Безопасность в сети: как Украина будет регулировать киберпространство
После масштабных кибератак, которые были совершены на многие украинские компании и государственные учреждения, в Украине всерьез задумались о регулировании сферы киберзащиты.
Так, в октябре 2017 Верховная Рада приняла соответствующий закон «Об основных принципах обеспечения кибербезопасности Украины», который вступил в силу 9 мая. Документом определяются основы обеспечения защиты национальных интересов Украины в киберпространстве, основные цели, направления и принципы государственной политики в сфере кибербезопасности, а также полномочия государственных органов в этой сфере, основные принципы координации их деятельности по обеспечению кибербезопасности.
Издание Mind.ua подытожило, что именно принятие этого нормативно-правового акта означает для Украины, и каким образом теперь будет обеспечиваться безопасность данных украинских пользователей в сети.
Так, вышеупомянутый Закон расширил и дополнил положения Стратегии кибербезопасности Украины, утвержденной Указом Президента в 2016 году. Целью Стратегии было создание условий для безопасного функционирования киберпространства, его использование в интересах личности, общества и государства. При этом, основной массив положений Стратегии касается сферы национальной обороны и не затрагивает бизнес. Стратегия стала подтверждением принятого Украиной курса на евроинтеграцию, началом которого было подписание и ратификация Украиной Конвенции о кибербезопасности. Государства-члены Совета Европы и некоторые другие государства, подписавшие Конвенцию, обязались принимать общие и индивидуальные для каждой страны меры по предотвращению преступлений в цифровой сфере.
Основным достижением Закона «Об основных принципах обеспечения кибербезопасности Украины» является имплементация в правовое поле определений, касающихся кибербезопасности, кибератак и киберзащиты, и большего, на сегодняшний день от него ожидать не стоит.
С другой стороны, было бы не совсем правильно рассматривать этот закон с точки зрения сравнения его с существующим регулированием в отраслях с 20-25-летней историей развития нормативной базы. Закон о кибербезопасности — это первые и очень важные шаги государства в сфере регулирования киберпространства. Кроме того, в Законе есть и положения, которые концептуально затрагивают не только компании государственного сектора, но и частный бизнес. Вводится понятие «критическая информационная структура», объекты которой будут обязаны проходить обязательный аудит кибербезопасности и отвечать инфраструктурным требованиям Кабмина.
Трезво оценивая ситуацию, мы понимаем, что принятию Закона, в большей степени, помогло не мировое сообщество, а история, которая произошла в 2017 году и приобрела огромный мировой резонанс. Отчасти, она заставила украинские компании обратить серьезное внимание на безопасность цифровой инфраструктуры и подумать о принятии мер по ее защите.
Летом прошлого года по Украине волной пронеслась кибератака известного Petya / Nyetya, которая нанесла значительный ущерб государственному сектору и бизнесу, фактически заморозив бизнес-процессы в стране на несколько дней. С уверенностью можно констатировать, что от вируса пострадало более половины украинских компаний и речь идет не только о небольших сбоях в работе сетей, а о потере больших объемов данных и финансовой отчетности за несколько отчетных периодов. Сроки восстановления компаний варьировались от нескольких дней до месяца, а в отдельных случаях и дольше.
Кто виноват в сложившейся ситуации? Мнение экспертов — все. В нашей стране на тот момент не было ни необходимого законодательного регулирования кибербезопасности, ни, что самое важное, достаточных знаний о важности защиты данных в людей, которые управляют бизнесом и государством. Так, в Украине отсутствует понятие «информационной безопасности», как таковое. С последними кибератаками могли справиться только компании с высоким уровнем кибербезопасности, которых в Украине, к сожалению, не так много.
Анализируя последствия, сейчас уже можно более взвешенно подойти к вопросу о выводах и что еще важнее, о подходах к предотвращению или максимальному снижению рисков подобных кибератак.
Есть элементарные процессы, которые могут предотвращать масштабные кибератаки. Приводим наиболее базовый уровень защиты, который должен быть внедрен на всех предприятиях, а тем более — в государственных структурах:
- Внедрение эффективного процесса управления обновлениями в программном обеспечении для поддержки актуальных версий программного обеспечения (ПО) на всех узлах инфраструктуры организации. Необходимо удостовериться, что новое обновление точно отправлено поставщиком услуг, и проведено обязательное тестирование в отдельной среде на его корректную работу.
- Внедрение сегментации сети – логического деления сети на различные сегменты в зависимости от степени важности – пользователей, серверов и т.д. В таком случае при заражении вредоносным ПО любой рабочей станции, угрозу можно локализовать в пределах одного сегмента, тем самым спасти от заражения всю инфраструктуру компании.
- Создание, поддержание в актуальном состоянии и регулярное тестирование плана реагирования на инциденты кибербезопасности. Оперативная и слаженная реакция сотрудников организации на инцидент позволит максимально быстро локализировать область поражения и минимизировать возможный ущерб от инфицирования вирусом.
Эти процессы требуют проведения определенных работ и затраты ресурсов. Украинский бизнес и государство из-за непонимания всей важности мер безопасности и неосознанность масштаба последствий кибератак, в своем большинстве откладывают или вовсе отказываются от такого вида расходов.
Именно поэтому, принятие Закона — важный этап для Украины, ведь это запускает комплексный процесс регулирования кибербезопасности, как отдельной важной отрасли.
Следующим этапом должен стать перечень объектов критической инфраструктуры от Кабмина (объекты, имеющие жизненно важное значение для функционирования государства).
Следуя опыту западных стран, для таких объектов нужно ввести обязательные стандарты по кибербезопасности. При этом даже нет необходимости в разработке новых стандартов. Можно внедрять стандарты ISO (международной организации стандартизации), а также национальные стандарты Германии, США, Великобритании, которые имеют высокий технический уровень.
Безусловно, невозможно защититься от всего, но ряд превентивных мер, которые уже сейчас способны осуществлять специалисты в киберсфере, и владельцы бизнеса могут предотвратить неприятные последствия и сохранить деньги.
Предотвращение кибератак – часть комплексных трансформационных процессов, которые начались в украинском бизнесе. Как и в любой отрасли, комплексный подход к решению задач по защите от рисков и угроз во всех смежных сферах, позволяет предотвратить серьезные последствия и большие потери для всего бизнеса в целом. В этом смысле, закон и предлагает такой комплексный подход. Трансформации – это не точечно, трансформации – это комплекс, запускающий взаимодополняющие механизмы.