International: Безпечне поєднання

Алеся КОСМИНА

Хакерські атаки, що стають дедалі частішими, та скандали через крадіжку інформації, які стають усе гучнішими, змушують регуляторів замислитися про обов’язкове запровадження кіберзахисту, а компанії — про додаткові гарантії від своїх зовнішніх радників та консультантів, які часто є слабкою ланкою при побудові кіберзахисту

Минулого місяця, а саме — 13 вересня 2016 року, губернатор штату Нью-Йорк оголосив про перший у США законопроект щодо забезпечення кібербезпеки, спрямований на захист клієнтів фінансових установ. Законопроектом вимагається від банків, страхових компаній та інших постачальників фінансових послуг ввести та підтримувати прог­раму забезпечення кібербезпеки, яка має допомогти гарантувати виконання фінансовим сектором своїх обов’язків.

Отже, від фінансових установ вимагається: створити програму кіберзахисту; прийняти викладену у письмовому вигляді політику з кібербезпеки; призначити відповідального за інформаційну безпеку співробітника; застосовувати всі політики та процедури, спрямовані на забезпечення безпеки інформаційних систем та внутрішньої інформації, доступ до якої мають сторонні організації, тощо. Від установ також вимагається щорічне проходження сертифікації з кібербезпеки. Окрім фінансових установ, під дію законопроекту підпадають і їхні зовнішні радники, у тому числі, звичайно ж, і юрфірми, що мають доступ до конфіденційної інформації.

Законопроект викликав бурхливе обговорення. Критики вважають, що він навряд чи зможе поліпшити ситуацію з кіберзахистом в установах з Уолл-Стріт. Великі компанії так чи інакше вже дотримуються вимог кількох законодавчих актів, що стосуються кіберзахисту. Тому цей проект додасть лише паперової роботи, на яку витрачатиметься дорогоцінний час, що міг би бути використаний для розробки реального захисту від загроз. І, зрештою, мовляв, усе вил­лється у комплаєнс, а не у справжню роботу над кіберзахистом. Крім того, більшість критиків схиляються до думки, що такий законопроект є просто піар-ходом, спрямованим на те, щоб показати, що Уолл-Стріт готовий дати відсіч хакерам з усього світу.

Прихильники законопроекту, втім, упевнені, що цей законопроект є позитивним кроком, адже його кінцевою метою є не стільки великі фінустанови, скільки дрібніші компанії, які працюють із цими установами та які не завжди ретельно опікуються питанням захисту інформації — це аудиторські та юридичні фірми, а також консультанти з маркетингу. Їм доведеться докласти серйозних зусиль, щоб відповідати вимогам нового законопроекту. І ось це, на думку всіх експертів — як прихильників, так і противників нововведень, — дуже непогана річ.

 

Навіки разом

Фінансовий сектор був і залишається найзарегульованішим, у тому числі й коли йдеться про кібербезпеку. Фінустанови добре знайомі із законодавством та відповідальністю за ті чи інші порушення, тож кіберзахисту приділяють достатньо уваги. У той же час усі забувають про те, що жоден брандмауер не зможе врятувати, якщо мережа не обмежується однією компанію. А не виносити інформацію за межі установи при наявності зовнішніх радників просто неможливо. І ось тут часто виникають проблеми.

Як кажуть, ви є сильними настільки, наскільки сильною є ваша найслабша ланка. І коли йдеться про захист інформації, роль таких ланок, на жаль, часто виконують юрфірми. Тоді як діяльність фінансового сектора регулює безліч законодавчих актів, а також комісій, бюро та інших організацій, юридичні фірми, які працюють із цим сектором, керуються у питаннях захисту лише власним розумінням відповідальності. За великим рахунком, окрім пункту 1.6 Кодексу професійної поведінки Американської асоціації юристів (ABA Model Rules of Professional Conduct), який зобов’язує адвокатів діяти обґрунтовано для захисту інформації та дотримання норм етики, американським юрфірмам практично немає чого дотримуватися.

Звичайно, не можна сказати, щоб у США зовсім не опікувалися питанням побудови кіберзахисту зов­нішніми консультантами фінустанов. Опікувалися. Але всі пропозиції та вимоги мали переважно рекомендаційний характер.

