10 рекомендацій, які слід врахувати при створенні плану захисту від кібератак
09.10.2018
Про те, наскільки актуальним в наш час стало питання кібербезпеки, які загрози для бізнесу несе зайва безпечність в цьому питанні і як правильно вибудувати стратегію захисту від можливих атак – в статті Дарини Сидоренко, координатор групи IT та кібербезпеки юридичної фірми Sayenko Kharenko спеціально для сайту "Сьогодні".
На превеликий жаль, після 27 червня 2017 (часу атаки RansoniWin32/Petya або вірусу Petya, як його знають в Україні) минуло вже більше року, а повноцінного закону про регулювання питання кібербезпеки Верховна рада України так і не прийняла. Закон України "Про основні засади забезпечення кібербезпеки України" (далі – Закон), який набрав чинності 9 травня 2018 року, носить більше декларативний характер. Насправді, він не містить жодних реальних вимог до компаній у налагодженні системи кібербезпеки – ані технічних вимог до системи безпеки компанії, ані рекомендацій стосовно того, що робити у випадку здійснення на вас атаки, ані стосовно того, які спеціалісти мають нести відповідальність, кого з них треба залучати до підготовки тощо. Сьогодні закон, який би містив такі вимоги, був би неймовірно актуальним та сучасним, зважаючи на свіже законодавство Європейського Союзу в аспекті захисту персональних даних, Канадського закону про цифрову приватність та інші закони, які регулюють питання інформаційної та кібербезпеки. Звісно, прийнявши Закон, уряд зробив крок на шляху до врегулювання питання кібербезпеки, але у порівнянні з вимогами до кібер та інформаційної безпеки законодавств Європейського Союзу, США та Канади українське законодавство відстає у цих питаннях щонайменше на 10 років.
Кожен власник бізнесу повинен розуміти, що налагодження системи кібербезпеки повністю залежить тільки від нього самого і є питанням суто добровільним. Але нехтувати цим питанням у 2018 році все-таки не варто. Навіть за умови досить слабкого українського законодавства у цій сфері, якщо ви працюєте з іноземними контрагентами, найімовірніше, питання кібербезпеки повстане дуже скоро.
То що ж вам варто знати і як краще підготуватись? Я пропоную 10 рекомендацій, які ви маєте взяти до уваги при створенні своєї системи безпеки. Хоча тут і йдеться про компанію, ці рекомендації стосуються не лише приватного бізнесу, і є актуальними також і для державного сектору, який, напевно, знаходиться у найбільшій зоні ризику і є дуже привабливим для кіберзлочинців.
Тож, 10 порад, як убезпечити себе від кібератаки та що робити у разі, якщо вона вже відбувається чи відбулася.
1. Усвідомте реальність та серйозність кіберзагроз
Просто прийміть той факт, що за останні двадцять років світ дуже змінився і він вже не буде таким, як раніше. Технології і новації настільки сильно проникли в наше життя, що без них деякі з нас просто не уявляють свого повноцінного життя, і все, чим ми користуємось, так чи інакше збирає про нас інформацію (що не менш важливо). Дані та інформація є найкоштовнішим ресурсом 21 століття, оскільки той, хто володіє інформацією, володіє світом. І у випадку, якщо ви чи ваша компанія володієте будь-якою інформацією, потенційно ви є у зоні ризику кібератак і можете бути атаковані хакерами або вірусною програмою, самі того не підозрюючи. Тому інформаційна обізнаність і свідомість – це зараз неймовірно важливий фактор, а часом і вимога в багатьох компаніях.
2. Створіть план!
На даний момент існує два плани, які потрібно розробити кожному підприємству, що турбується про свою кібербезпеку. Перший – це План безперервності бізнесу (англ. Business Continuity Planning, далі – BCP) а другий – План аварійного відновлення (англ. Disaster Recovery Plan, далі – DRP) (далі разом – План).
BCP – це комплексний стратегічний ряд організаційних заходів, спрямованих на зниження ризиків переривання бізнес-процесів і мінімізації негативних наслідків у разі збоїв ІТ інфраструктури. Метою DRP є забезпечення того, щоб ви та ваша команда розуміла, як потрібно реагувати на стихійне лихо або іншу надзвичайну подію, які можуть вплинути на інформаційні системи та мінімізувати негативний вплив на діяльність підприємства.
Створення Плану, напевно, є найважливішим елементом, і тому стоїть у списку другим після фактору обізнаності. Створення Плану є критично важливим, оскільки він є першим документом, до якого ви будете звертатись у випадку атаки. План – це внутрішній документ компанії, який буде визначати кроки і дії, які необхідно вчинити у випадку кібератаки. Варто пам’ятати, що розробка Плану – практично безперервний і динамічний процес, оскільки кібербатаки постійно змінюються, і тому ваш План має бути гнучким і підлаштовуватись до змін і в майбутньому забезпечувати надійний захист від нових небезпек. План має бути невід’ємною частиною ризик-менеджменту та комплаєнсу вашої компанії.
