Правові аспекти кібербезпеки бізнесу - сpk.ua
Центр правового консалтингу
Open/Close Menu Юридическая фирма ЦПК Киев
фото кібербезпека

Щорічно компанія Cisco презентує звіт з інформаційної безпеки, в якому детально розглядаються техніки і стратегії, що використовуються зловмисниками для проведення різноманітних хакерських атак. На жаль, можна помітити тенденцію, що технології удосконалюються з кожним днем, створюючи все більшу кількість загроз і шкідливого програмного забезпечення, в той час як ступінь захисту бізнесу серйозно відстає. Новини про кібернапади на інформаційні системи банків, платіжних сервісів, великих компаній переповнили веб-ресурси і викликають страх у багатьох організацій.

Однак, не варто думати, що об’єктом інтересу хакерів є лише великі компанії з високим ступенем прибутковості. Малий і середній бізнес також може бути підданий хакерській атаці. В першу чергу, це пояснюється невеликим ступенем захищеності інформаційних систем таких компаній або відсутністю будь-яких засобів захисту від загроз, використанням неліцензійного програмного забезпечення (часто – для економії коштів), а також ігноруванням корпоративного навчання на підприємстві. Наслідки хакерських атак для деяких представників малого та середнього бізнесу можуть виявитися фатальними – непереборною перешкодою стануть витрати на відновлення всіх систем, а також удар по репутації компанії.

Підвищений інтерес у кіберзлочинців викликає ринок криптовалют. За допомогою різних способів проведення атак, хакери здійснюють крадіжки електронних грошей безпосередньо у їх власника, або ж використовують для цього підручні ресурси – гаманці, біржі та інше.

Види атак

Атаки на бізнес структури можуть набувати абсолютно різних форм. Це може бути фішинг, який здійснюється, наприклад, за допомогою розсилки електронних повідомлень співробітникам. У подібному листі зловмисники запропонують жертві перейти за посиланням на певний сайт, в який вбудовано шкідливий код. Таким чином, вони отримають доступ до корпоративної мережі і зможуть викрасти необхідні дані. Дуже часто хакери використовують так звану соціальну інженерію. Суть її зводиться до того, що зловмисник вивчає аккаунти в Facebook, Instagram, LinkedIn, в пошуках інформації про особисті інтереси, хобі, контакти. З її допомогою заманити людину перейти за цікавим посиланням і досягти своєї мети набагато простіше. При цьому жертва навряд чи щось запідозрить. Також, атаки можуть бути прихованими, спрямованими на проникнення в мережу і довгостроковий збір інформації.

Окремої уваги заслуговує використання шкідливого програмного забезпечення. Ця проблема часто виникає через безтурботність співробітників і небажання використовувати кошти на ліцензійну програмну продукцію. Завантажуючи необхідні програми з мережі абсолютно безкоштовно є великий ризик «зараження» комп’ютерних систем різними вірусами, які можуть як вивести з ладу техніку, так і викрасти стратегічно важливі дані.

Кібератаки на бізнес часто приймають форму злочинів, адже завдають непоправної шкоди своїм жертвам. Як правило, такі діяння мають фінансову спрямованість, тобто здійснюються з метою вимагання, шантажу, шахрайства. Вкрадені дані продаються конкурентам або стають об’єктом викупу.

Одним з ключових чинників, який може стримувати неконтрольовані хвилі кібератак, є жорстка система покарань кіберзлочинців, що існує, наприклад, в США. Україна, на жаль, на даний момент не може похвалитися настільки розвиненим і вдосконаленим законодавством щодо притягнення до відповідальності за незаконні шкідливі дії хакерів.

Законодавство про кібербезпеку в Україні

Першим кроком на шляху до створення законодавства про кібербезпеку стало прийняття Закону про основні принципи забезпечення кібербезпеки України в 2017 році. Аналізуючи даний нормативний акт, варто відзначити, що він носить скоріше декларативний характер та не передбачає ані вимог до систем безпеки, ані інструкцій на випадок атаки. Разом з цим Законом, який має досить обмежену сферу дії, існує ряд інших підзаконних актів, які хоч і діють, але втратили свою актуальність.

Українське законодавство безсумнівно відстає від європейського і американського правового регулювання питань кібербезпеки, проте не може не тішити той факт, що Кримінальний кодекс України передбачає відповідальність за вчинення таких злочинів, як втручання в роботу автоматизованих систем, створення і розповсюдження шкідливих програм, несанкціоновані дії з інформацією, яка обробляється в комп’ютерах. З повним переліком можна ознайомитися в Розділі 6 КК України.

Як правило, вчинення такого роду злочинів тягне за собою відповідальність у вигляді штрафу, обмеження волі або виправних робіт. І тільки санкції статей про несанкціоноване втручання в роботу автоматизованих систем, створення та поширення зловмисних програм містять такий вид покарання, як позбавлення волі.

Першочергову роль в розслідуванні кібератак грає своєчасне проведення необхідних слідчих дій, під час здійснення яких неодмінно мають бути присутні фахівець в області інформаційних технологій і юрист. Їх взаємодія сприятиме зібранню всіх необхідних матеріалів для доказової бази, відповідно до норм чинного кримінального процесуального законодавства.

Довести вчинення кіберзлочинів досить складно. Відповідно до КПК України, доказами в кримінальному провадженні є фактичні дані, отримані в порядку, передбаченому законом, а джерелом доказів, в свою чергу, є свідчення, речові докази, документи та висновок експерта. Зафіксувати сліди злочину часто неможливо, адже специфіка кіберзлочинів передбачає можливість знищити сліди. Речовим доказом може стати жорсткий диск комп’ютера, однак сам по собі він не зможе надати всю істотну інформацію. Чи не єдиним належним та допустимим доказом буде висновок експерта за результатами комп’ютерно-технічної експертизи.