У 2015 році, приміром, Federal Financial Institutions Examination Council (FFIEC) оновив свої рекомендації і почав вимагати від фін­установ перевіряти всіх своїх постачальників на предмет надійності захисту інформації. Юридичні фірми навіть сприйняли це як образу, адже завжди позиціонували себе як компанії, чиї послуги базуються на довірі та збереженні конфіденційності. Через подібний імідж юрфірм фінансові установи теж досить поверхово виконували вимогу про перевірку своїх юридичних радників на предмет збереження та захисту інформації.

Та після декількох гучних скандалів, пов’язаних із успішними хакерськими атаками на юрфірми навесні 2016 року (оприлюднення так званих панамських документів), фінансові установи зайняли більш жорстку позицію. Сьогодні від юрфірми вимагається хороша інфраструктура, дієві методи кіберзахисту, оновлений план реагування на інциденти, достатня обізнаність співробітників, статистика успішного відбивання хакерських атак та не менш успішного реагування на них. У результаті значно частішими стали випадки, коли юридичні фірми не отримують ту чи іншу роботу, якщо не можуть довести свою кібернадійність. Тож юридичним радникам не залишилося нічого іншого, як змиритися, — якщо клієнту потрібен кіберзахист, доводиться відповідати стандартам.

 

Поки грім не грянув

Ситуація з «панамськими документами» показала лише верхівку айсберга. Юрфірми з огляду на специфіку своєї діяльності не прагнуть відверто говорити про хакерські атаки, тим більше успішні. І тому, коли інформація, зрештою, спливає, на юридичному ринку починається справжній шторм і, як наслідок, довіра до професії юриста летить униз. А її відновлення забирає багато часу та зусиль. Тому юрфірмам сьогодні доводиться визнавати, що захист даних є не менш важливим, аніж рекомендації та якість послуг.

Причому це стосується не лише США чи інших далеких країн. Ук­раїнські юрфірми не люблять говорити про кібербезпеку, хоча кількість кібератак на них стрімко збільшується. Дехто з партнерів у приватних розмовах зізнається у тому, що хотіли б побудувати ліпшу систему захисту, аніж їхні юрфірми мають сьогодні. Зрештою, всі визнають, що проблема є і вона є гострою.

За словами керуючого партнера Airvice Consulting Руслана Яременка, частина сьогоднішніх кібератак спрямована на технічні засоби, такі як операційні системи комп’ютерів/смартфонів та програми. Частина використовує методи соціальної інженерії і спрямована на корис­тувачів.

«Якщо говорити про найпоширеніші та найнебезпечніші кіберзагрози поточного року, то на перше місце я поставив би RansomWare — це зловмисне програмне забезпечення, яке призначене для блокування дос­тупу до комп’ютера чи смарфона/планшета, або до їх даних (шляхом їх шифрування) з метою вимагання кош­тів за відновлення нормальної роботи, — говорить пан Яременко. — У більшості випадків наразі вимагають кошти в анонімній криптовалюті, наприклад у BitCoin. І це серйозна проблема, бо, з одного боку, робить пошук зловмисників дуже важким через анонімність криптовалюти та платежів у ній і, як наслідок, збільшує кількість охочих «заробити» таким чином. А з іншого — навіть якщо ви захочете заплатити за відновлення доступу до своїх даних, то, швидше за все, у вас немає гаманця BitCoin і власне коштів (біткоінів) на ньому. А часу на сплату викупу зловмисники зазвичай дають небагато. Якщо ви вже стали жертвою RansomWare, то у більшості випадків, на жаль, ви свої дані вже втратили. І тут допоможе тільки резервна копія, якщо вона є. За статистикою минулого, 2015, року, з усіх постраждалих, хто заплатив викуп зловмисникам, доступ до своїх даних отримали тільки 40 %».

Не менш небезпечним та поширеним, на думку пана Яременка, є Phishing. Це вид шахрайства, метою якого є виманювання конфіденційних даних у користувачів, як правило авторизаційних (доступи до фінансових та інших «хмарних» сервісів). А потім, використовуючи ці логіни та паролі, крадуть їхні кошти або конфіденційну інформацію. Також не можна не рахуватися зі звичайними вірусами. Незважаючи на зменшення їх впливу через ефективне використання антивірусних засобів, віруси все ще завдають немалої шкоди користувачам і компаніям.

