Указ «О кибербезопасности»: семь наивных вопросов от бизнеса
1. Новый указ вступает в силу. Что принципиально меняется?
Указ «О кибербезопасности» — это мера, необходимость в которой давно назрела. Прежние законодательные акты в сфере информационной безопасности (ИБ) не позволяли создать единый механизм на уровне всей республики для отслеживания, реагирования на инциденты и их расследования. Однако потребность в такой системе была очень велика. Количество инцидентов ИБ, связанных с потерей информации ограниченного распространения, коммерческой, банковской тайны, персональных данных, увеличивалось лавинообразно.
Прежде было так: компания создавала ИБ-систему, фиксировала свои инциденты, расследовала их причины. Облачные провайдеры, которые хранили данные своих заказчиков, тоже были в курсе проблем. Регулятор при этом не располагал никакой конкретикой, а значит, не мог ни реагировать на происходящее, ни контролировать инциденты.
Новый указ «О кибербезопасности» предполагает создание государственного и отраслевых центров кибербезопасности, в которые каждая подведомственная организация будет передавать информацию о своих ИБ-инцидентах из собственных центров кибербезопасности. У регуляторов появятся единая база и основа для ведения контроля.
2. Всем ли придется строить центры кибербезопасности?
Касаются ли требования указа абсолютно всех юрлиц: от крупного ретейлера до, условно, офлайн-магазина в сельской местности с одним компьютером? Конечно, нет. Сейчас регулятор определяет критерии, кого обяжут создавать центры кибербезопасности, а кто должен будет просто подключиться к уже созданным отраслевым центрам.
Думаю, надо быть готовыми к тому, что центры кибербезопасности понадобятся банкам, страховым и медицинским компаниям, облачным и интернет-провайдерам — всем крупным операторам персональных данных и иной информации ограниченного распространения.
Мелких компаний, скорее всего, это коснется в части подключения к уже созданным отраслевым центрам кибербезопасности. Если какой-нибудь небольшой белорусский интернет-магазин зарабатывает в месяц, грубо говоря, 2–3 тыс. рублей, то он просто не в состоянии брать на себя расходы по обеспечению функционирования центра кибербезопасности.
Важно, чтобы закон содержал четкие и однозначные критерии отнесения. Это позволит ему функционировать эффективно, а нам — корректно его исполнять.
3. Если у компании всегда было чисто с информационной безопасностью, может, ей ничего и не надо менять?
Есть много компаний, которые вроде бы и так уделяли достаточно внимания вопросам кибербезопасности. По крайней мере ни с какими атаками или утечками они никогда не сталкивалась. Но регулятор подталкивает к выполнению определенных действий, не только чтобы установить контроль, а чтобы компании вовремя позаботились о себе и своих клиентах.
Нет здоровых, есть недообследованные — для кибербезопасности этот постулат применим полностью. Практика показывает, что информационное благополучие часто оказывается мнимым. Это подтверждает то, что за последний год на белорусском рынке произошло несколько крупных киберинцидентов и компании были вынуждены закрыть бизнес после официально зарегистрированных утечек.
Как пример, одна из компаний предоставляла сервис записи на прием в медцентры Беларуси до тех пор, пока не узнала, что ее база с 75 тыс. персональных данных продается в Telegram. Естественно, сразу начались проверки, судебные иски от физлиц. И как следствие — потеря доверия не только к данному медцентру, но и к сфере медицины в целом. К слову, эта компания пользовалась хостингом ActiveCloud, но отказалась от наших средств защиты информации, не занималась ИБ-мониторингом. Результат — крах за одно утро и закрытие бизнеса.
Так что, если даже компания считает, что у нее все в полном порядке, бездействовать — значит рисковать. Информационная безопасность строится на достаточно простой модели. Существуют понятные риски, которые ведут за собой конкретные угрозы для бизнеса. Исходя из угроз возникают задачи, под которые и выбираются средства информационной безопасности для конкретной компании.
Например, для букмекеров очень критичен риск недоступности их данных на сайте и в приложениях. Если игроки не смогут вовремя сделать ставки в лайв или с хорошим коэффициентом до матча, это приведет к тому, что они уйдут к конкурентам. И перед бизнесом встает угроза потери прибыли. Достаточно пары таких случаев недоступности, чтобы понести серьезные потери.
Что надо делать в таком случае? Во-первых, букмекер должен внедрить у себя систему мониторинга. Это нужно, чтобы видеть, все ли сервисы работают в штатном режиме. Часто бывает, что узнают о таких инцидентах после шквальных жалоб клиентов. Во-вторых, должна быть настроена система противодействия DDoS-атакам — именно из-за них сервисы становятся недоступны. В целом решением может быть размещение в защищенном облаке — среде, в которой настроены и функционируют все необходимые средства защиты информации, обеспечен мониторинг.
Нужно понимать происходящее, видеть действия внешних и внутренних пользователей, развивать грамотность в области кибербезопасности своих работников, пресекать попытки DDos-атак и — ключевое! — мониторить происходящее внутри инфраструктуры.
4. Можно ли при новом раскладе отдать кибербезопасность на аутсорсинг?
Регулятор в принципе согласен с тезисом, что каждый должен заниматься своим делом. Но специалистов в сфере информационной безопасности не так уж много, а настоящих экспертов — еще меньше. Поэтому заказывать информационную безопасность как услугу не только не запрещается, более того, я как директор по ИБ это настоятельно рекомендую.
Среди клиентов ActiveCloud, например, есть компании, состоящие из 10 человек: директора, бухгалтера и маркетологов. Откуда ей взять компетенции в области ИБ? Пригласить специалиста в штат — это от $1,5 тыс. в месяц плюс средства на приобретение, настройку и эксплуатацию средств защиты. Аутсорсер за те же деньги предоставит клиенту услугу под ключ.
