силу закон «Про основні засади забезпечення кібербезпеки України». Символічний такий збіг дат чи ні, власне прийняття цього нормативно-правового акта означає для України закріплення на законодавчому рівні понятійного апарату з приставкою «кібер» і початок регулювання цифрової економіки в цілому.

Закон розширив і доповнив положення Стратегії кібербезпеки України, затвердженої Указом Президента в 2016 році. Метою Стратегії було створення умов для безпечного функціонування кіберпростору, його використання в інтересах особистості, суспільства і держави. При цьому, основний масив положень Стратегії стосується сфери національної оборони і не зачіпає бізнес. Стратегія стала підтвердженням прийнятого Україною курсу на євроінтеграцію, початком якого було підписання і ратифікація Україною Конвенції про кібербезпеку. Держави-члени Ради Європи та деякі інші держави, які підписали Конвенцію, взяли на себе зобов'язання приймати загальні та індивідуально-країнові заходи для запобігання злочинів у цифровій сфері.

Основним досягненням закону «Про основні засади забезпечення кібербезпеки України» є імплементація в правове поле визначень, що стосуються кібербезпеки, кібератак і кіберзахисту, і більшого, на сьогоднішній день від нього очікувати не варто. З іншого боку, було б не зовсім правильно розглядати цей закон з точки зору порівняння його з існуючим регулюванням в галузях з 20-25-річною історією розвитку нормативної бази. Закон про кібербезпеку – це перші і дуже важливі кроки держави в сфері регулювання кіберпростору. Крім того, в законі є і положення, які концептуально зачіпають не тільки компанії державного сектора, але і приватний бізнес. Вводиться поняття «критична інформаційна структура», об'єкти якої будуть зобов'язані проходити обов'язковий аудит з кібербезпеки і відповідати інфраструктурним вимогам Кабміну.

Тверезо оцінюючи ситуацію, ми розуміємо, що прийняття закону, в більшій мірі, сприяла не світова спільнота, а історія, яка сталася у 2017 році і набула величезного світового резонансу. Крім того, вона змусила українські компанії звернути серйозну увагу на безпеку цифрової інфраструктури і подумати про вжиття заходів щодо її захисту.

Влітку минулого року по Україні хвилею пронеслася кібератака відомого Petya/Nyetya, яка завдала значних збитків державному сектору і бізнесу, фактично заморозивши бізнес-процеси в країні на кілька днів. З упевненістю можна констатувати, що від вірусу постраждало більше половини українських компаній і мова йде не тільки про невеликі збої в роботі мереж, а про втрату великих обсягів даних і фінансової звітності за кілька звітних періодів. Терміни відновлення компаній варіювалися від декількох днів до місяця, а в окремих випадках і довше.

Хто винен в ситуації, яка склалася? Думка експертів – всі. У нашій країні на той момент не було необхідного законодавчого регулювання кібербезпеки, ні, що найважливіше, достатніх знань про важливість захисту даних у людей, які керують бізнесом і країною. Так, в Україні було відсутнє поняття «інформаційної безпеки», як такого. З останніми кібератаками могли впоратися тільки компанії з найвищим рівнем кібербезпеки, яких в Україні, на жаль, не так багато.

Аналізуючи наслідки, зараз вже можна більш зважено підійти до питання про висновки і що ще важливіше, про підходи до запобігання або максимального зниження ризиків подібних кібератак.

 

Поряд зі зростанням кіберзлочинності і обсягом збитків за результатами атак, відбувається вдосконалення і розробка нових «бізнес-моделей» кіберзлочинів. Крім того, постійно стираються кордони в кіберпросторі і дозволяють зловмисникам легше масштабувати свої атаки.

Наприклад, такий вид кібератак, як поширення вірусу-шифрувальника (Ransomware), до останнього часу вважався однією з найсерйозніших загроз кібербезпеки в світі, дозволяє зловмисникам вимагати величезні суми грошей з компаній, які були заражені цим вірусом. Суть Ransomwareсостоіт в тому, що це шкідливе програмне забезпечення (ПЗ), під час  проникнення до системи, шифрує дані і блокує їх, тим самим вимагачі отримують предмет торгу і суттєві аргументи на користь виплати їм необхідної суми. Більш того, стали з'являтися спеціальні RaaS-сервіси, які пропонують кріптоблокери для скачування з прихованого веб-сервера, доступні будь-якому бажаючому, для отримання доходу від вимагань в криптовалюта.

Ще одним популярним видом шахрайства в мережі є Phishing. Метою фішингу є доступ до конфіденційних даних користувачів. Зазвичай маскуючись під якусь відому організацію фішери розсилають листи від імені цих організацій з проханням уточнити або доповнити персональні дані клієнта, збираючи таким чином величезні масиви даних і використовуючи їх для отримання несанкціонованого доступу до критичних активів користувача.

Водночас, є елементарні процеси, які можуть запобігати масштабним кібератакам. Наводимо самий базовий рівень захисту, який повинен бути впроваджений на всіх підприємствах, а тим більше – в державних структурах.