Але захист від атак не є сьогодні єдиним елементом кібербезпеки. Фахівці з кіберзахисту наголошують на тому, що сьогодні мало мати антивірусне програмне забезпечення, потрібно також вміти передбачати атаку і навчитися на неї швидко та якісно реагувати. Команда швидкого кіберреагування має складатися з експертів з пошуку інформації, фахівців із кризисних комунікацій та юристів. Причому діяти потрібно разом та у перші 72 години після атаки, тоді є шанс зменшити наслідки. Але для цього потрібно спершу навчитися фіксувати проникнення.

Згідно зі звітом компанії Verizon, проходять місяці, перш ніж жертва хакерів виявить факт крадіжки даних, та й то найчастіше про це спершу дізнається зовсім не та компанія, яка зазнала нападу. Так, у 2015 році у 92 % випадків про атаку ставало відомо спочатку клієнтам компанії — об’єкту атаки. Цікавою є й інша статистика від Verizon: торік 63 % успішних атак було здійснено завдяки слабким або викраденим паролям. Тож юрфірмам є над чим працювати.

І, звичайно ж, не треба забувати про фінансові та інші наслідки від іміджевих втрат при успішних хакерських атаках. Американські консультанти з просування радять юридичним фірмам замислитися про страхування професіональної відповідальності юрфірми і для випадків, пов’язаних з крадіжкою конфіденційної інформації. Крім того, за їхніми словами, варто наймати стороннього фахівця з кіберзахисту. По-перше, він справді ліпше знає про всі ризики, особливості та інші нюанси, а по-друге, у разі невдачі є, кому висунути претензії, якщо справа перейде у публічну площину.

Та головне, мабуть, навіть не це. Найпоширенішою помилкою, якої припускаються юридичні фірми у всьому світі, є впевненість у тому, що з ними цього не відбудеться, адже «є цікавіші фірми з цікавішими клієнтами», «для хакерів є більш привабливі галузі» тощо. Будь-яка компанія та загалом будь-яка людина має те, що може зацікавити хакерів. І телефон, залишений у таксі, який не має відповідного рівня захисту, може стати відкритими дверима до документів юрфірми.

«Не треба думати, що якісь галузі цікавлять хакерів більше за інші, тому ваш бізнес у відносній безпеці, — наголошує Руслан Яременко. — Хакерів цікавлять не конкретні галузі чи бізнес, їх цікавлять гроші. А ось тим, хто їм ці гроші заплатить, ваш бізнес може бути дуже цікавим. Зараз на юридичному ринку висока конкуренція, і конкуренти можуть захотіти заволодіти вашими корпоративними даними та накопиченим досвідом, або поставити за мету тимчасово заблокувати роботу юридичної фірми чи зробити від вашого імені спам-розсилку та скомпрометувати вашу компанію в очах ваших же клієнтів, і роками створюваний імідж надійного юридичного партнера може бути швидко зруйнований через нехтування IT-безпекою та недооцінку сучасних кіберризиків».

 

КІБЕРЗАХИСТ ПО-УКРАЇНСЬКИ

Руслан ЯРЕМЕНКО,

керуючий партнер Airvice Consulting

Специфіка сучасних кіберзагроз є такою, що деякі класичні підходи та методи захисту проти них не є ефективними. Багато IT-фахівців використовують сучасний антивірус як основний, і дуже часто єдиний засіб захисту корпоративних ІТ-систем. Але цього мало, оскільки віруси тепер атакують комп’ютери не тільки через заражені носії інформації (флешки, зовнішні диски), а й через інтернет-оглядачі. І тут більшість антивірусів, за результатами тестувань, як правило, пасують. Не так багато антивірусів мають дієвий веб-захист та можуть попередити зараження, а не боротися вже з наслідками цього зараження. Що стосується шифрувальників (RansomWare) та фішингу (Phishing) — тут антивіруси взагалі безсилі. А оскільки зараз у фокусі кіберзлочинців користувачі та їхні гаджети, то використання тільки антивірусу не надає необхідного захисту.

Схожа історія і з мережевими екранами (файарволами) — програмами, що захищають від зламу сервіси комп’ютерної техніки. Вони, безумовно, потрібні, та їхній вклад у кібербезпеку стає все менший, оскільки з’явилися набагато легші способи отримати потрібне, не «зламуючи» сервіси комп’ютера напряму.

