Официально в Европейском Союзе и США октябрь считается месяцем знаний по кибербезопасности. Legal Cybersecurity Forum включен в список официальных мероприятий, которые будут проходить в Украине в рамках европейского месячника кибербезопасности. Этот форум, организованный газетой «Юридическая практика» при поддержке генерального партнера — Asters, состоялся в Киеве 2 октября с.г.

В течение дня участники обсудили аспекты государственной политики в сфере кибербезопасности, нюансы секторальной кибербезопасности, виды таких нарушений и особенности управления рисками.

Киберстройка

В рамках первой дискуссии были раскрыты такие вопросы, как текущее состояние кибербезопасности в Украине, организационно-правовые и другие меры по повышению киберустойчивости Украины, регулирование киберзащиты критической инфраструктуры, применение инструментов государственно-частного партнерства в этой сфере.

«Сфера кибербезопасности не только становится привлекательной для представителей бизнеса, но и в целом является приоритетным направлением», — уверен Юрий Котляров, партнер Asters.

Обозначила текущие состояние дел на государственном уровне Надежда Литвинчук, государственный эксперт Совета национальной безопасности и обороны Украины. «Цивилизационное развитие мира и технологий в частности привело к тому, что киберпространство оказалось в фокусе внимания лидеров многих стран», — отметила эксперт.

По ее словам, несмотря на то что государственными органами в сфере кибербезопасности предпринимались шаги для оптимизации нормативных актов в этой сфере, ключевой документ был принят лишь в 2016 году и определил Стратегию кибербезопасности Украины. В то же время, как подчеркнула докладчик, важный вопрос, который волнует общество, касается законодательного обеспечения киберзащиты критической инфраструктуры. При этом она обратила внимание, что подготовленный Государственной службой специальной связи и защиты информации Украины (Госспецсвязи) перечень объектов критической инфраструктуры правительством так и не был утвержден.

Продолжил тему законодательного обеспечения сферы киберзащиты Александр Чаузов, первый заместитель руководителя Госспецсвязи. По его словам, существует большой дефицит специалистов в сфере киберзащиты, причем уровень заработной платы в этом случае не является проблемой. Для улучшения ситуации, по мнению спикера, целесообразно обеспечить рынок специалистами в этой области. Кроме того, спикер уверен, что Украине необходимо новое законодательство о государственно-частном партнерстве (ГЧП) в сфере кибербезопасности.

«Как вы относитесь к монополии Госспецсвязи относительно оценки защищенности государственных информационных ресурсов?» — поинтересовался модератор у Александра Чаузова. По словам эксперта, монополии нет, поскольку международные эксперты проводят аудит в государственных органах, но бывает так, что проверки недостаточно качественные, в связи с чем он поддерживает допуск краудсорсинговых платформ к аудиту государственных органов в сфере киберзащиты, но с ограничением.

Егор Аушев, основатель компании этических хакеров Hacken и Cyber School, также поддержал идею привлечения таких платформ к проведению аудита. В то же время эксперт отметил, что, несмотря на положительные сдвиги в сфере законодательного обеспечения киберзащиты, реформа продвигается недостаточно быстро и не очень структурированно. Он предложил определить единую модель, которую согласуют представители государственных органов и частного сектора. Основными целями для такой модели должны быть в первую очередь закрепление международных стандартов в национальной системе кибербезопасности, дерегуляция и демонополизация госсектора в сфере киберзащиты.

Завершил сессию доклад Михаила Чайкина, советника по кибербезопасности U.S. Civilian Research & Development Foundation. Спикер выразил надежду, что новая национальная стратегия в сфере кибербезопасности будет более структурированной. Он разделяет мнение предыдущих спикеров относительно гармонизации законодательства в сфере ГЧП и применения программ Bug Bounty (поиск ошибок за вознаграждение). По его словам, внедрение такого подхода станет ключом к информационной безопасности.

Затронул эксперт и такую проблему, как непонимание руководителями госорганов процесса обеспечения кибербезопасности и его назначения. Вопросы вызывает и законодательное закрепление их ответственности в этой сфере.

