logo-image
Кіберзахист: забезпечити не можна ігнорувати
Автор: Юрій Котляров
Джерело: Український Юрист, серпень 2018 р.
Завантажити

Тема кібербезпеки в Україні стала дуже трендовою останнім часом. Але те, як часто згадується термін "кібербезпека", на жаль, не робить настільки ж швидким розвиток правового середовища в цій сфері. Ні український державний сектор, ні бізнес наразі не можуть в повній мірі похвалитися ефективною системою виявлення та запобігання кіберзагроз.

В Україні існують деякі перекоси у забезпеченні кіберзахисту. Якщо проаналізувати дані про проведені державні закупівлі для держсектору за останні кілька років, то можна знайти сотні мільйонів витрачених коштів на побудову ІТ інфраструктури, включаючи системи кібербезпеки.

Але часто під "кібербезпекою" малася на увазі лише закупівля "заліза". Як наслідок, 2017 рік показав, що навіть від досить простого вірусу "Petya.A" "залізо" не допомогло, і доволі примітивна атака призвела до втрати даних та призупинення роботи значної частини підприємств, в тому числі об'єктів критичної інфраструктури.

Іншою проблемою є відсутність системи обміну інформацією. Наразі в Україні відкрито Центр кіберзахисту, що виконує функції CERT при Адміністрації Держспецзв'язку та Ситуаційний центр забезпечення кібербезпеки при СБУ. Обидва центри здійснюють міжнародну взаємодію. Але в обох на сьогодні немає достатніх правових механізмів для побудови взаємодії з приватним сектором. У бізнесу ж історично склалася недовіра до державних структур щодо добровільного обміну інформацією.

У той час, коли в США і ЄС ефективність кіберзахисту досягається через впровадження державно-приватного партнерства (ДПП), у нас поки цей інструмент не працює. Чинний Закон "Про ДПП" на практиці важко застосувати у цій сфері. Держава часто розглядає приватний сектор з позиції "ви зобов'язані", а єдиною формою взаємодії поки є тільки спільні робочі групи і форуми. Через це бізнес не має достатньої мотивації і не поспішає до "партнерства" з державою.

Це далеко не всі проблеми, а прийняття системи нормативних актів у сфері кібербезпеки, автоматично не поставлять нашу країну в розряд надійно кіберзахищених. По-перше, потрібно витратити немало зусиль, щоб вже підготовлені проекти узгоджувалися між собою, були спрямовані на досягнення цілей з ефективності і враховували напрацьовану загальновизнану міжнародну практику.

По-друге, навіть якщо ми досягнемо успіхів у прийнятті адекватних нормативних актів, попереду чекає величезна робота з імплементації. Як мінімум 378 суб'єктів великого бізнесу і не менше 6860 суб'єктів середнього бізнесу (за даними Мінекономрозвитку) повинні будуть впровадити систему стандартів з безпеки і перебудувати свої внутрішні бізнес-процеси.

Усвідомлюючи критичну важливість кібербезпеки для наших клієнтів, ми створили перший на українському ринку інтегрований центр з надання послуг в сфері інформаційної безпеки та кіберзахисту – СyberDesk. Відмінність нашого центру від численних пропозицій на ринку в тому, що ми не торгуємо "залізом" чи програмними продуктами, або лише  юридичним консультуванням. Для надання послуг ми поєднали експертизу  найкращих ІТ-фахівців з кібербезпеки та провідних юридичних експертів Астерс. Фокусом є комплекс консалтингу для забезпечення інформаційної безпеки бізнесу, виявлення та оцінка загроз, реагування на кіберінциденти, аудит інформаційної безпеки, забезпечення комплаєнсу з вимогами законодавства, а також проведення розслідувань кіберінцидентів.

Унікальним доповненням центру є власна R&D лабораторія, в якій розробляються рішення та продукти для забезпечення кібербезпеки ІоТ із застосуванням різних технологій, включаючи блокчейн-проекти, здійснюються дослідження поведінкової біометрії, моделюються кібер-атаки та інструменти для оцінки кібер-ризиків.

В жовтні 2018 року по всьому світу планується проведення заходів, присвячених кібербезпеці. З метою просування найкращих практик з кібербезпеки в Україні та знаходження спільних ефективних рішень існуючих проблем вже 2 жовтня 2018 року за підтримки  "Юридичної практики" Астерс та CyberDesk планують провести першу в Україні  Cybersecurity Legal Conference, в якій вже підтвердили свою участь як представники державного сектору, так і найбільших компаній.  Ми сподіваємося, що ця конференція стане ще одним із поштовхів для розвитку сфери кібербезпеки в Україні.

Попереду – дуже важкий шлях,  як для держави, так для бізнесу, якому потрібно буде докласти чимало зусиль та ресурсів для імплементації найкращих практик та відповідної культури з інформаційної безпеки. Але все пізнається в порівнянні. У даному випадку - з можливими втратами та наслідками від кіберінцидентів.