Кібербезпека бізнесу в Україні

Про те, як убезпечити юристам свій бізнес від кібератак, як правильно побудувати роботу IT- департаменту та що необхідно знати про технологію інформаційної безпеки, «Юридична газета» поговорила із директором з технологій ISSP (Information Systems Security Partners) Сергієм Маковецем, керівником проектів Intecracy Group Аліною Лінкевич та CEO компанії Intecracy Deals Олександром Вернигорою.

– Сергію, які поради ви можете надати юридичним фірмам, для того щоб забезпечити кібербезпеку? На що необхідно звернути увагу IT-департаменту юрфірми в цьому напрямку?

С.М.: Перший крок для юридичної фірми, яка досі не мала жодного уявлення про те, що таке інформаційна безпека, та як вибудовувати подібні процеси у компанії – це виділити кошти на профільного спеціаліста (відправити власного співробітника на навчання чи запросити до штату фахівця), який куруватиме стан і подальший розвиток інформаційної безпеки. Без такої людини, яка візьме на себе відповідальність за кібербезпеку в компанії, неможливо буде налагодити процеси захисту. Тому перший крок – знайти таку людину і наділити її відповідними повноваженнями. Звичайно, існують всім відомі загальні рекомендації щодо безпеки – стандартна кібергігієна.

– Як відбувається перевірка компанії на кібербезпеку?

С.М.: Процедуру початкової перевірки компанії умовно можна розділити на фази два етапи. Перший – оцінка поточного стану компанії на наявність компрометацій, що відбувається за допомогою технічної експертизи та розслідування інцидентів, якщо вони відбувалися. Друга – оцінка зрілості наявних процесів та розробка стратегії щодо розвитку інформаційної безпеки (аудит за ISO-стандартом).

– Які гарантії кібербезпеки Ваша компанія може надати юрфірмам?

С.М.: Гарантія полягає у підвищенні рівня захищеності компанії у порівнянні з поточним станом. Наскільки цей рівень підвищиться – залежить від обсягу послуг, які замовляє компанія в інтегратора з кібербезпеки; від рівня зрілості процесів всередині компанії; від рівня взаємодії внутрішніх спеціалістів з фахівцями інтегратора (оскільки це не повністю аутсорсинговий процес, а тісна співпраця компанії-інтергратора з компанією-замовником)

– Які існують технології інформаційної безпеки?

С.М.: Технологій дуже багато. Їх застосування залежить від мети заходів (зниження потенційного збитку чи зниження ймовірності реалізації загроз). Однак фактично кібербезпека забезпечується у зв’язці «технології – процеси – люди».

– Що робити юрфірмі, яка постраждала, наприклад, від вірусу Petya або від якогось іншого? Чи є шанс врятувати (відновити) дані?

С.М.: Насправді, є шанси відновлення. Вони залежать від специфіки атаки, а також від специфіки (типу) алгоритмів шкідливого ПО. Необхідно розібратися в тому, що призвело до атаки, провести розслідування для ідентифікації вразливих місць, які дали змогу шкідливому ПО розповсюдитися. Далі потрібно вжити заходів щодо вдосконалення процесів для мінімізації подібних інцидентів у майбутньому.

– Які поради щодо збереження даних Ви можете надати компаніям?

С.М.: Щонайменше, періодично необхідно робити резервне копіювання даних. Бажано зберігати дані у відокремленому сегменті, щоб уникнути ситуації одночасного знищення (пошкодження) основних і резервних копій.

– Безпека інформації, яка міститься в документах, з якими працює будь-яка юридична фірма, є дуже важливою. Олександре, які поради щодо безпеки роботи з документами Ви можете надати?

О.В.: На сьогодні бізнес вже зрозумів, що зберігання документів у паперовому вигляді не гарантує безпеки інформації. Ніхто не застрахований від незаконних дій правоохоронних органів або недобросовісних дій конкурентів, які намагаються отримати ті чи інші документи будь-якою ціною. Тому зрозуміло, що єдиним правильним рішенням у цій ситуації є перехід на електронний документообіг. Наразі для цього є всі можливості. Можу впевнено про це говорити, виходячи з досвіду роботи системи Deals, яка гарантує можливість підписання, пересилання та зберігання документів онлайн у межах захищеної платформи.

– Аліно, а що гарантує безпеку роботи в Deals?

А.Л.: Система Deals створена на платформі UnityBase. Це головна гарантія безпеки Deals. UnityBase – це високопродуктивна, вітчизняна RAD платформа, яка була розроблена консорціумом Intecracy Group та призначена для створення систем рівня Enterprise (національного рівня). Платформа забезпечує високу відмовостійкість та безпеку, можливість функціонального розвитку в довгостроковій перспективі, високий рівень інтеграції з іншими додатками. Спектр завдань, які можна вирішувати за допомогою платформи, практично необмежений.

У рішеннях, що реалізовані на базі платформи UnityBase Defense, використовується низка підходів та рішень, які дозволять організувати надійний захист інформації:

  • авторизація за допомогою ЕЦП;
  • шифрування даних в реальному режимі часу (шифрування з використанням алгоритмів, заснованих на еліптичних
  • кривих, відповідних ДСТУ 4145-2002 та ДСТУ ГОСТ 28147-89, з використанням алгоритму Діффі-Хелмана для
  • узгодження сесійного ключа);
  • реалізовано низку функцій, які дозволили підвищити рівень захисту від несанкціонованого доступу;
  • аудит;
  • логування;
  • адміністрування, розмежування прав доступу.

Реалізований функціонал у сфері безпеки відповідає вимогам документа НД ТЗІ 2.5-004-99 «Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу» та забезпечує рівень гарантій Г-3, що підтверджено відповідним експертним висновком №688 від 31.10.2016 р.

Таким чином, для гарантування безпеки підписання, пересилання та зберігання документів компанії важливо, щоб електронний ресурс, який виконує зазначені функції, був розроблений на платформі з належним рівнем захисту.

Варто відзначити, що звичайні користувачі (представники бізнесу) часто про це не знають. Якщо згадати про вірус Petya, від якого постраждала велика частина українського бізнесу, та про який вже трохи забули, то його поширення було б неможливим, якби програма, яка його поширювала, була розроблена на платформі з відповідним рівнем захисту.

О.В. Насправді, ми отримали ситуацію, коли вкрай важлива фінансова інформація компаній стала доступною стороннім особам. На жаль, ніхто не спромігся її захистити. Багато компаній були змушені витрачати кошти, щоб відновити втрачену інформацію. Однак не все можна було відновити. Замість того щоб виправляти вже зроблені помилки, я рекомендую бізнесу заздалегідь подумати про захист інформації та працювати з ресурсами, розробленими на захищених платформах.

– Нещодавно ISSP та Intecracy Deals підписали меморандум про співпрацю. Розкажіть у чому полягає така співпраця?

О.В. Керуючись нормами чинного законодавства України та з метою впровадження новітніх технологій і безпечних рішень для бізнесу, розвитку та популяризації електронного документообігу між контрагентами, формування культури безпаперового офісу в бізнес-діяльності, наші компанії популяризують послуги одна одної. Ми виступаємо за безпеку бізнесу в Україні, що зробить його діяльність більш ефективною.

Джерело: «Юридична газета»

Усі новини