Пять советов. Как защитить бизнес от киберугроз

Александр Мельник, член Ассоциации юристов Украины, старший юрист Vasil Kisil Partners, НВ-Бизнес.

Может показаться, что кибербезопасностью серьезно занимаются только в Пентагоне. На самом деле, связанные с ней проблемы известны Украине не только из книг.

Летом 2017 года Украина была атакована вирусами семейства Petya с росийскими корнями, косвенные убытки для экономики от которых оцениваются в 10 млрд грн. Пострадали как крупные компании, вроде Укрзализныци, так и маленькие бизнесы, чья деятельность была приостановлена. Несколько недель назад жертвой атаки с похищением данных стала одна из крупнейших украинских сервисных ИТ-компаний — SoftServe.

Недавно американское правительство заявило о намерениях выделить Украине $38 млн. На проект по кибербезопасности, бенефициаром которого должно стать Министерство цифровой трансформации. Ожидается, что финансирование позволит государству усилить свою защищенность в киберпространстве. Итак, проблема кибербезопасности существует, а киберугрозы могут задеть любого — от граждан и маленьких бизнесов до корпораций и целых государств.

Прежде всего кибербезопасностью должны заниматься технические специалисты в сфере защиты информации. Советы юриста могут только помочь правильно организовать процессы и разобраться в массиве нормативно-правовых актов по вопросам кибербезопасности и киберзащиты, само существование которых для многих является сюрпризом.

С чего начать бизнесу, чтобы быть защищенным? Перечислим практические шаги, которые будут одинаково полезны как крупной корпорации, владеющей объектами критической инфраструктуры (электростанции, транспорт, связь), так и небольшому интернет-магазину.

1. Провести аудит и оценить риски

Начинать наводить порядок следует с оценки состояния, в котором находится организация. Для этого нужно оценить ее активы и их уязвимость с точки зрения рисков кибербезопасности (например, потенциальные убытки от кражи финансовой информации, персональных данных работников, блокирование работы почтового сервера, веб-портала и т. д.).

Для проведения аудита следует привлечь специалистов в сфере защиты информации, которые укажут на уязвимости после изучения коммуникационных и технологических систем организации. Отчет об обнаруженных уязвимостях определит этапы, которые нужно пройти бизнесу, чтобы стать защищенным.

2. Соблюдать стандарты кибербезопасности

Закон обязывает упомянутые выше объекты критической инфраструктуры соответствовать ряду требований по защите от киберугроз. Для некритических, с точки зрения национальной безопасности, бизнесов обязательных законодательных требований или стандартов нет. Однако им тоже рекомендуется принять внутреннюю политику (пусть небольшую по объему), которой определить ключевые права и обязанности сотрудников и лиц, ответственных за кибербезопасность.

Такая политика должна включать как повседневные обязанности соотрудников (регулярно менять пароли, не оставлять компьютер в разблокированном состоянии, не использовать внешние носители, не посещать подозрительные сайты и т. д.), так и планы реагирования организации на киберинциденты с распределением обязанностей ответственных за киберзащиту и менеджмент компании.

3. Назначить ответственного

Далеко не у каждой организации есть потребность создавать подразделение по кибербезопасности. Но даже на уровне небольшого бизнеса будет полезно определить лицо, которое по должности отвечает за кибербезопасность. В небольших организациях такие функции, как правило, выполняет системный администратор. Достаточно определить функции и задачи такого лица в политике по кибербезопасности. Если работу по кибербезопасности лицо сочетает со своей основной работой (как в случае с системным администратором), можно предусмотреть небольшую доплату за выполнение дополнительных функций.

4. Правильно реагировать на инциденты

Киберинцидент — это не всегда нацеленная атака, поскольку он может иметь как преднамеренный, так и непреднамеренный характер, вызывается как действиями людей, так и независимыми от них событиями. Основная задача при обнаружении киберинцидента — правильно его идентифицировать, оценить, с чем мы имеем дело, и нейтрализовать угрозу. Опять же, в больших организациях создаются целые команды по реагированию на киберинциденты. Для небольшого бизнеса достаточно определить ответственному лицу четкие шаги, которые, в зависимости от обстоятельств, оно может осуществить самостоятельно или с привлечением сторонней поддержки.

По закону, даже частные компании вправе рассчитывать на оперативную поддержку правительственной команды реагирования на киберинциденты (CERT-UA). Тогда как киберполиция или другие правоохранительные органы могут провести расследование лишь постфактум, такие организации, как CERT-UA, Ситуационный центр обеспечения кибербезопасности при СБУ (MISP-UA) или Национальный координационный центр кибербезопасности (НКЦК) при СНБО помогают нейтрализовать угрозу в ее активной фазе. Кроме того, держатели государственных информационных ресурсов обязаны информировать о любых инцидентах Государственную службу специальной связи и защиты информации (ГСССЗИ).

5. Подумать о страховании киберрисков

Также компаниям следует рассмотреть возможность страхования киберрисков. Это может сэкономить ресурсы на безопасность и поможет покрыть убытки в случае потери данных или блокировке работы компании. Уже достаточно много страховых компаний предлагают в Украине эту услугу.

Например, упомянутый вирус NotPetya нанес компании Mondelez и ее офисам по всему миру ущерб на $100 млн. Киберриски компании были застрахованы в Zurich Insurance, которая должна была покрыть причиненный ущерб. Однако страховщик отказался осуществить выплату, поскольку по договору его ответственность исключалась, если кибератака была связана с враждебными действиями иностранного государства (фактически, актом войны). Это позволило компании квалифицировать действия России (откуда, вероятно, и осуществлялась атака) как акт войны против Украины, чтобы избежать выплаты. Окончательное решение по этому спору даст суд в штате Иллинойс, куда обратилась Mondelez.

Легкомысленное отношение к киберугрозе может стоить бизнесу слишком дорого, особенно, если он завязан на информации и использовании коммуникационных и технологических систем (а таких бизнесов сегодня — большинство). Наши простые шаги являются лишь началом большого пути работы над безопасностью компании. Однако пройдя даже эти шаги, можете быть уверены, что ваша организация станет более защищенной, чем большинство аналогичных компаний в Украине.