«Система современного украинского законодательства пока недружелюбна к привлечению краудсорсинговых платформ, но я очень надеюсь, что подходы в этой сфере в ближайшее время будут пересмотрены», — отметил Юрий Котляров.

Секторальный взгляд

Продолжила форум панельная дискуссия о секторальной кибербезопасности.

«Как быстро вы получаете данные о проведенных «атаках» и каковы границы понятия «киберпреступление»?» — поинтересовался Игорь Коцюба, вице-президент по вопросам инноваций и развития Information Systems Security Partners, модератор, у первого спикера.

Владимир Киричок, главный инспектор отдела кибербезопасности управления противодействия преступлениям в сфере информационной безопасности Департамента киберполиции Национальной полиции Украины, отвечая на вопрос модератора, сообщил, что взаимодействие субъектов обеспечения кибербезопасности в нашей стране настроено достаточно хорошо. Об этом свидетельствует то, что уведомления о кибератаке поступают практически мгновенно.

Отвечая на вторую часть вопроса, г-н Киричок отметил, что на данный момент существует острая необходимость в дополнении и расширении понятийного аппарата в этой сфере.

Позицию частного бизнеса в вопросах кибербезопасности представила Наталия Козаева, частный нотариус, глава отделения Нотариальной палаты Украины (НПУ) в г. Киеве, член Совета НПУ, председатель комиссии НПУ по вопросам предотвращения и противодействия киберпреступности. «Я никогда не думала, что нотариусов могут коснуться киберпреступления и непосредственно нам предстоит доказывать, что вмешательство в нашу деятельность является действительно киберпреступлением», — обозначила проблему эксперт. По ее словам, первые инциденты в этой сфере произошли в 2016 году, что привело к созданию комиссии по кибербезопасности при НПУ. Но, как подчеркнула докладчик, в период, пока у нотариусов была единая программа, подобные проблемы не возникали. Вмешательство в деятельность началось после того, как нотариусы «перешли в интернет-пространство». Первый шаг, который был предпринят для киберзащиты, — это переход к применению защищенных ключей, но это не обезопасило нотариусов от киберпреступлений. Наталия Козаева привела примеры громких случаев рейдерских захватов недвижимости путем вмешательства в работу компьютерных систем нотариусов.

Эксперт напомнила, что законодательство не предусматривает возможности возврата собственности после взлома. «Никто не сертифицирует рабочие места регистраторов», — указала г-жа Козаева на очередную проблему. При этом она выразила надежду, что государство все же предпримет шаги, направленные на защиту собственника и регистратора в сфере киберзащиты.

В свою очередь Игорь Коцюба отметил, что к процессу защиты компьютерных систем частного сектора, в том числе и нотариусов, необходимо привлечь все государственные органы, регулирующие в той или иной мере эту сферу, для полноценного и качественного обмена информацией.

НЭК «Укрэнерго» как объект критической инфраструктуры находится посередине между частным бизнесом и государственным сектором, в связи с чем обеспечение киберзащиты компании является нашей личной задачей», — обратил внимание Максим Юрков, директор по юридическому обеспечению компании. По его словам, компания стремится к автоматизации многих процессов, что приводит к переосмыслению требований относительно кибербезопасности. В отличие от государственных компаний и частного сектора НЭК «Укрэнерго» имеет средства на самостоятельное обеспечение безопасности. Но, как считает спикер, средства не ключевой элемент, главное — это вопрос ответственности, и не только офицера по защите данных, но и сотрудников компании в целом.

Ситуацию в банковском секторе проанализировал Денис Абдулов, начальник отдела по информационной безопасности АО «Дойче банк ДБУ». По его мнению, банки с иностранным капиталом более подготовлены в вопросах защищенности, поскольку, как правило, работают по международным стандартам. Но и у остальных представителей банковского сектора, банков без иностранного капитала, ситуация улучшается. Однако связано это не с пониманием топ-менеджмента, а с необходимостью выполнения требований регулятора.

