Киберугрозам в современном мире подвержено все большее количество субъектов: от частных лиц до крупных компаний, отдельных отраслей экономики и государств в целом. Вспомним распространение вируса Petya в прошлом году — по мнению аналитиков, масштаб последствий этой атаки в Украине до сих пор точно не оценен. Неудивительно, что вопросы кибербезопасности приобретают особое значение, становясь неотъемлемой частью национальной безопасности, а меры противодействия киберугрозам разрабатываются и внедряются на государственном уровне. В нашей стране для этих целей был принят Закон Украины «Об основах обеспечения кибербезопасности Украины». Он вступает в силу 9 мая с.г. Об украинских реалиях и тенденциях в сфере киберзащиты, возможностях и обязанностях бизнеса, прежде всего относящегося к критической инфраструктуре, мы говорили с Юрием Котляровым, партнером ЮФ Asters.

 

— Вопросы защиты информации в большей мере лежат в плоскости юридической или технической?

— Кибербезащита осуществляется комплексно. Это совокупность инженерно-технических и организационно-правовых мероприятий. Перегиб в любую из этих сторон приведет к неполноте и, как следствие, к неэффективности киберзащиты.

В принципе большинство современных технических средств обеспечивают довольно хорошую защиту от «лобовых» атак извне. Тем не менее масштабные затраты на такие средства не принесут существенной пользы, если не будут проведены соответствующие организационно-правовые мероприятия. В связи с ростом уровня технической защиты для атак все чаще используются нетехнические средства, например методы «социального инжиниринга». Потенциальные источники серьезных атак все больше сдвигаются внутрь периметра. Работники компании могут представлять более существенную угрозу, нежели какой-нибудь хакер. Поэтому очень часто главной уязвимостью в системе защиты являются не техника, а люди.

Примечательно, что первым хакером в истории СССР и показательным примером осуществления «внутренних» киберугроз оказался простой программист, который по целевому распределению попал на «Автоваз». Молодой специалист счел, что его таланты не оценили, и в далеком 1983 году решил доказать свою ценность. Схема работы была следующей: программист в силу своих амбиций вносил изменения в ПО, но не оставлял никаких данных или отметок о внесенных изменениях. Он смекнул, что можно без труда внести сбой в систему и никто его не обнаружит. В результате конвейер «Автоваза» остановился на три дня. Долгое время никто не мог понять, что же послужило причиной такого сбоя, ставшего для предприятия катастрофой. В ходе проверки (из-за этого инцидента) все же удалось выяснить причины, и первый хакер СССР оказался первым пойманным, но отнюдь не первым, кто обнаружил дыру в системе. В том же управлении, в котором работал программист, «элита» регулярно создавала сбои на конвейере и оперативно их ликвидировала, «выбивая» у начальства за спасение конвейера в качестве награды дополнительные блага.

Распространение вируса Petya в 2017 году, помимо недостаточной технической защиты, во многом стало возможным благодаря человеческому фактору и отсутствию четких и понятных внутренних механизмов противодействия. Масштаб последствий этой атаки в Украине до сих пор точно не оценен. По данным Нацполиции, только официальных заявлений от юридических и физических лиц о блокировании работы компьютеров и информационных систем получено более 1500. По заявлениям Дмитрия Шимкива, заместителя Главы Администрации Президента Украины, в результате кибератаки было заблокировано около 10 % персональных компьютеров в Украине (личных, а также находящихся в государственных и негосударственных учреждениях и на предприятиях). Поэтому риски касаются не только сферы национальной безопасности, но и жизненно важных интересов человека.

Как мотивировать людей к совершению или несовершению определенных действий, какую ответственность они должны нести за такие действия или бездействие, как собрать и оформить соответствующие доказательства, в том числе находящиеся в киберпространстве, какие действия и в каком порядке следует предпринимать для минимизации ущерба как внутри компании, так и в отношениях с третьими лицами — это, конечно, плоскость правовая.

 

— На какие регуляторные требования в сфере кибербезопасности бизнесу следует обратить особое внимание?

