logo-image
Кіберактивність
Автор: Юрій Котляров
Джерело: Юридична Практика, №11, 13 березня 2018 р.
Завантажити

«Ответственность за обеспечение киберзащиты несут собственники и/или руководители объектов критической инфраструктуры», — подчеркивает партнер ЮФ Asters Юрий Котляров

Киберугрозам в современном мире подвержены все большее количество субъектов — от частных лиц, до крупных компаний, отдельных отраслей экономики и государств в целом. Вспомним, распространение вируса Petya в прошлом году — по мнению аналитиков, масштаб последствий этой атаки в Украине до сих пор точно не оценен. Не удивительно, что вопросы кибербезопасности приобретают все большее значение, становясь неотъемлемой частью национальной безопасности, а меры противодействия киберугрозам разрабатываются и внедряются на государственном уровне. В нашей стране для этих целей был принят Закон Украины «Об основах обеспечения кибербезопасности Украины». Он вступает в силу 9 мая с.г. Об украинских реалиях и тенденциях в киберзащите, возможностях и обязанностях бизнеса, прежде всего отнесенного к критической инфраструктуре, мы говорили с Юрием Котляровым, партнером ЮФ Asters.

— Вопросы защиты информации в большей мере лежат в плоскости юридической или технической?

— Кибербезащита осуществляется комплексно. Это — совокупность и инженерно-технических мероприятий и организационно-правовых. Перегиб в любую из этих сторон приведет к неполноте и, как следствие, неэффективности киберзащиты.

В принципе, большинство современных технических средств обеспечивают довольно хорошую защиту от «лобовых» атак извне. Тем не менее, осуществление больших затрат в такие средства не принесет существенной пользы, если не будут проведены соответствующие организационно-правовые мероприятия. С ростом уровня технической защиты, для атак все чаще используются нетехнические средства, например, методы «социального инжиниринга». Потенциальные источники серьезных атак все больше сдвигаются внутрь периметра. Работники компании могут представлять гораздо большую угрозу, нежели какой-нибудь хакер. Поэтому, очень часто главной уязвимостью в системе защиты являются не техника, а люди.

Примечательно, что первым хакером в истории СССР и показательной историей о «внутренних» киберугрозах, оказался простой программист, который по целевому распределению попал на АвтоВаз. Как посчитал молодой программист, его таланты не оценили, и в далеком 1983 году он решил доказать свою ценность. Схема работы была следующей - программист, в силу своих амбиций, вносил изменения в ПО, но не оставлял никаких данных или отметок о внесенных изменениях. Он смекнул, что можно без труда внести сбой в систему, и никто его не обнаружит. В результате конвейер ВАЗа остановился на три дня. На протяжении долгих выяснений никто не мог выяснить причины такого сбоя, что явилось катастрофой для предприятия. В ходе проверки и благодаря этому инциденту все же выяснилось, что первый хакер СССР был первым пойманным, но отнюдь не первым, кто обнаружил дыру в системе. В том же Управлении, в котором работал программист, «элита» регулярно создавала сбои на конвейере и оперативно их ликвидировала, выбивая у начальства за спасение конвейера в качестве награды дополнительные для себя блага.

Распространение вируса Petya в 2017 году, помимо недостаточной технической защиты, во многом стало возможным благодаря человеческому фактору и отсутствию четких и понятных внутренних механизмов противодействия. Масштаб последствий этой атаки в Украине до сих пор точно не оценен. По данным Нацполиции, только официальных заявлений от юридических и физических лиц о блокировании работы компьютеров и информационных систем, получено более 1500. По заявлениям Дмитрия Шимкива, заместителя главы администрации Президента Украины, в результате кибератаки заблокировано около 10% персональных компьютеров в Украине (личных, в государственных и не государственных учреждениях и предприятиях). Поэтому, риски относятся не только к сфере национальной безопасности, но и касаются жизненно важных интересов человека.

Как мотивировать людей совершать или не совершать определенные действия, какую ответственность они должны нести за такие действия или бездействия, как собрать и оформить соответствующие доказательства, в том числе, из киберпространства, какие действия и в каком порядке следует предпринимать для минимизации ущерба как внутри компании, так и в отношениях с третьими лицами, это, конечно, плоскость правовая.

— На какие регуляторные требования в сфере кибербезопасности бизнесу следует обратить особое внимание?