  • Впровадження ефективного процесу управління оновленнями ПО для підтримки його актуальних версій на всіх вузлах інфраструктури організації. Необхідно упевнитися, що нове оновлення точно відправлено постачальником послуг, і проведено обов'язкове тестування в окремій середовищі на його коректну роботу.
  • Впровадження сегментації мережі – логічного поділу мережі на різні сегменти в залежності від ступеня важливості – користувачів, серверів тощо. У такому випадку при зараженні шкідливим ПО будь-якої робочої станції, загрозу можна локалізувати в межах одного сегмента, тим самим врятувати від зараження всю інфраструктуру компанії.
  • Створення, підтримка в актуальному стані і регулярне тестування плану реагування на інциденти кібербезпеки. Оперативна і злагоджена реакція співробітників організації на інцидент дозволить максимально швидко локалізувати область поразки і мінімізувати можливі збитки від інфікування вірусом.
    Так, у разі кібератаки Petya/Nyetya, вже в перші години поширення вірусу, експерти з інформаційної безпеки виявили, якими шляхами він поширюється, і які заходи безпеки слід максимально оперативно впровадити. Ми можемо припустити, що якби в перші години уповноважені особи офіційно заявили у відкритих джерелах про проблему та шляхи запобігання поширенню вірусу, то наслідки могли б бути набагато менш масштабними.
  • Впровадження процесу резервного копіювання критичних даних і регулярного тестування цих копій на можливість відновлення. Слід звернути увагу, що найбільш захищеним методом зберігання резервних копій є технологія запису даних на віддалений носій. Як виявилося, в Україні операцію резервного копіювання проводить лише мала частина компаній. А ті компанії, які все-таки резервують критичну інформацію, зберігають її на сервері, який знаходиться в загальній інфраструктурі і теж схильний потрапити під вірусну атаку.

Ми озвучили самі базові вимоги до захисту даних, що можна назвати самою першою сходинкою піраміди Маслоу, якщо говорити про кібербезпеку. Щоб убезпечити систему від таких потужних атак, як Petya/Nyetya, потрібні додаткові заходи безпеки: робочий процес моніторингу мережевих подій і впровадження обладнання з функцією IPS (системою запобігання вторгнень), які можуть виявити аномальну активність в мережі під час атаки.

Ці процеси вимагають проведення певних робіт і витрат ресурсів. Український бізнес і держава через нерозуміння всієї важливості заходів безпеки і неусвідомленість масштабу наслідків кібератак, в своїй більшості відкладають або зовсім відмовляються від таких витрат ресурсів.

Саме тому, прийняття закону – важливий етап для України, адже це запускає комплексний процес регулювання кібербезпеки, як окремої важливої галузі.

Наступним етапом має стати перелік об'єктів критичної інфраструктури від Кабміну (об'єкти, що мають життєво-важливе значення для функціонування держави).

Аналогічний підхід був закріплений і в ЄС. Для систематизації та встановлення мінімальних вимог для всіх країн-членів ЄС була прийнята директива про загальні заходи безпеки мережевих та інформаційних систем в ЄС 2016/1148. Директива зобов'язує держави-члени визначити об'єкти критичної інфраструктури в різних сферах.

Дотримуючись досвіду західних країн, для таких об'єктів слід впровадити обов'язкові стандарти з кібербезпеки. При цьому навіть немає необхідності в розробці нових стандартів. Можна впроваджувати стандарти ISO (міжнародної організації стандартизації), а також національні стандарти Німеччини, США, Британії, які мають високий технічний рівень.

Ми вважаємо, що впровадження стандартів кібербезпеки повинен мати секторальний характер. Це дозволить враховувати специфіку бізнесу, не втрачаючи комплексного підходу в регулюванні цього питання. Наприклад, для компаній в галузі енергетики встановлюються зовсім інші стандарти, ніж для транспортних.

На сьогоднішній день в деяких сферах регулятор ініціює впровадження обов'язкових стандартів. Зокрема, НБУ ввів обов'язкові стандарти кібербезпеки для банків.

Зрозуміло, в епоху інформаційного суспільства складно повністю уникнути загроз в кіберпросторі. Цифрова епоха привнесла в економіку не тільки позитивні трансформації. Частиною «ціни», яку доводиться платити за інновації в цифровій сфері, є ризики кіберзлочинів, які набувають все більших масштабів. Однак, ми сподіваємося, що усвідомлення проблеми державою і бізнесом, створення сучасного правового поля, а також дотримання заходів кібербезпеки значно підвищить рівень стійкості від атак.

Безумовно, неможливо захиститися від усього, але ряд превентивних заходів, які вже зараз в силах здійснювати фахівці у кіберсфері, і власники бізнесу можуть запобігти неприємним наслідкам і зберегти гроші.

Запобігання кібератак – частина комплексних трансформаційних процесів, які почалися в українському бізнесі. Як і в будь-якій галузі, комплексний підхід до вирішення завдань щодо захисту від ризиків і загроз у всіх суміжних сферах, дозволяє запобігти серйозні наслідки і великі втрати для всього бізнесу в цілому. У цьому сенсі, закон і пропонує такий комплексний підхід. Трансформації – це не вибіркові заходи, трансформації – це комплекс, що запускає взаємодоповнюючі механізми.

Підводячи підсумки, ми вважаємо, що набрання чинності закону запустить комплексні інфраструктурні зміни не тільки в плані визначення понятійного апарату, і основних підходів до кібербезпеки, а й оформить саму структуру органів і відомств, залучених до держполітики кібербезпеки країни. Держава і бізнес стануть носіями і активними лобістами культури кібербезпеки в загальних інтересах економічного розвитку.