— Украина находится только в начале своего регуляторного пути в сфере кибербезопасности. И на данном этапе можно говорить скорее о тенденциях. Но уже сейчас бизнесу следует понимать последствия применения прежде всего Закона «Об основах обеспечения кибербезопасности Украины». Он вступает в силу 9 мая этого года.

Данным законом систематизируется терминология, определяются объекты и субъекты кибербезопасности, система национальной кибербезопасности и многое другое.

В числе ключевых объектов кибербезопасности названы объекты критической инфраструктуры — законом на них возложены определенные обязанности. Так, они обязаны обеспечить киберзащиту своих критических коммуникационных и технологических систем, проводить независимый аудит информационной безопасности, уведомлять о киберинцидентах CERT-UA.

Непосредственно в законе устанавливается принцип, в соответствии с которым ответственность за обеспечение киберзащиты, организацию проведения независимого аудита информационной безопасности на таких объектах несут собственники и/или руководители предприятий, учреждений и организаций, отнесенных к объектам критической инфраструктуры. В каком виде будет такая ответственность — предмет отдельной дискуссии.

Законом также вводится достаточно широкий спектр государственно-частного взаимодействия в сфере кибербезопасности: от повышения цифровой грамотности до внедрения механизмов взаимодействия с физическими лицами и волонтерскими организациями с целью выполнения мероприятий по киберобороне в киберпространстве.

 

— Имплементация, пожалуй, каждого закона предполагает принятие ряда подзаконных актов. Сформирована ли такая подзаконная база в сфере кибербезопасности?

— В настоящее время ряд подзаконных нормативно-правовых актов, которые наполнят содержанием обязанности объектов критической инфраструктуры, все еще находятся в стадии разработки. В частности, должны быть разработаны как критерии отнесения предприятий к объектам критической инфраструктуры, так и требования к их киберзащите, индикаторы киберугроз, требования к аудиту информационной безопасности.

Уверен, что именно эти подзаконные акты уже в ближайшее время станут предметом серьезного обсуждения между государством и бизнесом.

 

— Какие именно объекты отнесены законом к критической инфраструктуре?

— Законом предусмотрены высокоуровневые критерии для объектов критической инфраструктуры. Это связь деятельности таких объектов с технологическими процессами, предоставлением услуг, которые имеют большое значение для экономики, функционирования и безопасности общества и нарушение функционирования которых может негативно повлиять на национальную безопасность, жизнь и здоровье людей, окружающую среду, причинить существенный имущественный вред.

В частности, законом предусмотрено, что к объектам критической инфраструктуры (независимо от их формы собственности) могут быть отнесены предприятия, учреждения и организации, осуществляющие деятельность в сфере энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в банковском и финансовом секторах.

Как я уже упоминал, Кабинет Министров Украины должен утвердить более детальные критерии отнесения к объектам критической инфраструктуры, перечень таких объектов, а также общие требования к их киберзащите и требования к проведению независимого аудита их информационной безопасности.

 

— Насколько украинские подходы соответствуют международной практике?

— Украина не изобретала велосипед при подготовке закона о кибербезопасности. Подход, используемый для определения объектов критической инфраструктуры и установления обязательств по отношению к таким объектам, соответствует подходам, применяемым и в ЕС, и в США.

В частности, схожие критерии обозначены в Директиве 2008/114/ЕС от 8 декабря 2008 года (установление и определение европейских объектов критической инфраструктуры и мер по их защите) и в Директиве 2016/1148 от 6 июня 2016 года (относительно мероприятий по установлению общей высокоуровневой безопасности сетей и информационных систем в ЕС).

 

— Какие вопросы наиболее часто адресуют юристам в сфере кибербезопасности в Украине?

— Сфера информационной безопасности и кибербезопасности как ее составной части очень обширная. Если ранее чаще возникали вопросы применения законодательства в сфере защиты персональных данных, форс-мажора по результатам кибер­инцидентов или же, к примеру, уголовной ответственности за вмешательство в работу компьютеров, информационных систем или телекоммуникационных сетей, то сегодня речь идет о более тонких моментах для правового анализа и более широком их спектре. Например, это аспекты применения облачных технологий, использование информационных ресурсов, правовая оценка причиненного ущерба и многие другие вопросы.

 

(Беседовал Алексей НАСАДЮК,

«Юридическая практика»)