«Владелец системы обязан обеспечить защиту информации и проведение государственной экспертизы», — напомнил законодательные нормы Юрий Прокопенко, директор по кибербезопасности ЧАО «Киевстар». Как и предыдущий спикер, он уверен, что важным аспектом является именно привлечение к ответственности лиц, занимающихся обеспечением безопасности системы, в случае вмешательства в ее деятельность извне.

Для операторов телекоммуникаций применима такая же система, поскольку у клиентов сервиса должны быть гарантии, что данный сервис соответствует требованиям киберзащиты.

Возвращаясь к вопросу объектов критической инфраструктуры, г-н Прокопенко отметил, что в настоящее время это субъективная позиция государственных органов, поскольку в Украине отсутствует законодательство, устанавливающее критерии, по которым тот или иной объект должен относиться к критической инфраструктуре.

Завершил сессию доклад Фарида Сафарова, генерального директора директората цифровой инфраструктуры на транспорте Министерства инфраструктуры Украины. Он сообщил, что было принято решение создать отраслевой центр киберзащиты при министерстве, который позволит моментально реагировать на угрозы в уязвимых сферах и тем самым обезопасить отрасль от кибератак.

Подводя итоги сессии, модератор напомнил, что топ-менеджмент любой компании должен быть обеспокоен вопросами киберзащиты, особенно вопросом установления ответственности должностного лица, занимающегося обеспечением информационной безопасности.

Кибернарушения

Обговорив вопросы, касающиеся государственной политики в сфере кибербезопасности и секторальной кибербезопасности, участники форума приступили к обсуждению кибернарушений. Модератором дискуссии выступил младший партнер АО Juscutum Владимир Рудниченко. Участники сессии: первый заместитель начальника Департамента контрразведывательной защиты интересов государства в сфере информационной безопасности — руководитель ситуационного центра обеспечения кибербезопасности Службы безопасности Украины (СБУ) Максим Литвинов, заместитель начальника управления — начальник первого отдела управления информационных технологий и программирования Департамента киберполиции Национальной полиции Украины Станислав Самойлов, партнер Asters Сергей Гребенюк, руководитель юридического департамента Sport Labs Group Татьяна Харебава, руководитель юридического департамента Moneyveo Андрей Котик, заместитель начальника службы безопасности — начальник внутренней и информационной безопасности корпорации «Биосфера» Сергей Никитченко.

Самой топовой темой в последнее время, по словам Сергея Гребенюка, стало «минирование». Сообщение о минировании блокирует работу институции на несколько часов, и речь идет не только о судах и государственных органах, но и о бизнес-центрах. Один из клиентов Asters, пострадавший от так называемого минирования, поставил юристам задачу вычислить и наказать нарушителя. Они его нашли (при содействии СБУ), дело сейчас находится в суде. Но в практике г-на Гребенюка были и более сложные ситуации, когда дело уходило не столько в чисто «правовую компетенцию», сколько в компетенцию СБУ. Сергей Гребенюк поделился занимательной статистикой: за последние несколько лет ­показатели ­статистики ­уголовных производств по классическим «киберстатьям» выросли в десять раз. И с реализацией на практике проекта «Государство в смартфоне» эта ситуация только усугубится.

Максим Литвинов сообщил, что они работают над созданием системы, которая покажет «уровень фейковости» сообщения о минировании и позволит компетентным органам выбирать, на какое уведомление реагировать в первую очередь.

Когда в организацию приходит уведомление о минировании, необходимо действовать в соответствии с политикой безопасности и обратиться в правоохранительные органы. На этом внимание акцентировал Станислав Самойлов. Также он остановился на необходимости юридической фиксации факта поступления уведомления представителями компании. К примеру, если сообщение пришло по е-mail, нужно сохранить его в формате .eml. Это некий цифровой след нарушителя. Для чего вообще фиксировать нарушение? Чтобы у стороны защиты не было оснований усомниться в происхождении уведомления. Спикер отметил, что все больше прокуроров и следователей начинают глубоко разбираться в электронных доказательствах и их применении в уголовном процессе. Максим Литвинов согласился с коллегой и отметил, что динамика понимания является стремительной, однако проблем, связанных со сбором доказательств, от этого не уменьшается.

