Конфіденційність та цілісність інформаційних систем. Зобов'язання чи необхідна стратегія управління ризиками підприємства?

Дотримання вимог кібербезпеки в умовах війни та зростаючої кількості кібератак має ключове значення як для іміджевих, так і для фінансових питань багатьох суб'єктів господарювання. Відтак, цифрова загроза безпеці даних є одним із найбільших ризиків для бізнесу сьогодні.  

У чому полягає важливість кібербезпеки підприємства?    

Кібербезпека на підприємстві є не лише технічною сферою, а й невід'ємною частиною бізнес-стратегії та визначається як усі види діяльності, спрямовані на мінімізацію ризиків, що загрожують інформаційно-комунікаційним технологіям та функціонуванню у кіберпросторі.    

Кібербезпека - це процес, спрямований на забезпечення конфіденційності, цілісності та доступності інформаційних систем, мереж, програм і даних. Вона включає заходи з управління ідентифікацією, виявленням, захистом, реагуванням та відновленням.  

До таких заходів, зокрема, належать забезпечення безпеки процесів, превентивні дії, такі як запобігання кіберінцидентів і підвищення обізнаності про відповідну поведінку в Інтернеті, а також оснащення відповідними технологіями та рішеннями для забезпечення захисту даних.  

Безумовно, кожне підприємство, яке прагне подбати про кібербезпеку, повинно визначитися, що захищати, як і від яких загроз потрібно здійснювати відповідні заходи. Користувач, пристрої та дані - це ті сфери, які завжди потребуватимуть захисту.  

Ефективний захист від кібератак вимагає від підприємства розробки відповідних критеріїв, принципів та організаційних процесів.  

Отож, розроблені та впроваджені на підприємстві заходи з кібербезпеки дозволяють:   

• захищати дані - кожне підприємство обробляє дані, які є цінними для його роботи - від інформації про клієнтів до секретних бізнес-планів; 

• зміцнити довіру партнерів - якщо клієнти дізнаються про витік їхніх даних, довіра до бренду може бути безповоротно зруйнована; 

• уникнути витрат - порушення безпеки може призвести до величезних як фінансових, так і репутаційних витрат. 

Законодавча база і стан кібербезпеки в Україні   

За даними дослідження, яке проводилося за ініціативою підкомітету з кібербезпеки EBA та CyberTech комітету Асоціації IT Ukraine за сприяння Аспен Інституту Київ, що реалізує Програму «Діалог про кібербезпеку», за підтримки Проєкту USAID «Кібербезпека критично важливої інфраструктури України», ключовий сегмент українського ринку кібербезпеки  - мережева безпека. Найшвидше зростання демонструють хмарна безпека, захист даних та захист кінцевих точок, що відображає зростаючий попит на нові технології та рішення в Україні. В документі також  представлений аналіз ключових технологій, які змінюють та трансформують ринок кібербезпеки країни. Так, згідно з даним дослідженням, повномасштабна війна Росії спричинила сплеск кібератак в Україні, підвищивши попит на автоматизовані рішення та інноваційні технології.  

Відтак, згідно з даними дослідження, у 2024 році, кіберрішення на українському ринку переважають з часткою 57%. Лідерство України обумовлено воєнними чинниками - війна збільшила кількість та складність кібератак на Україну, що призвело до швидкого впровадження автоматизованих систем, які потребують меншого втручання людини та пошуку негайних і неочікуваних рішень. 

Окрім того, у дослідженні зазначено, що основними рушійними силами ринку в Україні є цифровізація та зростання ризику реальних втрат від кібератак. Іншими драйверами зростання ринку, відповідно до даних дослідження є: 

• широке впровадження цифрових рішень у бізнесі та державному секторі; 

• постійні російські атаки, спрямовані на критичну інфраструктуру, бізнес та державні сервіси; 

• зростання фінансової та репутаційної шкоди від кібератак; 

• зріст використання штучного інтелекту; 

• стимулювання ринку проєктами та програмами міжнародної технічної допомоги. 

