logo-image
"Створення СyberDesk – частина стратегії Астерс щодо всебічного захисту наших клієнтів"
Автор: Юрій Котляров, Олександр Макаревич, Ігор Коцюба, Юлія Семеній
Джерело: Юридична Газета, 23 жовтня 2018 р.
Завантажити

У травні 2018 р. Астерс створила перший в Україні інтегрований центр СyberDesk з надання послуг у сфері інформаційної безпеки та кіберзахисту. В ексклюзивному інтерв'ю «Юридичній Газеті» партнери центру СyberDesk Юрій Котляров, Ігор Коцюба, Олександр Макаревич та Юлія Семеній розповіли про причини створення проекту та подальші плани його розвитку

 

– Звідки з’явилася ідея створення такого центру?

– Ю. Котляров: Ідея розвитку експертизи з кібербезпеки у фірми народилася набагато раніше. Час від часу юристи Астерс здійснювали глибокий аналіз правових аспектів в окремих проектах, пов’язаних з кібербезпекою. Потім виникла потреба у залучені зовнішніх експертів з неюридичною експертизою в цій сфері. Також до роботи з проектами з кібербезпеки долучилась сильна внутрішня команда експертів за напрямком інформаційної безпеки.

Працюючи в об'єднаній команді в деяких проектах, ми майже без сумнівів вирішили реалізувати ідею щодо створення центру CyberDesk, який поєднує досвід експертів з різних індустрій, фахівців з інформаційної безпеки та юридичний потенціал Астерс.

Крім того, співпрацюючи з бізнесом, міжнародними та транснаціональними компаніями, ми дуже чітко усвідомлюємо, наскільки серйозними можуть бути ризики кібер-інцидентів. Рішення про створення центру було продовженням стратегії фірми щодо всебічного захисту наших клієнтів (у тому числі в кіберпросторі).

– І. Коцюба: Кіберпростір став домінувати як поле битви у війнах, конкурентній боротьбі, він використовується для крадіжок та протиправних дій, а найголовніше – все інтенсивніше застосовується в операційній діяльності підприємств. Сьогодні кібербезпекою переймаються не лише представники великих підприємств, але й малий та середній бізнес. Найбільш значущим для нас є те, що в такому осередку компетенцій має потребу держава, уряд, бізнес і правоохоронні органи. В Україні існує недовіра між цими стейкхолдерами, але обмін інформацією та синергія компетенцій щодо кіберінцидентів є життєво необхідними.

– О. Макаревич: Хотів би додати, що ідея створення центру з'явилася також за результатами аналізу попиту на послуги з кібербезпеки у наших клієнтів, серед яких переважає великий бізнес. Окрім того, велике значення відіграло впровадження нового законодавства з кібербезпеки та вимог з кібербезпеки для об'єктів критичної інфраструктури.

– Наскільки такі послуги є затребуваними в Україні?

– Ю. Котляров: Інтерес до питань кібербезпеки є достатньо жвавим. Майже завжди, коли починаєш говорити з представником будь-якої сфери бізнесу або державного сектору, це викликає не просто вогонь в очах. Сьогодні активно формується як ринок послуг (а точніше, окремі сегменти цієї сфери), так і запити на такі послуги.

Також існують історичні проблеми сприйняття забезпечення кіберзахисту. Наприклад, превалюють ідеї, що встановлення «заліза» може вирішити всі проблеми, тому PetyaA вже не буде загрожувати організації. Згідно з цією ідеєю в масштабі держави витрачаються мільярди гривень. Відповідно, ринок послуг та робіт з побудови інфраструктури дуже розвинений. Однак ситуація з підходами наразі змінюється.

– О. Макаревич: Послуги з кібербезпеки в усьому світі мають дуже високий попит, який постійно підвищується. В нашій країні культура безпеки та культура кібербезпеки тільки розвивається. Тому існують певні «перекоси» у пріоритетах. Наприклад, всім відомо про необхідність застосування апаратних та програмних засобів мережевої безпеки, але мало хто наголошує на необхідності комплексного підходу до побудови системи інформаційної безпеки. Комплексний підхід включає організаційну складову, аналіз ризиків, резервне копіювання, регулювання доступу до активів, питання безперервності бізнесу, роботу з персоналом та багато інших питань.