Сергей Никитченко в свое время занимался раскрытием киберпреступлений, поэтому при «киберинциденте» советует сразу обращаться к специалисту, ведь технологии развиваются семимильными шагами. На целесообразность и эффективность традиционных следственных (розыскных) действий в расследовании киберпреступлений указала Татьяна Харебава. Она выделила самые распространенные виды киберпреступлений: нарушения, касающиеся конфиденциальности, целостности и доступности компьютерных данных и систем; правонарушения, связанные с нарушением авторских и смежных прав; правонарушения, связанные с содержанием; правонарушения, связанные с использованием компьютерных систем.

На «киберинцидентах» и мошенничестве в онлайн-бизнесе сосредоточился Андрей Котик. В числе возможных причин мошенничества (фрода) он отметил следующие: отсутствие связи между клиентом и платежным инструментом, открытые источники доступа к персональным данным, отсутствие финансовой грамотности у потенциальных клиентов FinTech-компаний. Говоря о перспективах уменьшения количества фактов мошенничества, Андрей Котик выделил создание единого реестра идентификационных номеров эмитентов платежных карт — разрешение верификации карт до операции, закрытие открытых реестров с персональными данными, внедрение новых технологических решений по верификации пользователей BankID, Mobile ID, Face ID.

Помимо рекомендаций по «информационной гигиене» эксперты поделились и простыми лайфхаками. Г-н Литвинов рекомендует использовать два компьютера, один с подключением к интернету, другой — без, и два телефона: для рабочих контактов и домашних. Г-н Самойлов убежден, что в современной компании обязательно должна быть принята политика кибербезопасности, а также должны проводиться контрольные срезы для понимания и соблюдения сотрудниками этих политик.

Управление рисками

Обсуждение практических кейсов по управлению киберрисками стало лейтмотивом последней сессии форума. Модератором дискуссии выступил управляющий партнер Stron Legal Services Олег Дерлюк. Среди спикеров — партнер Signature Litigation (Великобритания) Гермес Марангос, офицер по защите данных авиакомпании «Международные авиалинии Украины» Станислав Коваленко, визионер CIOneer Андрей Погорелый, заместитель директора по правовым вопросам YouControl Даниил Глоба, специалист по практической кибербезопасности, изобретатель и учредитель компании Security Services Group Юрий Мелащенко и венчурный партнер TA Ventures Игорь Перция.

На киберстраховании как способе управления киберрисками остановился Гермес Марангос. Он отметил, что упредить хакерские взломы практически невозможно, поскольку они тщательно готовятся, иногда в течение нескольких месяцев. Он убежден, что компании должны страховать риски возможной утечки данных.

«Когда мы оцениваем стартап с точки зрения вливания инвестиций, оцениваем несколько пунктов, в том числе IT-инфраструктуру», — заверил Игорь Перция. По его словам, есть кейсы, когда компании разваливаются в связи с потерей данных, но это риск, и инвестиционные фонды готовы его принять, ведь в некоторые стартапы стоят очереди инвесторов. Г-н Перция считает, что «киберсекьюрити» — это энный пункт, на который обращает внимание стартап, он точно не в списке приоритетных.

Станислав Коваленко раскрыл детали кейсов с участием British Airways, Facebook Inc и акцентировал внимание на необходимости разработки, внедрения и соблюдения политики безопасности и процедур по защите данных. «Правильно написанная политика — это 50 % успеха. Если вы не можете написать политику собственными силами — обратитесь к специалистам», — посоветовал спикер.

Андрей Погорелый считает, что самым слабым звеном в «киберсекьюрити» являются люди. Как изменялись цели злоумышленников? Сначала это была блокировка систем с целью шантажа и выкупа, репутационный ущерб, промышленный шпионаж, теперь — техногенные катастрофы, использование мощностей против третьих компаний, влияние на результаты выборов, разжигание межнациональных конфликтов. «Мы оставляем много цифровых следов и будем оставлять еще больше», — предостерег г-н Погорелый и добавил, что мы не в полной мере контролируем информацию, которую генерируем.