Що стосується законодавчої бази, то за безпеку цифрових даних в Україні відповідає Закон України “Про основні засади забезпечення кібербезпеки України”, який визначає принципи державної політики у сфері кібербезпеки, повноваження державних органів, підприємств, установ, організацій, осіб та громадян у цій сфері, основні засади координації їхньої діяльності із забезпечення кібербезпеки. 

Оскільки Україна на шляху вступу до Європейського економічного простору, то імплементаційні процеси, безумовно, торкнулися і цієї сфери.  

Відтак, з метою імплементації Директиви (ЄС) 2022/2555 Європейського Парламенту та Ради від 14 грудня 2022 року про заходи щодо високого спільного рівня кібербезпеки на території Союзу (NIS 2), внесення змін до Регламенту (ЄС) N 910/2014 і Директиви (ЄС) 2018/1972, на розгляд Верховної Ради України внесений проєкт Закону України “Про внесення змін до деяких законів України щодо удосконалення процедур нагляду за кібербезпекою та запровадженням європейських схем сертифікації кібербезпеки”.  

Внесення змін до національного законодавства щодо кібербезпеки зумовлене тим, що аналіз норм Закону України "Про основні засади забезпечення кібербезпеки України" виявив відсутність цілої низки законодавчих механізмів, які є необхідними для забезпечення кібербезпеки.  

Відтак, державна політика у сфері кібербезпеки має бути змінена та набути динамічного характеру регулювання, оскільки ризики сучасного світу постійно змінюються, а відповідно до них можуть змінюватись пріоритети та потреби у регуляторному впливі. 

Натомість вищезгадана Директива ЄС (NIS 2) приділяють велику увагу необхідності забезпечення безпеки ланцюга постачання. Новий регламент, з одного боку, зобов'язує важливих і ключових суб'єктів забезпечити належні заходи у сфері безпеки ланцюга постачання, а з іншого боку, він накладає низку зобов'язань на деяких постачальників ІТ-послуг, як ключових або важливих суб'єктів. 

Відтак, розвиток співпраці та зв'язків між суб'єктами господарювання означає, що безпека одного з цих суб'єктів залежить від рівня безпеки, який надають треті сторони: постачальники товарів, рішень чи послуг. Особливо важливим є запровадження відповідних заходів для захисту окремих елементів ланцюга поставок від кібератак. Не менш важливим вважається впровадження адекватних рішень для пом'якшення наслідків таких атак.  

Що може зробити підприємство?  

Розробка стратегій і впровадження рішень та інструментів, які забезпечують безпеку в цифровому середовищі, це той необхідний мінімум, який забезпечить підприємству захист комп'ютерних систем, мереж і даних від атак і загроз, пов'язаних із кіберзлочинністю.  

З метою досягнення даних цілей, варто прагнути до: 

• Безпеки мережі  

За допомогою моніторингу мережевого трафіку та блокування ненадійних джерел, регулярного сканування та оновлення, які допоможуть захистити від шкідливих програм; забезпечення безпечного доступу до ресурсів компанії для співробітників, які працюють віддалено.  

•   Тренінги для співробітників і керівників 

Регулярні тренінги з інформаційної безпеки можуть допомогти співробітникам розпізнавати та уникати загроз.  

• Безпеки зв'язку, через: 

• Використання зашифрованих з'єднань для захисту даних, що надсилаються через Інтернет; 

• захист електронної пошти - використання двофакторної аутентифікації та інші методи захисту електронної пошти; 

• регулярне резервне копіювання - автоматичне резервне копіювання даних може забезпечити захист у разі атаки програм-вимагачів; 

• використання надійних програмних інструментів та продуктів, які підтримують найвищі стандарти інформаційної безпеки.   

Отже, розуміння того, що конфіденційність та цілісність інформаційних систем є  надважливою сферою в діяльності підприємства, є першим кроком до захисту вашого бізнесу в цифровому світі. Застосування правильних інструментів і методів може значно мінімізувати ризик атаки та нейтралізувати загрози для вашого бізнесу.