— Украина находится только в начале своего регуляторного пути в сфере кибербезопасности. Поэтому, на данном этапе, можно говорить скорее о тенденциях. Но уже сейчас бизнесу следует понимать последствия применения, прежде всего, Закона «Об основах обеспечения кибербезопасности Украины». Он вступает в силу 9 мая этого года.

Данным законом систематизируется терминология, определяются объекты и субъекты кибербезопасности, система национальной кибербезопасности и многое другое.

Одним из ключевых объектов кибербезопасности названы объекты критической инфраструктуры — законом на них возложены определенные обязанности. Так, они обязаны будут обеспечить киберзащиту своих критических коммуникационных и технологических систем, проводить независимый аудит информационной безопасности, уведомлять о киберинцидентах CERT-UA.

Непосредственно в законе устанавливается принцип, в соответствии с которым ответственность за обеспечение киберзащиты, за организацию проведения независимого аудита информационной безопасности на таких объектах, несут собственники и/или руководители предприятий, учреждений и организаций, отнесенных к объектам критической инфраструктуры. В каком виде будет такая ответственность – это предмет отдельной дискуссии.

Законом также вводится достаточно широкий спектр государственно-частного взаимодействия в сфере кибербезопасности — от повышения цифровой грамотности до внедрения механизмов взаимодействия с физическими лицами и волонтерскими организациями с целью исполнения мероприятий по киберобороне в киберпространстве.

— Имплементация, пожалуй, каждого закона предполагает принятие ряда подзаконных актов. Сформирована ли такая подзаконная база в сфере кибербезопасности?

— В настоящее время, ряд подзаконных нормативно-правовых актов, которые наполнят содержанием обязанности объектов критической инфраструктуры, все еще находятся в стадии разработки находятся. В частности, должны быть разработаны как критерии отнесения предприятий к объектам критической инфраструктуры, так и требования к их киберзащите, индикаторы киберугроз, требования к аудиту информационной безопасности.

Я уверен, что именно эти подзаконные акты уже ближайшее время будут являться предметом серьезного обсуждения между государством и бизнесом.

— Какие именно объекты отнесены законом к критической инфраструктуре?

Законом предусмотрены высокоуровневые критерии для объектов критической инфраструктуры. Это связь деятельности таких объектов с технологическими процессами, предоставлением услуг, которые имеют большое значение для экономики, функционирования и безопасности общества, нарушение функционирования которых может негативно повлиять на национальную безопасность, жизнь и здоровье людей, окружающую среду, произвести существенный имущественный вред.

В частности, законом предусмотрено, что к объектам критической инфраструктуры (независимо от их формы собственности) могут быть отнесены предприятия, учреждения и организации, которые осуществляют деятельность в сфере энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторах.

Как я уже упоминал, Кабинет Министров Украины должен утвердить более детальные критерии отнесения к объектам критической инфраструктуры, перечень таких объектов, а также общие требования к их киберзащите и требования к проведению независимого аудита их информационной безопасности.

— Насколько украинские подходы соответствуют международной практике?

В общем, Украина не изобретала велосипед при подготовке закона о кибербезопасности. Подход, используемый к определению объектов критической инфраструктуры, а также к установлению обязательств по отношению к таким объектам, соответствует подходам, применяемым и в ЕС и США.

В частности, схожие критерии обозначены в Директиве 2008/114/ЕС от 08.12.2008 (установление и определение Европейских объектов критической инфраструктуры) и в Директиве 2016/1148 от 06.06.2016 (относительно мероприятий по установлению общей высокоуровневой безопасности сетей и информационных систем в ЕС).

— Какие вопросы наиболее часто адресуют юристам в сфере кибербезопасности в Украине?

— Сфера информационной и, как ее составной части — кибербезопасности, очень обширная сама по себе. Если ранее более частыми были вопросы применения законодательства в сфере защиты персональных данных, форс-мажора по результатам киберинцидентов или же, к примеру, уголовной ответственности за вмешательство в работу компьютеров, информационных систем или телекоммуникационных сетей, то сегодня все чаще возникают более тонкие моменты для правового анализа и их более широкий спектр. Например, аспекты применения облачных технологий, использование информационных ресурсов, правовая оценка причиненного ущерба, и много других вопросов.