– І. Коцюба: Коли на дорожнє покриття наносять смугу руху для громадського транспорту, то нічого не змінюється, допоки не з’являться роз’яснення щодо правил руху, відповідальності та покарання за порушення. Найцінніше, що відбувається сьогодні – це те, що держава готує в кіберпросторі дорожнє покриття, на основних магістралях малює розмітку і ставить дорожні знаки та розуміє, що відповідальність, згідно з кращими світовими практиками, також потрібно буде встановлювати (відповідальність за недотримання норм, правил, кодексів поведінки та базових правил кібергігієни). Безперечно, в цьому існує нагальна потреба, насамперед, для критичних інформаційних інфраструктур.

– Хто є основним споживачем послуг у сфері інформаційної безпеки та кіберзахисту?

– О. Макаревич: Споживачем послуг інформаційної безпеки є будь-яка організація, що використовує в роботі інформаційні системи, комп'ютерну техніку, засоби зв'язку та має дані, які підлягають захисту. Під захистом даних мається на увазі забезпечення не лише конфіденційності, але й цілісності та доступності. Захисту підлягають також критичні бізнес-процеси, зупинка яких може призвести до виникнення фінансових або інших втрат для підприємства.

– І. Коцюба: Я вбачаю в цьому питанні більш широку проблематику. Споживачами таких послуг мають бути і дитячі садочки, і люди похилого віку, оскільки ми долучаємося до таких ініціатив з освіти та просвітництва. Якщо говорити про бізнес-споживача, то хрестоматійно – це бізнес, в якому присутні люди, технології, дотичні процеси та існують кібер-ризики, які не вдалося передбачити чи знизити до незначущого рівня. Кібер-ризики – це не питання технологій чи ІТ, це бізнес-ризики.

– Проведення зовнішнього аудиту інформаційної безпеки, зокрема для об’єктів критичної інфраструктури, видається громіздким процесом. Скільки експертів залучається для проведення подібних проектів та скільки часу на це потрібно? Яка частка автоматизованих процесів?

– О. Макаревич: Складність процесу зовнішнього аудиту залежить від розмірів підприємства, кількості критичних процесів та інформаційних активів. Відповідно, саме від цих чинників залежить кількість експертів у команді для кожного окремого проекту. При цьому, якщо говорити саме про аудит інформаційної безпеки, то рівень його автоматизації зовсім невеликий. Однак у нас є деякі рішення, які ми наразі вдосконалюємо.

– Ви стверджуєте, що деякі інструменти допоможуть у процесі проведення розслідувань, а саме: виявлення, фіксація, аналіз та належне оформлення цифрових доказів про кіберінциденти. Наскільки допустимими будуть ці докази в суді?

– Ю. Котляров: Найбільш складним видається пошук цифрових слідів кіберінциденту. Командна робота в цьому процесі юристів, які розуміються в цифровому просторі, та фахівців з технічною експертизою наразі призводить до ефективного результату виявлення та фіксації саме належних доказів. Питання їх допустимості опрацьовується спільно з командою судової практики фірми. Водночас варто зазначити, що дійсно існує різна практика судів щодо визнання належними та допустимими цифрових доказів, навіть у простих випадках (наприклад, щодо електронної пошти). Проте формування практики та належне законодавче врегулювання в умовах стрімкої цифровізації відносин – це лише питання часу. Сьогодні ми маємо працювати в цих умовах і нам це вдається.

– Європа також цікавиться подібними інструментами. Ми знаємо, що представника CyberDesk навіть запросили бути спікером на найбільшу в Європі конференцію у цій сфері. Чи вже існують європейські аналоги таких центрів?

– І. Коцюба: Звісно, у світі існують такі центри, до того ж вузькоспеціалізовані. Хоча б поверхнево, але всі зобов'язані перейматися кібербезпекою (власники бізнесу, уряди, пересічні громадяни). Все це завдяки еволюційному законодавству, в якому прописана чітка відповідальність за дії чи бездіяльність.

Ми співпрацюємо з європейськими кластерами, policy makers та працюємо в межах ініціатив ЄС щодо секторальної інтеграції України. В ЄС ми впізнавані у напрямках кібербезпеки в енергетиці та електронного здоров'я, в якому наша експертиза підсилена складними та цікавими міжнародними проектами.

