Pоst Scriptum: Кіберзахист: забезпечити не можна ігнорувати

Юрій КОТЛЯРОВ ,
партнер ЮФ Asters

Тема кібербезпеки в Україні останнім часом стала дуже трендовою. Але те, як часто згадується термін «кібербезпека», на жаль, не робить настільки ж швидким розвиток правового середовища в цій сфері. Ані український державний сектор, ані бізнес наразі не можуть повною мірою похвалитися ефективною системою виявлення та запобігання кіберзагроз.

В Україні є деякі перекоси у забезпеченні кіберзахисту. Якщо проаналізувати дані про проведені державні закупівлі для держсектора за останні кілька років, то можна знайти сотні мільйонів витрачених коштів на побудову ІТ-інфраструктури, включаючи системи кібербезпеки.

Але часто під «кібербезпекою» малася на увазі лише закупівля «заліза». 2017 рік показав, що навіть від прос­того вірусу Petya.A «залізо» не допомогло, і доволі примітивна атака призвела до втрати даних та призупинення роботи знач­ної частини підприємств, у тому числі об’єктів критичної інфраструктури.

Іншою проблемою є відсутність системи обміну інформацією. Наразі в Україні відкрито Центр кіберзахисту, що виконує функції CERT при Адміністрації Держспецзв’язку, та Ситуаційний центр забезпечення кібербезпеки при СБУ. Обидва центри здійснюють міжнародну взаємодію. Але в обох на сьогодні немає достатніх правових механізмів для побудови взаємодії з приватним сектором. У бізнесу ж історично склалася недовіра до державних структур щодо добровільного обміну інформацією.

У той час, коли в США та ЄС ефективність кіберзахисту досягається через впровадження державно-приватного партнерства (ДПП), у нас поки цей інструмент не працює. Чинний Закон про ДПП на практиці важко застосувати у цій сфері. Держава часто розглядає приватний сектор з позиції «ви зобов’язані», а єдиною формою взаємодії поки є тільки спільні робочі групи і форуми.

Це далеко не всі проблеми, а прийняття системи нормативних актів у сфері кібербезпеки, автоматично не поставлять нашу країну в розряд надійно кіберзахищених. По-перше, потрібно витратити немало зусиль, аби вже підготовлені проекти узгоджувалися між собою, були спрямовані на досягнення цілей з ефективності та враховували напрацьовану загальновизнану міжнародну практику.

По-друге, навіть якщо ми досягнемо успіхів у прий­нятті адекватних нормативних актів, попереду чекає величезна робота з імплементації. Як мінімум 378 суб’єктів великого бізнесу і не менш ніж 6 860 суб’єктів середнього бізнесу (за даними Мінекономрозвитку) повинні будуть впровадити систему стандартів з безпеки і перебудувати свої внутрішні бізнес-процеси.

Усвідомлюючи критичну важливість кібербезпеки, ми створили перший на українському ринку інтегрований центр з надання послуг у сфері інформаційної безпеки та кіберзахисту — СyberDesk. Відмінність нашого центру від численних пропозицій на ринку в тому, що йдеться не про продаж «заліза» чи програмних продуктів, або лише юридичні консультації. Ми поєднали експертизу ІТ-фахівців з кібербезпеки та юридичних експертів компанії. Фокусом є комплекс консалтингу для забезпечення інформаційної безпеки бізнесу, виявлення та оцінка загроз, реагування на кіберінциденти, аудит інформаційної безпеки, забезпечення комплаєнсу з вимогами законодавства, а також проведення розслідувань кіберінцидентів.

Власна R&D-лаборато­рія — місце, де розробляються рішення та продукти для забезпечення кібербезпеки ІоТ із застосуванням різних технологій, включаючи блокчейн-проекти, здійснюються дослідження поведінкової біометрії, моделюються кібератаки та інструменти для оцінки кіберризиків.

У жовтні 2018 року в усьому світі планується проведення заходів, присвячених кібербезпеці. З метою просування найкращих практик з кібербезпеки в Україні та знаходження спільних ефективних рішень існуючих проблем уже 2 жовтня 2018 року за підтримки «Юридичної практики», Astersс та CyberDesk планується проведення першої в Україні Cybersecurity Legal Conference, в якій вже підтвердили участь як представники державного сектора, так і найбільших компаній. Сподіваюсь, що ця конференція стане ще одним поштовхом для розвит­ку сфери кібербезпеки в Україні.

Попереду — дуже важкий шлях як для держави, так і для бізнесу, якому потрібно буде докласти чимало зусиль та ресурсів для імплементації найкращих практик та відповідної культури з інформаційної безпеки. Але все пізнається в порівнянні. У цьому випадку — з можливими втратами та наслідками від кіберінцидентів.