3. Визначте правильних людей
Кібербезпека вашої компанії починається з правильно підібраних людей, які будуть брати безпосередню участь у розробці, запровадженні та виконанні Плану. Якщо у вашій компанії немає спеціаліста з інформаційної безпеки, то для того, щоб скласти План, бажано такого найняти, оскільки тільки якісно підібраний спеціаліст зможе його підготувати у відповідності до особливостей саме вашої організації. Надзвичайно важливо забезпечити, щоб всі працівники, які будуть задіяні у реалізації Плану, знали про свої обов’язки, розуміли канали комунікації, структури звітності та підзвітності, які виникають у випадку інциденту з кібербезпеки. У Плані повинні бути чітко визначені внутрішні контакти та зовнішні консультанти, які внесені до контактів у реалізації Плану, щоб не було плутанини, з ким потрібно буде зв'язатися для негайного отримання підтримки.
Ви маєте розуміти, що фактичні учасники команди будуть варіюватися залежно від організації та характеру інциденту. Зазвичай до команди будуть залучені такі спеціалісти вашої компанії:
- - представники юридичного відділу та відділу комплаєнсу;
- - представники PR і маркетингового відділів;
- - HR спеціалісти;
- - спеціаліст з інформаційної безпеки;
- - та інші, в залежності специфіки вашої організації.
Досить великий перелік залучених до команди зменшує ризик того, що важливий фрагмент Плану під час інциденту буде пропущений, , кожен буде знати свої обов’язки та сферу відповідальності, якщо виникне інцидент.
4. Не бійтеся залучати інших
Для того, щоб мінімізувати ризик виникнення атаки, необхідно провести ґрунтовний аналіз технічної складової вашої безпеки, найнявши для аналізу або "білих" хакерів, або незалежну організацію, яка спеціалізується на кібербезпеці. Їхня роль полягає у тому, що вони протестують різні аспекти та рівні безпеки вашої компанії, оцінять ризики, проведуть тест на проникнення та інші тести для того, щоб визначити, наскільки ваша система готова протистояти атаці.
У випадку, коли атака відбулася, багато проблем, пов'язаних із кібербезпекою та наслідками кібератаки, вимагають спеціальних знань, щоб проаналізувати, що сталося. Для цього потрібно залучати зовнішніх спеціалістів, які проводять розслідування у сфері інформаційної безпеки та ІТ загалом. Зараз її називають IT форензікс (від англ. forensics – експертиза).
IT форензікс може бути різним. Наприклад, це можуть бути такі різновиди експертизи:
- - апаратно-комп'ютерна;
- - програмно-комп'ютерна;
- - комп'ютерно-мережева;
- - інформаційно-комп'ютерна.
5. Навчайте ваш персонал
Як вже зазначалося, обізнаність вашого персоналу – ваша сила. Комп'ютери та мережі, а також програмне забезпечення, яке їх запускає, з кожним роком стають тільки кращими та більш потужними. Правильно підібрана система, яку налаштують для вас справжні професіонали, забезпечить вам надійний захист, навіть проти найвитонченіших хакерів. Проте якщо є бажання, знайдеться і можливість. Кібернападники постійно розробляють нові способи, щоб обійти сучасні заходи безпеки, тому не нехтуйте обізнаністю вашого персоналу. Загально визнано, що людський фактор є найслабшою ланкою у ланцюжку, коли йдеться про кібербезпеку. Поінформованість, лекції і тренінги про ризики і критерії атаки мають бути невід’ємною складовою підготовки до реалізації Плану. Регулярність таких навчань не дасть можливості вашим працівникам забути про важливість кібербезпеки, що дозволить вам мінімізувати ймовірність того, що саме необізнаність вашого персоналу спричинить пролом у систему безпеки. Добре підготовлені працівники зможуть попередити можливість виникнення інциденту, пов'язаного з кібербезпекою, або принаймні зможуть швидше і краще визначити, що такий інцидент почався.
6. Практика, практика і ще раз практика!
Темп, з яким сьогодні все змінюється, є ключовим моментом у цьому пункті. Зважаючи на ці два критерії, знайте – яким би ідеальним не був ваш План, його потрібно постійно змінювати і адаптувати. Не забувайте проводити регулярні тренінги, практикуми та ініціювати фейкові кібератаки для вашого персоналу, розвиваючи у людей рефлекс діяти за планом відповіді на кібератаку у форматі "м’язової пам’яті". Це особливо важливо робити, якщо в організації існує плинність персоналу, оскільки нові працівники можуть не знатися на кібербезпеці взагалі і своєю необізнаністю можуть спричинити масштабні негативні наслідки для вашої компанії.
