Безпека в мережі: як Україна регулюватиме кіберпростір

Після масштабних кібератак, які були здійснені на багато українських компаній і державні інституції, в Україні всерйоз задумалися про регулювання сфери кіберзахисту.

Так, в жовтні 2017 року Верховна Рада прийняла відповідний Закон «Про основні засади забезпечення кібербезпеки України», який набув чинності 9 травня. Документом визначаються основи забезпечення захисту національних інтересів України в кіберпросторі, основні цілі, напрямки та принципи державної політики в сфері кібербезпеки, а також повноваження державних органів у цій сфері, основні принципи координації їх діяльності щодо забезпечення кібербезпеки.

Видання Mind.ua підсумувало, що саме прийняття цього нормативно-правового акта означає для України, та яким чином тепер буде забезпечуватись безпека даних українських користувачів у мережі.

Так, вищезгаданий Закон розширив і доповнив положення Стратегії кібербезпеки України, затвердженої Указом Президента в 2016 році. Метою Стратегії було створення умов для безпечного функціонування кіберпростору, його використання в інтересах особистості, суспільства і держави. При цьому, основний масив положень Стратегії стосується сфери національної оборони і не зачіпає бізнес. Стратегія стала підтвердженням прийнятого Україною курсу на євроінтеграцію, початком якого було підписання і ратифікація Україною Конвенції про кібербезпеку. Держави-члени Ради Європи та деякі інші держави, які підписали Конвенцію, взяли на себе зобов’язання приймати загальні та індивідуальні для кожної країни заходи для запобігання злочинів у цифровій сфері.

Основним досягненням Закону «Про основні засади забезпечення кібербезпеки України» є імплементація в правове поле визначень, що стосуються кібербезпеки, кібератак і кіберзахисту, і більшого, на сьогоднішній день від нього очікувати не варто.

З іншого боку, було б не зовсім правильно розглядати цей Закон з точки зору порівняння його з існуючим регулюванням в галузях з 20-25-річною історією розвитку нормативної бази. Закон про кібербезпеку — це перші і дуже важливі кроки держави в сфері регулювання кіберпростору. Крім того, в Законі є і положення, які концептуально зачіпають не тільки компанії державного сектора, але і приватний бізнес. Вводиться поняття «критична інформаційна структура», об’єкти якої будуть зобов’язані проходити обов’язковий аудит кібербезпеки і відповідати інфраструктурним вимогам Кабміну.

Тверезо оцінюючи ситуацію, ми розуміємо, що прийняттю Закону, в більшій мірі, посприяла не світова спільнота, а історія, яка сталася в 2017 році і набула величезного світового резонансу. Почасти, вона змусила українські компанії звернути серйозну увагу на безпеку цифрової інфраструктури і подумати про вжиття заходів щодо її захисту.

Влітку минулого року по Україні хвилею пронеслася кібератака відомого Petya / Nyetya, яка завдала значних збитків державному сектору і бізнесу, фактично заморозивши бізнес-процеси в країні на кілька днів. З упевненістю можна констатувати, що від вірусу постраждало більше половини українських компаній і мова йде не тільки про невеликі збої в роботі мереж, а про втрату великих обсягів даних і фінансової звітності за кілька звітних періодів. Терміни відновлення компаній варіювалися від декількох днів до місяця, а в окремих випадках і довше.

Хто винен в ситуації, яка склалася? Думка експертів — всі. У нашій країні на той момент не було ні необхідного законодавчого регулювання кібербезпеки, ні, що найважливіше, достатніх знань про важливість захисту даних у людей, які керують бізнесом і країною. Так, в Україні відсутнє поняття «інформаційної безпеки», як таке. З останніми кібератаками могли впоратися тільки компанії з найвищим рівнем кібербезпеки, яких в Україні, на жаль, не так багато.

Аналізуючи наслідки, зараз вже можна більш зважено підійти до питання про висновки і що ще важливіше, про підходи до запобігання або максимального зниження ризиків подібних кібератак.

Є елементарні процеси, які можуть запобігати масштабним кібератакам. Наводимо найбільш базовий рівень захисту, який повинен бути впроваджений на всіх підприємствах, а тим більше — в державних структурах:

• Впровадження ефективного процесу управління оновленнями в програмному забезпеченні для підтримки актуальних версій програмного забезпечення (ПЗ) на всіх вузлах інфраструктури організації. Необхідно упевнитися, що нове оновлення точно відправлено постачальником послуг, і проведено обов’язкове тестування в окремому середовищі на його коректну роботу.
• Впровадження сегментації мережі — логічного поділу мережі на різні сегменти в залежності від ступеня важливості — користувачів, серверів і т.д. У такому випадку при зараженні шкідливим ПЗ будь-якої робочої станції, загрозу можна локалізувати в межах одного сегмента, тим самим врятувати від зараження всю інфраструктуру компанії.
• Створення, підтримка в актуальному стані і регулярне тестування плану реагування на інциденти кібербезпеки. Оперативна і злагоджена реакція співробітників організації на інцидент дозволить максимально швидко локалізувати область поразки і мінімізувати можливі збитки від інфікування вірусом.

Ці процеси вимагають проведення певних робіт і витрати ресурсів. Український бізнес і держава через нерозуміння всієї важливості заходів безпеки і неусвідомленість масштабу наслідків кібератак, в своїй більшості відкладають або зовсім відмовляються від такого виду витрат.

Саме тому, прийняття Закону — важливий етап для України, адже це запускає комплексний процес регулювання кібербезпеки, як окремої важливої ​​галузі.

Наступним етапом має стати перелік об’єктів критичної інфраструктури від Кабміну (об’єкти, що мають життєво-важливе значення для функціонування держави).

Дотримуючись досвіду західних країн, для таких об’єктів слід впровадити обов’язкові стандарти з кібербезпеки. При цьому навіть немає необхідності в розробці нових стандартів. Можна впроваджувати стандарти ISO (міжнародної організації стандартизації), а також національні стандарти Німеччини, США, Британії, які мають високий технічний рівень.

Безумовно, неможливо захиститися від усього, але ряд превентивних заходів, які вже зараз в силах здійснювати фахівці в кіберсфері, і власники бізнесу можуть запобігти неприємним наслідкам і зберегти гроші.

Запобігання кібератак — частина комплексних трансформаційних процесів, які почалися в українському бізнесі. Як і в будь-якій галузі, комплексний підхід до вирішення завдань щодо захисту від ризиків і загроз у всіх суміжних сферах, дозволяє запобігти серйозні наслідки і великі втрати для всього бізнесу в цілому. У цьому сенсі, Закон і пропонує такий комплексний підхід. Трансформації — це не точково, трансформації — це комплекс, що запускає взаємодоповнюючі механізми.