На цей момент потрібно, окрім класичних систем на кшталт антивірусу та мережевого екрана, використовувати спеціалізовані програмні рішення для захисту від фішингу та шифрувальників. Потрібно інформувати користувачів про кіберзагрози та методи протидії їм. Потрібно регулярно встановлювати оновлення для операційних систем та програм.

Також дієвим методом підвищення ІТ-безпеки є використання «хмарних» сервісів. Наприклад, використання «хмарного» поштового сервісу. Оскільки віруси, шифрувальники, фішінг розповсюджуються в основному через електронну пошту, то логічним є їх знешкодження до того, як «заражений» лист надійде до користувача. «Хмарні» поштові системи не тільки мають вбудовані механізми захисту від таких загроз, але й постійно їх оновлюють. А за рахунок великої кількості їх користувачів ця система ще й «навчається». Реалізувати такий захист на класичних поштових системах не вдасться — або такого функціоналу немає, або кваліфікації/часу вашого ІТ-фахівця не вистачить для налаштування ефективного захисту.

Для захисту від сучасних кіберзагроз потрібне не тільки використання спеціалізованих програм, потрібна правильно спроектована ІТ-система, яка такі загрози враховує. На сьогодні більшість ІТ-систем в Україні застарілі і спроектовані без урахування специфіки сучасних загроз. Захистити такі ІТ-системи складно, а інколи неможливо. Для забезпечення високого рівня захисту такі системи потрібно переробити, а ненадійні елементи замінити більш безпечними.

І необхідно пам’ятати, що у кібербезпеці найслабша ланка — люди. Згідно з опитуваннями серед постраждалих від ­кіберзагроз компаній, близько 48 % кібератак стали успішними саме через помилки людей. Тому інформування співробітників про види сучасних кіберзагроз та періодичні тренінги за методами протидії цим загрозам залишаються найдієвішими методами підвищення кібербезпеки компаній.

 

Правила роботи з «хмарами»

Ще декілька років тому більшість юридичних компаній не використовували «хмарні» сервіси, а їхні ІТ-фахівці були погано поінформовані про особливості та переваги таких інтернет-сервісів. Але зараз ситуація стрімко змінюється. Накопичені впродовж останніх років знання про «хмари» та «історії успіху» фірм, що впровадили інтернет-сервіси, переконали скептиків — наразі багато юридичних компаній активно розглядають «хмарні» сервіси як інструмент поліпшення роботи своїх ІТ-систем та підвищення захисту своїх електронних активів від сучасних ІТ-загроз.

Дуже часто впровадження «хмарних» технологій проходить несистемно через брак досвіду у ІТ-фахівців. Але робота з «хмарами» має свою специфіку і потрібно розуміти ці особливості, щоб користування було ефективним та безпечним. Кожен співробітник повинен чітко знати, як працювати у «хмарі». Тому потрібно уважно вивчити можливості «хмари», сформувати стратегію та розробити правила ефективної роботи для всіх категорій співробітників — від партнерів та юристів до адмінперсоналу. А потім провести внутрішньокорпоративні тренінги для користувачів.

Такі правила, як мінімум, повинні включати порядок підключення до інтернет-сервісів та завершення роботи, зберігання паролів користувачів, копіювання та зберігання файлів, розгляд можливих ситуацій, варіантів та ліпші практики використання конкретних інтернет-сервісів та «хмари» в цілому.

ІТ-фахівцям потрібно додатково розробити окремі правила, які регламентуватимуть порядок налаштування або керування «хмарними» ІТ-сервісами, зберігання паролів, інструктаж нових користувачів тощо. Важливо ці правила регулярно переглядати, поліпшувати та періодично проводити повторні тренінги. Нехтувати цим не можна — ці правила та заходи суттєво підвищать ефективність роботи та поліпшать кіберзахист вашої ІТ-системи.

Потрібно також пам’ятати, що передувати цим заходам та написанню правил має правильне проектування «хмарної» ІТ-системи. Якщо власного досвіду не вистачає, то потрібно звернутися до професіоналів, бо дуже важливо серед великої кількості інтернет-сервісів обрати саме ті, які відповідають вашим потребам з функціоналу та зручності. Якщо користуватися сервісом буде незручно, то користувачі робитимуть так, як їм зручніше, а не так, як потрібно. Це зведе нанівець усі зусилля і не дасть очікуваного результату. Історія знає багато чудових починань з ІТ-безпеки, які не запрацювали через банальну незручність використання.

-->