7. Забезпечте можливість виявити пролом в системі
Можливість вчасно виявити пролом у системі є критично важливою для компанії. Дуже часто стається так, що про пролом у безпеці дізнаються за рік, а можуть і взагалі ніколи не дізнатись, що такий відбувся. Такі ситуації відбуваються, оскільки це не те, що принесуть вам на тарілочці і скажуть: "Алярм, у вас тут пролом". Часом потрібно дуже постаратися, щоб ідентифікувати пролом, і це не так просто, як здається на перший погляд.
Ґрунтовний аналіз інциденту з кібербезпеки може бути здійснений лише тоді, коли інцидент оцінюється детально та реалістично. Відповіді на питання "Як і за яких умов відбувся інцидент?", "Який обсяг даних було скомпрометовано?" та інші зможуть дати більш детальну картинку того, що відбулось. Так само відповіді на ці питання можуть допомогти вибудувати правильну позицію захисту та повідомлення для ваших клієнтів, дані яких були викрадені.
8. Визначтеся з вашими стратегіями внутрішніх та зовнішніх комунікацій
Внутрішні комунікації неймовірно важливі, адже швидка реакція всередині компанії гарантує мінімізацію негативних наслідків, які можуть виникнути під час атаки. Коли на вас здійснили атаку, немає часу на з'ясування, з ким та як слід зв'язатися. Ви маєте реагувати миттєво! Ваш План повинен містити не тільки імена людей та їхню сферу відповідальності, а також мати номери телефонів, альтернативні номери телефонів, вторинні контакти, адреси електронної пошти, конкретні місця, де ці люди, ймовірно, будуть знаходитися.
Можливо, найважливішим питанням в аспекті комунікацій, з яким зіткнеться ваша компанія після виявлення інциденту з кібербезпеки, є рішення про повідомлення, що у вас цей інцидент відбувся.
9. Забезпечте подальше функціонування компанії
Можливість втратити вашу репутацію в епоху соціальних мереж – це перше, про що ви маєте турбуватися, і це набагато страшніше за отримання штрафу. Ризик того, що інцидент, пов'язаний із кібербезпекою, може бути неправильно сприйнятий громадськістю, так само як і невчасна реакція можуть зруйнувати репутацію, яку будували роками. Не варто забувати і про те, що ваша компанія має продовжувати працювати, який би інцидент не відбувся. Так гарним прикладом може бути Нова Пошта, яка після того, як з'явилась підозра про витік бази даних клієнтів, продовжила працювати, наче нічого не сталося. Ваш План повинен містити детальну інструкцію з відповідними кроками, необхідними для того, щоб ваша компанія зрештою не зазнала збоїв у роботі.
10. Не панікуйте!
Навіть якщо трапилося так, що на вас була здійснена кібератака, і ви втратили дані, і все по найгіршому сценарію, у вас є План, є відповідальні люди, які знають, що робити в цій ситуації, і вміють це робити, ваш персонал пройшов тренінги і має розуміння що до чого. Єдине, що вам потрібно зробити, це повідомити CERT-UA (Команда реагування на комп'ютерні надзвичайні події України (англ. Computer Emergency Response Team of Ukraine) – спеціалізований структурний підрозділ Державного центру кіберзахисту та протидії кіберзагрозам. Для чого, ви спитаєте? А для того, щоб CERT-UA знав про те, що була здійснена атака, провів аналіз і підготував рекомендації. Звісно, визнавати чи ні публічно той факт, що на вас здійснили атаку, справа ваша. Публічне визнання проблеми – це завжди потенційні репутаційні ризики, проте за умови правильного піару, вчасних комунікацій та правильно розставлених акцентів можна навіть обернути ситуацію на краще для себе. Крім того, якщо йдеться про масові кібератаки, чи не були б ви вдячними, якби вам повідомили про це і тим самим попередили про потенційну атаку? Вирішувати вам.
Висновки
Звісно, кібератака і кібербезпека сьогодні звучать ще дуже дивно і незвично для людей в Україні, але розуміння важливості та актуальності цього питання вже стає невід’ємним трендом у нашій країні. Якщо подивитись на перелік технічних спеціальностей в українських ВНЗ, то "Кібербезпека" вже присутня в багатьох, і кількість ВНЗ, які готуватимуть таких спеціалістів, з кожним роком тільки збільшуватиметься. Але найголовніше – всім нам варто розуміти, що кібербезпека починається з дотримання прописаних вами правил і персональної відповідальності кожного з членів команди.