Держспецзв'язку розробила проект постанови уряду, яким передбачається проведення незалежного аудиту інформаційної безпеки (ІБ) на об'єктах критичної інфраструктури.
Метою проведення аудиту є отримання об'єктивної оцінки стану захищеності ІБ та її відповідності встановленим національним та міжнародним стандартам, а також надання рекомендацій щодо уникнення ризиків.
Законом «Про основні засади забезпечення кібербезпеки України» до об'єктів критичної інфраструктури віднесені підприємства, установи та організації в галузях енергетики, хімічної промисловості, транспорту, електронних комунікацій, у сферах життєзабезпечення населення, виробництва продуктів харчування, сільського господарства, охорони здоров'я, аварійно-рятувальні та екстрені служби та ін.
Проектом передбачена обов'язковість проведення аудиту ІБ для усіх об'єктів критичної інфраструктури, окрім банківської системи. Він здійснюється аудитором або аудиторською фірмою у сфері ІБ. На першому етапі власником або керівником об'єкта критичної інфраструктури ініціюється зустріч з аудиторами, на якій укладається договір. Адміністрація Держспецзв'язку має право проводити аудит за рахунок державних коштів.
Під час аудиту ІБ обов'язково проводиться тестування на проникнення з використанням апаратно-програмних засобів пошуку та аналізу уразливостей. За результатами складається звіт, який, серед іншого, повинен містити опис виявлених вразливостей та план уникнення ризиків. Адміністрація Держспецзв'язку має право надавати, за результатами аудиту, рекомендації, виконання яких є обов'язковим.
Аудит повинен проводитьсь не частіше, ніж раз на два роки.
Як ми писали раніше, в Україні виявили кібератаки з використанням руткита (набору програмних засобів, що забезпечують маскування об'єктів, управління, збір даних) UEFI для зараження комп'ютерів жертв. Також в країні активізувався прихований банківський троян DanaBot.