Аспекты «права на забвение» осветил Даниил Глоба. В Украине это право вообще не соблюдается, наоборот, данные сохраняются, да еще и подаются под соусом права на информацию. И пока государственные реестры не приведены в соответствие с General Data Protection Regulation, спикер советует пользоваться этим и рассматривать как конкурентное преимущество для бизнеса. Юрий Мелащенко рассказал о практической кибербезопасности для публичных лиц и отметил, что жизни «под прицелом» следует опасаться тем, кто имеет оппонентов, конкурентов, в том числе со стороны спецслужб.  Спикер также рекомендует ограничить размещение информации в социальных сетях. Если ее там не будет — нечего будет и удалять.

«Кибербезопасность должна распространяться на широкий круг сфер и не должна ограничиваться исключительно защитой частной информации — хотя это, безусловно, один из главных вопросов. Кибербезопасность может обеспечить также фактическую безопасность», — резюмируя, подчеркнул модератор Олег Дерлюк и добавил, что государственные реестры в будущем, скорее всего, будут функционировать при помощи технологии блокчейн.

На этой ноте Legal Cybersecurity Forum завершил свою работу.

Светлана ТАРАСОВА, Кристина ПОШЕЛЮЖНАЯ • «Юридическая практика»

ПРЯМАЯ РЕЧЬ

К диалогу готовы

Юрий КОТЛЯРОВ, партнер Asters

Кибербезопасность в юридической среде набирает обороты и все меньше ассоциируется только с киберинцидентами. Очень важно, что юристы все больше становятся вовлеченными в управление киберрисками при обеспечении кибербезопасности.

Не менее важно, что представители ключевых стейкхолдеров государства в этой сфере готовы к диалогу о политике, стратегии и приоритетах. Как обычно, сохраняется надежда, что за диалогом последуют действия.

Далеко не на все вопросы мы услышали ответы со стороны представителей государства. Но одно все-таки удалось прояснить. Это касается «монополии» Госспецсвязи на осуществление тестирования государственных информационных ресурсов на уязвимости. По крайней мере публично была заявлена позиция (и это уже прорыв), что такая «монополия» может быть исключена. Речь идет о возможности внедрения краудсорсинговых программ (например, Bug Bounty).

Применение в США таких программ, как Hack the Pentagon, Hack the Army, Hack the Air Force, говорит не о том, что у этих ведомств меньше секретов, чем у Госспецсвязи, а о том, что нужно применять все прогрессивные методы с целью защиты своих ресурсов.

QUIZ

Киберопрос

Мало кто из присутствующих в зале смог дать ответ на вопрос, когда произошла первая кибератака. Как пояснил Николай Гелетий, в 1834 году фактически был взломан телеграф, то есть данные, которые передавались сигнальным способом, были недостоверными, в связи с чем такие действия приравнивают к первой кибератаке.

Отметим, что многие участники форума знают, как часто в мире происходят кибератаки: каждые 39 секунд. «Для всего мирового сообщества заявлять о кибератаке является нормой. Более того, для многих компаний это является обязанностью, в противном случае может наступить серьезная ответственность», — обратила внимание г-жа Белякова.

Эксперты ознакомили участников с исследованием, проведенным компанией в странах Центральной и Восточной Европы, предварительно предложив ответить на те же вопросы, что и представители более 100 компаний.

«95 % кибератак связаны с человеческим фактором», — подчеркнула Ольга Белякова, анализируя ответы на очередной вопрос. По мнению эксперта, предотвратить кибератаку нельзя — можно лишь уменьшить ее влияние. Поэтому целесообразно провести эффективное обучение сотрудников и обозначить круг ответственных лиц с конкретными функциональными обязанностями каждого.

По результатам игры победители были награждены памятными призами от экспертов.