Також Україна цікава своїм досвідом боротьби з агресивними атаками протягом останніх 3-х років. Це пошкодження критичних інфраструктур і процесів, гібридні загрози, досвід захисту від сотень цілеспрямованих та добре зшитих атак. Завдяки такому негативному досвіду ми маємо відкриті можливості для міжнародної співпраці. Нам важливо переймати кращий досвід і ділитися своїм гірким.

– Чи маєте Ви намір співпрацювати з європейськими колегами?

– І. Коцюба: Так, до кінця року нам надали можливість виступити на найвпливовіших майданчиках з найбільшою концентрацією зацікавлених сторін у Гаазі, Лондоні, Брюсселі та Сіетлі (США). Цього року наші найзначніші ініціативи сконцентровані навколо енергетичних смарт грідів та електронного здоров’я. В цих сферах ми фокусуємося на діджиталізації, децентралізації та кібербезпеці.

– Чи могли б Ви розповісти детальніше про ці проекти?

– І. Коцюба: Ці ініціативи спрямовані на співпрацю з міжнародними стейкхолдерами в межах спільних проектів, фінансованих США та Єврокомісією, щодо пошуку відповідей на цілком конкретні проблемні питання в цих галузях, в яких досвід, продукти та знання зможуть використовуватися учасниками та їхніми країнами для вирішення проблем на локальних ринках. Загалом, кібербезпека – це про обмін.

Наша найбільш амбітна ціль – познайомити західних партнерів з можливостями R&D в Україні. Ці можливості ми потужно промотуємо серед партнерів у Європі та США. Ми вчимося пропонувати партнерам вирішення соціальних чи бізнес-викликів, які є спільними та не мають кордонів, а не задовольняти їхні потреби в аутсорсингу.

– Зараз часто порушується питання щодо персональних даних. З ними також плануєте працювати?

– Ю. Семеній: Персональні дані – наразі модна тема. Всі знають, що потрібно отримувати згоду на обробку даних, затверджувати відповідну політику та призначати відповідальних. Однак головне питання – як організувати ефективну систему захисту персональних даних, враховуючи, що бізнес втомився оформлювати стоси паперів (які, до речі, можуть захистити компанію від претензій, але опосередковано стосуються захисту даних), а обробка персональних даних поза електронними системами скоріше виняток, ніж правило.

Нам дуже потрібні технологічні рішення, які зроблять простим виконання вимог щодо захисту персональних даних як для бізнесу, так і для споживача. Саме в цьому я вбачаю можливість синергії між юристами та спеціалістами у галузі інформаційної безпеки. Насправді, надихає той факт, що подібні виклики зараз стоять перед колегами в багатьох інших юрисдикціях, навіть достатньо досвідчених у питаннях персональних даних. Не можу не згадати GDPR – над дотриманням вимог цього регламенту ми також працюємо. Однак, на мою думку, для побудови дійсно ефективної та технологічної системи захисту розходження між національними та європейськими вимогами є не настільки критичними.

– Яка стратегія розвитку центру на найближчі роки? Чи є суперамбітна ціль?

– Ю. Семеній: Для досягнення позитивних результатів ми завжди намагалися експериментувати (у стратегіях та способах захисту, застосуванні технологій у спорах та доказуванні тощо). Тож частиною стратегії є впровадження досі незвичних, проте перспективних та зручних рішень шляхом поєднання юридичних і технічних інструментів.

– Ю. Котляров: Створення юридичною фірмою центру СyberDesk, аналогів якому немає в Україні, вже є достатньо амбітною заявкою. Зараз ми активно поглиблюємо власну експертизу в цій сфері. В пошуках максимальної ефективності для клієнтів ми експериментуємо з методами надання послуг, здійснюємо дослідження нових шляхів та нових кіберзагроз, беремо участь у формуванні правового поля з інформаційної безпеки (особливо для об’єктів критичної інфраструктури). В кожному з цих напрямків є своя конкретна ціль.

Найбільш амбітна мета для центру СyberDesk – стати компанією на кшталт Apple в цій сфері для України з позиції інноваційності, якості, концентрації на деталях та ідеального розуміння потреб клієнтів.

Темна тема
Світла тема
Великі шрифти
Нормальні шрифти