Естественно, есть те, кому это не подходит. Например, если компания обрабатывает внутреннюю информацию, которая не подразумевает допуска в периметр посторонних организаций. Несколько лет назад мы проводили аудит в организации ВПК и отлично понимаем, что никакого аутсорсинга там никогда не будет.
Требования к аутсорсеру просты: прежде всего у него должна быть хорошая репутация. Рынок Беларуси в сфере информационной безопасности достаточно маленький, все друг друга знают, рекомендации найти несложно. Попросите у коллег и знакомых контакт компании, которая имеет опыт работы в вашей отрасли, знает специфику вашей работы.
5. За какие нарушения накажут и какими будут санкции?
Считается, что компания допустила нарушение в обеспечении кибербезопасности, если нарушены конфиденциальность, целостность или доступность ее информационной системы, обрабатывающей персональные данные, юридическую или медицинскую тайну и любую другую информацию, распространение и предоставление которой ограничено. Но вот достаточно интересный пример, если на сайте железной дороги недоступно расписание из-за кибератаки— информационная безопасность считается также нарушенной, хотя расписание движения поездов и является открытой информацией. Но из-за недоступности сервиса люди не могут купить билеты, а следовательно, предприятие теряет прибыль от их продажи.
Регулятор смотрит на то, как работа компании с информацией соответствует перечисленным трем критериям, и принимает решение самостоятельно на основе своих компетенций, опираясь при этом на требования законодательства Республики Беларусь в области информационной безопасности.
Если инцидент произошел в информационной системе, система защиты информации которой была аттестована и у компании реализованы процессы обеспечения ИБ, компания лишь получит предписания, которые должна будет устранить.
Но если компания не проходила аттестацию, у нее нет «безопасника», за ИБ формально отвечает администратор без соответствующих компетенций — наказание будет суровым, вплоть до статей, предусмотренных Уголовным кодексом страны в области киберпреступлений.
6. Если есть аутсорсер, в случае инцидента отвечает он или компания?
Допустим, компания обратилась к подрядчику с собственным центром кибербезопасности, а через какое-то время произошла утечка данных. В таком случае решение о том, кто будет нести ответственность — подрядчик или все же компания в лице ее руководителя, — принимается исходя из того, как составлен договор между компанией и аутсорсером.
Если есть договор об обеспечении целостности, конфиденциальности и доступности информации путем использования определенных средств, то есть была оказана услуга «информационная безопасность как сервис» и подрядчик пообещал «защиту от DDOS-атак» или «мониторинг ИБ», или «контроль систем ИБ», а вас взломали, то аутсорсера привлекут к ответственности за некачественно оказанную услугу.
Если же договор касается, например, только IT-консалтинга без предоставления конкретных мер и средств по ИБ, и безопасность клиенту никто не обещал и не гарантировал, то перевести вину за киберинцидент на аутсорсера не получится, так как конкретных услуг по организации информационной безопасности он не оказывал.
7. Ждать ли бизнесу проверок?
В указе читаем: «документ создает предпосылки для создания системы информационной безопасности на постоянной основе, а не после того, как киберинцидент произошел». Значит ли это, что к бизнесу теперь могут прийти с проверкой, даже если ничего не произошло (по аналогии с плановыми проверками относительно защиты персональных данных)? Не думаю, что этого стоит опасаться.
План проверок заранее публикуется, он известен. Специалистов, которые занимаются проверками, немного. Понятно, что они идут в наиболее крупных компаниях с большими массивами критических данных. Средним и малым организациям вряд ли стоит ждать проверок, если не будет инцидентов.
Другое дело, повторю, кибербезопасность надо строить не из-за страха проверок, а из понимания, что это залог существования вашего бизнеса. Определяйтесь, «вам шашечки или ехать».
Простые решения от ActiveCloud, чтобы вопросов было меньше
Естественно, что любые новые законопроекты вызывают волну вопросов и определенные опасения бизнеса в том, как обеспечить соответствие обновленным требованиям. Как мы уже говорили, часть вопросов и ответственности снимает сотрудничество с аутсорсером, и я могу смело рекомендовать ActiveCloud в качестве такого партнера.
То, что мы предлагаем, будет работать на кибербезопасность любой компании, в том числе в соответствии с указом «О кибербезопасности».
Защищенное облако ActiveCloud — предоставляет безопасную среду функционирования для ваших информационных систем, обеспечивая конфиденциальность, целостность и доступность данных.
Платформа BYTIS SP — набор средств защиты информации «из коробки», который позволяет выполнять 95% требований приказа № 66.
Security Consulting — услуга по поддержке компаний, не имеющих профильных специалистов и подразделений по ИБ. В формате аудитов, тестирований на проникновение, сканирований на уязвимости мы оцениваем текущее состояние информационной безопасности в компании и даем рекомендации по ее совершенствованию.
Проектирование, создание и аттестация систем защиты информации — услуга по созданию и документальному подтверждению того, что система защиты информации вашей информационной системы соответствует требованиям законодательства Республики Беларусь в области информационной безопасности.
Посещать специализированные вебинары и семинары по персональным данным и вопросам информационной безопасности. Эксперты команды ActiveCloud на постоянной основе проводят подобные открытые мероприятия, а также ведут отдельный информационный канал в Telegram.
За 20 лет работы в облачном бизнесе мы знаем, что каждый кейс уникален, и выстраиваем систему кибербезопасности для каждого клиента персонально, учитывая все нюансы и потребности заказчика.
Фото: Envato Elements
Партнерский материал