Legal Cybersecurity Forum: участники обсудили нюансы обеспечения кибербезопасности в разных секторах

Legal Cybersecurity Forum продолжает свою работу панельной дискуссией о секторальной кибербезопасности.

«Как быстро вы получаете данные о проведенных атаках и каковы границы понятия «киберпреступление?» — поинтересовался Игорь Коцюба, вице-президент по вопросам инноваций и развития Information Systems Security Partners, модератор, у первого спикера.

Владимир Киричок, главный инспектор отдела кибербезопасности управления противодействия преступлениям в сфере информационной безопасности Департамента киберполиции Национальной полиции Украины, отвечая на вопрос модератора, сообщил, что взаимодействие субъектов обеспечения кибербезопасности в нашей стране настроено достаточно хорошо. Об этом свидетельствует то, что уведомления о кибератаке поступают практически мгновенно.

Отвечая на вторую часть вопроса, г-н Киричок отметил, что на данный момент существует острая необходимость в дополнении и расширении понятийного аппарата в этой сфере.

Позицию частного бизнеса в вопросах кибербезопасности представила Наталия Козаева, частный нотариус, глава отделения НПУ в г. Киеве, член Совета НПУ, председатель комиссии НПУ по вопросам предотвращения и противодействия киберпреступности. «Я никогда не думала, что нотариусов могут коснуться киберпреступления и непосредственно нам предстоит доказывать, что вмешательство в нашу деятельность является действительно киберпреступлением», — обозначила проблему эксперт. По ее словам, первые инциденты в этой сфере произошли в 2016 году, что привело к созданию комиссии по кибербезопасности при НПУ. Но, как подчеркнула докладчик, в период, пока у нотариусов была единая программа, подобные проблемы не возникали. Вмешательство в деятельность началось после того, как нотариусы «перешли в интернет-пространство». Первый шаг, который был предпринят для киберзащиты, — это переход на защищенные ключи, но это не обезопасило нотариусов от киберпреступлений. Наталия Козаева привела примеры громких случаев рейдерских захватов недвижимости путем вмешательства в компьютерную систему нотариуса.

Эксперт напомнила, что законодательство не предусматривает возможности возврата собственности после взлома. «Никто не сертифицирует рабочие места регистраторов», — указала г-жа Козаева на очередную проблему. При этом она выразила надежду, что государство все же предпримет шаги, направленные на защиту собственника и регистратора в сфере киберзащиты.

В свою очередь Игорь Коцюба отметил, что к процессу защиты систем частного сектора, в том числе и нотариусов, необходимо привлечь все государственные органы, регулирующие в той или иной мере эту сферу, для полноценного и качественного обмена информацией.

«НЭК «Укрэнерго» как объект критической инфраструктуры находится посередине между частным бизнесом и государственным сектором, в связи с чем обеспечение киберзащиты компании является нашей личной задачей», — обратил внимание Максим Юрков, директор по юридическому обеспечению компании. Он также отметил, что компания стремится к автоматизации многих процессов, что приводит к переосмыслению требований относительно кибербезопасности. По словам эксперта, в отличие от государственных компаний и частного сектора НЭК «Укрэнерго» имеет средства на самостоятельное обеспечение безопасности. Но, как считает спикер, средства не ключевой вопрос, главная задача — это вопрос ответственности, и не только офицера по защите данных, но и сотрудников компании в целом.

Ситуацию в банковском секторе проанализировал Денис Абдулов, начальник отдела по информационной безопасности АО «Дойче банк ДБУ». По его мнению, банки с иностранным капиталом более подготовлены в вопросах защищенности, поскольку, как правило, работают по международным стандартам.

Но и у остальных представителей банковского сектора, банков без иностранного капитала, ситуация улучшается. Однако связано это не с пониманием топ-менеджмента, с необходимостью выполнения требований регулятора.

«Владелец системы обязан обеспечить защиту информации и проведение государственной экспертизы», — напомнил законодательные нормы Юрий Прокопенко, директор по кибербезопасности ЧАО «Киевстар». Как и предыдущий спикер, он уверен, что важным аспектом является именно привлечение к ответственности лиц, занимающихся обеспечением безопасности системы, в случае вмешательства в ее деятельность извне.

Для операторов телекоммуникаций применима такая же система, поскольку у клиентов сервиса должны быть гарантии, что данный сервис соответствует требованиям киберзащиты.

Возвращаясь к вопросу субъектов критической инфраструктуры, г-н Прокопенко отметил, что на сегодняшний день это субъективная позиция государственных органов, поскольку в Украине отсутствует законодательство, устанавливающее критерии, по которым тот или иной субъект должен относиться к критической инфраструктуре.

Завершил сессию доклад Фарида Сафарова, генерального директора директората цифровой инфраструктуры на транспорте Министерства инфраструктуры Украины. Он сообщил, что было принято решение создать отраслевой центр киберзащиты при Министерстве, который позволит моментально реагировать на чувствительные сферы и тем самым обезопасить отрасль от кибератак.

Подводя итоги сессии, модератор напомнил, что топ-менеджмент любой компании должен быть обеспокоен вопросами киберзащиты, особенно вопросом установления ответственности должностного лица, занимающегося обеспечением информационной безопасности.