Бизнес-среда стремительно меняется. Увеличиваются масштабы внедрения цифровых технологий в повседневные бизнес-процессы, повсеместно расширяется электронная торговля. Увеличивается трафик подключенных к сети устройств.
Одновременно расширяется количество рисков, сопровождающих внедрение инновационных методов в бизнесе. Увеличивается количество кибератак, ведущих к таким последствиям для бизнеса как: нарушение бизнес-процессов/операций, ущерб деловой репутации, финансовые убытки. Число совершенных с использованием информационно-коммуникационных технологий преступлений, по данным МВД России, в 2020 г. выросло на 94,6 %, в том числе тяжких и особо тяжких — на 129,7 %.
В кибератаках, предпринимаемых в отношении юридических лиц, главной целью является похищение данных организаций: учетные и персональные данные, коммерческая тайна, базы данных клиентов, данные платежных карт, медицинская информация, а также атака на ПО (серверы, сетевое оборудование и компьютеры).
Риск утери данных сегодня может случиться с любым бизнесом. Особенно с современным малым бизнесом, который активно использует онлайн банки, облачные продукты, технологии, аналитические данные, выстраивает коммуникации онлайн и хранит историю своей деятельности в цифровом пространстве. Любая утечка может разрушить бизнес. В таком вопросе необходимо обеспечить правовую защиту не только себе, но и своим клиентам, т.к. юридическая ответственность будет на компании. В случае кражи персональных данных сотрудников и клиентов компании сопутствующие риски (регуляторные, репутационные и риски развития атаки на инфраструктуру или пользователей) обычно исчисляются миллионами рублей. Самый крупный ущерб несут атаки на технологические процессы и системы компаний. Затраты на устранение последствий могут достигать миллионных сумм без учета работы ИТ-персонала по восстановлению поврежденных систем.
Среди сложностей работы с данной проблемой экспертное сообщество отмечает отсутствие в открытом доступе полной информации об атаках и уязвимостях в российских компаниях; слишком медленное формирование системы госконтроля мониторинга инцидентов и уязвимостей; низкий уровень привлечения к уголовной ответственности за преступления в сфере компьютерной информации (гл. 28 УК РФ). При этом законодательное регулирование постоянно адаптируется под текущие вызовы. В ноябре 2020 г. в Госдуму РФ внесен законопроект Федерального закона № 1048574-7 «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях в части установления административной ответственности за нарушение законодательства в области обеспечения безопасности критической информационной инфраструктуры Российской Федерации», согласно которому на юридических лиц будут налагаться штрафы на сумму до 500 тыс. руб. за нарушения в области безопасности критической информационной инфраструктуры (КИИ).
Проект Федерального закона N 1048574-7 (https://sozd.duma.gov.ru/bill/1048574-7).
Это касается юридических лиц и индивидуальных предпринимателей, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей.
Какие новые нормативные риски могут возникнуть, если компания не соблюдает требования к защите информационной инфраструктуры?
Ответственность предусматривается, например, в следующих случаях:
– за несоблюдение порядка информирования о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий атак в отношении значимых объектов КИИ;
– за нарушение правил обмена информацией об указанных инцидентах, в частности, между российскими субъектами КИИ.
Штраф для юридических лиц – от 100 тыс. до 500 тыс. руб. Максимальный штраф для должностных лиц – 50 тыс. руб. Также проектом предусматривается специальный срок давности привлечения к ответственности – 1 год.
Информационная безопасность не является проходной темой. Компаниям (и субъектам КИИ) нужно оценивать нормативные риски невыполнения требуемых мероприятий и создания полноценных систем безопасности.
Для защиты компании от финансовых потерь из-за ущерба ключевым информационным активам, отслеживание киберугроз, разработка эффективного реагирования на инциденты уже сегодня должны встраиваться в систему управления рисками каждой организации.
Компаниям, работающим с киберрисками, намного проще и дешевле обеспечить собственную устойчивость и непрерывность деятельности. На уровне управления компанией это реализуется через выявление глобальных рисков, координации инвестиций, разработке программ по управлению рисками, учетом изменений в бизнес-стратегиях.
Управление киберрисками строится в четыре этапа (внедрение системы управления рисками информационной безопасности в среду организации):
- Выявление/анализ рисков и оценка их воздействия на компанию.
Ежегодный пересмотр рисков, воздействующих на ключевые бизнес-процессы компании, с учетом новых угроз, изменений ИТ-среды. Идентификация рисков и их угроз для ключевых активов (персонал, помещения, ИТ-ресурсы, поставщики, данные).
- Выбор стратегии реагирования на риски.
Определение потенциального ущерба. Выработка стратегии реагирования на риски и принятие решений. Ежегодный пересмотр стратегии.
- Реализация стратегии по выработанному плану.
Выбор мер по снижению рисков и методов защиты. Ежегодный пересмотр тактических планов.
- Постоянный мониторинг.
Мониторинг и готовность к угрозам (риск культура), поддержание процедур и обучение. Ежегодная формализованная оценка принятых мер по рискам.