Однак, не тільки етап з отримання доказів буде важким. Визначити комп’ютер, з якого була здійснена атака, а також встановити особу, що безпосередньо причетна до злочину, завдання не з легких. Тому, надавати правову допомогу, стежити за ефективним проведенням розслідування, а також своєчасно звернутися до компетентного правоохоронного органу допоможе досвідчений в цій сфері адвокат.

Фахівці ЮФ «Центр правового консалтингу» в своїй практиці неодноразово захищали інтереси клієнтів, чиї підприємства постраждали від руйнівних дій хакерів. Наприклад, українська компанія-розробник програмного забезпечення для подання звітності до контролюючих органів зазнала масштабної кібератаки, через яку постраждали багато користувачів даного ПЗ. Інформація про звітність багатьох компаній була знищена вірусом, який завдав непоправної матеріальної і репутаційної шкоди розробнику. Спроба такого хакерського втручання в програмне забезпечення була порівнянна з рейдерським захопленням, проте компанія змогла вистояти завдяки швидкій і злагодженій роботі наших фахівців. Також, наші юристи змогли надати кваліфіковану допомогу клієнту, чиї грошові кошти, що зберігаються на банківських рахунках, були переведені шахраями на фірми-одноденки, шляхом незаконного проникнення в програмне забезпечення компанії.

Безпечність жертв кіберзлочинів призводить часто до непоправних наслідків, тому краще заздалегідь убезпечити себе і свою компанію від можливих атак і загроз.

Політика інформаційної безпеки

Важливим елементом функціонування будь-якої бізнес структури є політика інформаційної безпеки. Це певна сукупність правил, вимог, рекомендацій, що існують для регламентації порядку інформаційної діяльності організації і орієнтовані на підтримку інформаційної безпеки. Часто це не один цілісний документ, а кілька положень з ключовими позиціями. Наприклад, положення про відповідального за інформаційну безпеку, правила обробки персональних даних, стандарти підприємства по кожній категорії інформації, що захищається, політика реагування на кіберзагрози. Хоча законодавством України не передбачено чітке регулювання вимог до інформаційної безпеки, однак, ці юридичні документи стануть певною гарантією безпеки бізнесу.

Також, варто задуматися про те, що не лише зовнішні фактори можуть стати загрозою для бізнесу. Часто співробітники, самостійно або через погані наміри конкурентів, здійснюють крадіжку даних, завдають шкоди комп’ютерним системам. Запобігти такій ситуації або мінімізувати ризики допоможе укладення низки правових документів: посадових інструкцій, договорів про матеріальну відповідальність, угод про конфіденційність. У світі поширеною є практика застосування угод про неконкуренцію, яка укладається між роботодавцем і працівником, забороняючи останньому після звільнення працювати на конкурента, котрий здійснює діяльність в тій же сфері, що і колишній роботодавець. В Україні такий пункт договору суперечить декільком положенням чинного законодавства, тому навряд чи допоможе притягнути недобросовісного співробітника до реальної відповідальності.

Створення політики безпеки і низки правових документів – не єдина рекомендація, якій варто слідувати для того, щоб уберегти бізнес від кібератак.

По-перше, дотримуватися вимог безпеки необхідно вже на стадії створення певного продукту, сайту, системи, які будуть використовуватися під час діяльності підприємства, та обговорити з розробником ключові моменти безпеки. По-друге, варто пам’ятати, що використання неліцензійного програмного забезпечення рано чи пізно призведе до різних проблем. Важливу роль відіграє і людський фактор. Заманливе посилання з незнайомої адреси часто може зіграти злий жарт, тому важливо займатися корпоративним навчанням співробітників, проводити тренінги і доводити до відома правила кібергігіени.

Також, не менш важливим моментом є постійне використання різних технічних засобів захисту – оновлення програмного забезпечення, тестування на вразливість. Для цього можна залучити компанію, що спеціалізується на тестуванні систем і технічного аудиту. Договір на співробітництво з такими компаніями також містить ряд особливостей, які можуть залишитися непоміченими для клієнта, в разі якщо він не скористається допомогою юриста. Безтурботне ставлення до питань кібербезпеки може, в результаті, призвести до серйозних проблем. Наприклад, масштабний витік даних понад 50 мільйонів користувачів соціальної мережі Facebook, здійснений за допомогою програми для збору інформації, завдав величезної шкоди компанії, критично знизивши вартість її акцій, не зважаючи на роки її успішного існування. Інцидент спричинив розслідування правоохоронних органів і став причиною сумніву користувачів в тому, що їх дані надійно захищені.

Кібербезпека бізнесу, не зважаючи на свою гучну назву, є дуже важливим аспектом успішної діяльності підприємства, особливо якщо компанія має справу з конфіденційною інформацією, базами даних, турбується про збереження комерційної таємниці і дорожить своєю репутацією. Кібербезпека забезпечується не тільки низкою технічних методик, важливу роль в цьому відіграють юридичні засоби захисту, згадані раніше. Головне завчасно звернутися до компетентного юриста, який, ґрунтуючись на індивідуальних особливостях підприємства, проведе комплаєнс-контроль і розробить всі необхідні юридичні документи для мінімізації ризиків у сфері кібербезпеки.

 

Анна Клименко, юрист ЮФ “Центр правового консалтингу”

ООО "Центр правового консалтинга". ® ЦПК. 2005-2019. Все исключительные права на весь материал, размещенный на сайте, принадлежат ООО " Центр правового консалтинга ". Размещение материалов сайта на других площадках допускается исключительно при указании прямой видимой ссылки на первоисточник.

Pacta Sunt Servanda