№4 Квітень 2021 року → До справи

Тема: Навести в цифру

Ігор ВОРОНОВ,
адвокат Asters, д.ю.н.

Кіберзлочини та практичні аспекти ефективного захисту стають дедалі актуальнішими питаннями для будь-якого бізнесу, від яких багато в чому залежить безпека комерційного сектору

Кіберзлочини, безсумнівно, являють собою вид кримінальної діяльності, який постійно та стрімко розвивається. Статистика переконливо свідчить: за останні п’ять років в Україні кількість кіберзлочинів зросла щонайменше у 2,5 разу, причому саме 2020 рік став рекордним за кількістю витоків даних та кібератак, насамперед, через пандемію, викликану поширенням COVID-19. Саме вона змусила бізнес незалежно від бажання й готовності швидко та масово переходити на дистанційні форми своєї діяльності, що й стало новим потужним імпульсом безпрецедентного сплеску кібератак. Виходячи з того, що кіберзлочинність має транскордонний характер, у сфері «кіберполювання» завжди є висока та динамічна конкуренція.

 

Що ж на практиці

 

Практичні аспекти ефективного захисту все більше привертають увагу суспільства. Карантин, по суті, оголив проблему цифрової грамотності суспільства в цілому, індивідуальної захищеності фізичних осіб та систем захисту компаній різного масштабу. Слід констатувати, що увага з боку бізнес-структур до систем захисту, на жаль, приділялася не на достатньому рівні. Віддалена робота в умовах різних обмежень постійно триваючого карантину стала єдиним можливим варіантом для багатьох українських компаній. При цьому є обґрунтовані підстави вважати, що принцип віддаленої роботи може зберегтися навіть після закінчення пандемії.

Витік персональних даних, електронне шахрайство, порушення функціонування державних структур або критично важливих об’єктів інфраструктури, порушення прав інтелектуальної власності, витоки інформації, пов’язаної з національною безпекою вже стали традиційними новинами сучасного суспільства. І знову, попри численні практичні приклади, гнучкі та резонансні справи, масштаби та розмір спричиненої шкоди, кричущі заголовки засобів масової інформації, далеко не всі фізичні особи та компанії готові витрачати час та гроші на власний захист, легковажно сподіваючись не поповнити перелік жертв кібер­зловмисників.

При цьому треба чітко розуміти, що базовий функціонал ефективний лише проти дилетантів або так званих початківців, професійних кібер­зловмисників він навряд стримає. Саме тому компанії, які збільшать інвестиції в кібербезпеку в аспекті впливу пандемії COVID-19 на дистанційні форми роботи, отримають ­реальну віддачу та переваги над тими, хто цього не зробить. Особливо, якщо йдеться про бізнес цифрового сере­довища, де кожен такий цифровий актив повинен бути якомога краще захищеним від кіберзагроз. В аспекті кіберзахисту — це мінімізація ризиків злому, витоків та знищення інформації, руйнування репутації і, як наслідок, втрати зайнятого сегменту ринку.

Не варто також економити, використовуючи неліцензійне програмне забезпечення, оскільки ліцензовані програми проводять постійне оновлення свого софту, тим самим зміцнюючи цифровий «імунітет» девайсів компанії. І, нарешті, у разі огляду місця злочину з метою фіксації слідів та наслідків це нівелює ризики появи кримінального провадження щодо порушення авторських прав на програмне забезпечення.

 

Ризики та загрози

 

Отже, кібератаки здатні спричинити колосальні репутаційні та фінансові втрати, причому від них не застраховані ані фізичні особи (особ­ливо власники бізнесу), ані малий, ані великий бізнес. Очевидним є те, що кібербезпека повинна бути найвищим пріоритетом менеджменту, оскільки компанії несуть відповідальність за впровадження заходів захисту інформації як клієнтів, так і своїх працівників. При цьому йдеться саме про впровадження реальних організаційних та програмно-технічних заходів захисту визначених напрямів. Найперспективніший підхід полягає в тому, щоб переробити стратегію кібербезпеки для реалізації широкого спектру завдань — від безпосередньої профілактики до запровадження методів швидкої діагностики порушень безпеки та обмеження шкоди. Саме у цьому полягає зміна позиції реагування «на випадок» на користь позиції «під час». При цьому не треба забувати й про останній елемент — алгоритм дій «після хакерської атаки» або «після витоку інформації» внаслідок певних дій працівників компанії.

Найбільш поширеними загрозами залишаються: шкідливе програмне забезпечення, DDoS-атаки (особливо силами потужних Bot-net), фішингові атаки, дії (інциденти) всередині компанії, втрата техніки або паролів дос­тупу. Нагальною проблемою є внут­рішнє джерело ризику, а саме — цілеспрямовані умисні дії або необачні працівники.

 

Стаємо на захист

 

Виходячи з того, що одним із ключових завдань кібербезпеки компанії будь-якого розміру є захист і збереження даних (персональні дані клієнтів, замовлення, угоди, платіжні реквізити), варто регулярно ­оновлювати заздалегідь створені їх резервні копії (попередньо визначитися із періодичністю, носіями та форматом). В аспекті захисту апаратних засобів обробки інформації ефективно зарекомендувала себе практика видачі корпоративних девайсів, а саме — телефонів та, за можливості, й ноутбуків. По-перше, це дозволяє використовувати єдиний визначений стандарт захисту, фізично розмежовувати приватну (фото, дані, листування тощо) та робочу складову використання (бізнес-листування, вкладення, документи). По-друге, у разі втрати або викрадення пристрою всі дані можна буде видалити або заблокувати віддалено адміністратором безпеки підприємства. І, врешті, у разі інциденту техніка може відразу вилучатися у працівника для аналізу та фіксації втручання, шкідливих дій. Не треба забувати і про необхідність використовувати надійні паролі та періодично їх змінювати. Узагалі для облікового запису корпоративної електронної пошти необхідно, як зарекомендувала практика, використовувати двофакторну аутентифікацію (2FA).

Методи і технології кіберзловмис­ників не зазнали принципових істотних змін із настанням карантину, проте, щоб не наступати на добре відомі граблі, необхідно передусім провести внутрішній IT-аудит. Бажано проводити його із залученням адвокатів, які вже мають досвід надання правової допомоги на стадії досудового розслідування та під час судового розгляду таких категорій справ. Цей підхід є перспективним з точки зору кримінально-правової оцінки вірогідних ризиків у разі їх виявлення незалежним аудитом.

До речі, за аналогією проведення тренінгів для працівників компаній на випадок проведення обшуків досвідчений у питаннях кіберзахисту адвокат може ефективно провести адвокатське опитування ­працівників з приводу кібергігієни, зафіксувати інформацію, провести роз’яснювальний інструктаж щодо адміністративної та кримінальної відповідальності у разі умисних дій працівників компанії щодо спричинення витоку інформації, навести конкретні приклади вироків тощо.

Таким чином, багато проблемних питань можуть бути локалізовані і вирішені саме на стадії підготовки до захисту, а не на стадії наслідків. Як показує практика, з урахуванням швидкоплинності процесів та особливостей вчинення кіберзлочинів фактор дефіциту часу може вкрай негативно позначитися на результативності правової допомоги та ефективності досудового розслідування.

-->