Почему не стоит экономить на кибербезопасности
Бизнес зависим от технологий, ведь они дают очевидные преимущества. Если их не использовать, отставание от конкурентов – неизбежно. С каждым годом степень погруженности в цифровое пространство растет. Данные многих компаний сегодня хранятся в облаке. Оказываясь в зависимом положении от провайдера, на первое место выходят бесперебойный доступ сервиса и сохранность данных. Большинство кибератак направлено именно на подрыв этих функций.
Вирус Petya.A, хакеры-вымогатели и взломы критических объектов инфраструктуры страны – реальные угрозы. Поэтому игнорировать вопрос кибербезопасности нельзя – на кону утрата ценной информации, санкции от компетентных органов, репутация компании и даже вопрос выживания компании.
Государственная политика
Безопасность государства – функция, в которой множество переменных. Масштабы цифрового заражения показали, что такими переменными являются не только объекты критической инфраструктуры, вроде аппаратной большой электростанции, – ими могут быть малый и средний бизнес.
При разговоре о кибербезопасности речь идет, в первую очередь, о данных. Попытки взлома направлены на несанкционированный доступ к ним, удаление, кражу и т. д. Традиционно, повышенный интерес государства проявлялся по отношению к персональным данным его граждан. Интересным витком развития законодательства в этой сфере является европейский GDPR, который косвенно затрагивает и тему кибербезопасности. Помимо привычных требований внедрять адекватные меры, чтобы обеспечить безопасность хранимых персональных данных, в новом регламенте ЕС появилось кое-что новое. Например, необходимость своевременно оповещать пользователя и одновременно компетентные органы о взломе так называемого data breach notification. На это отведено 72 часа, а за нарушение предусмотрен штраф до 4% с годового оборота нарушителя. Уместно будет упомянуть, что регламент действует не только в пределах территории ЕС, но и для любого лица, обрабатывающего персональные данные европейцев, независимо от его местонахождения.
В Украине уже принят закон «Об основах обеспечения кибербезопасности». Он дает определения многим терминам: кибератаке, киберугрозе, кибертерроризму и др. Также определяет механизм взаимодействия и полномочия ключевых органов, среди которых Госспецсвязь Украины, полиция, СБУ, Минобороны, Генштаб ВСУ, разведывательные органы и НБУ. В новом законе к объектам киберзащиты отнесены коммуникационные системы, которые используются для удовлетворения общественных потребностей и/или реализации правоотношений в сферах электронного управления и государственных услуг, e-коммерции, e-документооборота. К объектам киберзащиты отнесены также объекты критической инфраструктуры – учреждения и организации, имеющие стратегическое значение для экономики и безопасности государства. Пока что конкретным такой перечень назвать трудно, так как формально под него может подпадать, практически, любой бизнес. Критерии и порядок отнесения к объектам критической инфраструктуры, равно как и меры по безопасности, которые необходимо будет применять по отношению к таким объектам, должны быть утверждены Кабмином, а в банковской сфере – НБУ.
Любые законодательные изменения в сфере кибербезопасности рискуют остаться на бумаге, без надлежащего финансирования. Обеспечение кибербезопасности – это большие денежные вливания в софт, оборудование и специалистов. И обо всем этом не стоит забывать, прежде всего, частному бизнесу. Первой остановкой на маршруте уже состоявшейся кибератаки для любой компании будет вопрос чрезвычайных обстоятельств.
Форс-мажор
Будет ли считаться взлом и отказ системы надлежащим оправданием для невыполнения обязательств перед другими сторонами? Вопрос был актуален во время волны заражения вирусом Petya.A в июне 2017 г.
После взлома компании не просто не могли выполнить обязательства перед своими контрагентами. У многих была заблокирована даже возможность электронной подачи налоговой отчетности, за что законом предусмотрены штрафы. Учитывая массовый характер вируса, государство внесло изменения в Налоговый кодекс. Новая норма до 31.12.2017 г. исключила штрафы за несвоевременную регистрацию налоговых накладных в случае утраты и/или повреждения информации вследствие несанкционированного вмешательства в компьютерную систему плательщика налогов. При этом от плательщика налогов требовалось иметь при себе доказательства взлома, а также необходимо было обратиться в контролирующие органы с соответствующим заявлением и до конца года возобновить утраченную или поврежденную отчетную информацию.
Если в отношении налоговых обязательств законодательные изменения расставили все по местам, то как быть с частноправовыми отношениями и обязательствами перед контрагентами? Можно ли считать взлом и поражение вирусом ИТ-инфраструктуры форс-мажором? Или же безответственное отношение к цифровой безопасности в наше время попросту можно считать халатностью?
Форс-мажор – это чрезвычайные и неотвратимые обстоятельства, которые объективно делают невозможным выполнение обязательства, например, по контракту. Перечень таких обстоятельств, наряду с процитированным определением, содержит статья 14-1 ЗУ «О торгово-промышленных палатах». Практически, в любом договоре к форс-мажорам относят стихийные бедствия, эпидемии, боевые действия и акты государственных органов власти. Но вряд ли где-то вы видели в этом перечне несанкционированный доступ к IT-системе и хакерские атаки. В то же время перечень является открытым благодаря спасательному «тощо» в конце предложения. Форс-мажорным обстоятельство может быть признано при условии, что оно должно быть исключительным, неотвратимым, и стороны никак не могли предсказать его появление. Важным также будет наличие причинно-следственной связи между форс-мажором и невозможностью выполнения обязательства.
Организацией, которая уполномочена удостоверять факт форс-мажорных обстоятельств и выдавать соответствующие свидетельства, является Торгово-промышленная палата (ТПП). В ее регламенте открытый перечень закона сталкивается с процедурным барьером. ТПП уполномочена удостоверять форс-мажор, если он предусмотрен либо статьей 14-1 вышеупомянутого закона, либо в договоре сторон. Таким образом, если в разделе о форс-мажоре договора кибератака не упоминается, то добиться от ТПП необходимой справки с процедурной стороны может быть затруднительно.
В разгар вируса Petya.A вопрос форс-мажора вызвал широкое обсуждение, в которое включилась и ТПП. В результате она пошла навстречу бизнесу, учитывая масштабы поражения вирусом, и выдавала соответствующие справки жертвам кибератаки. При этом в ТПП акцентировали внимание на том, что такие справки могли выдаваться только на основании документов, полученных от киберполиции.
Однако насколько внезапными бывают кибератаки, настолько стремительно может поменяться и позиция ТПП. Комментируя вопрос кибератак, первый вице-президент ТПП М. Непран заявил, что: «ТПП не расценивает их как форс-мажор и не выдает сертификаты в таких случаях, ведь в наше время руководитель компании должен предусматривать возможность кибератак и защиту от них».
Вероятно, кибератака будет чаще встречаться в перечне чрезвычайных обстоятельств в договорах. В то же время порог для того, чтобы кибератака считалась исключительным событием, скорее всего, будет увеличиваться, чем более распространенной, а значит, и актуальной, будет проблема. Что же может сделать мудрый руководитель, который не надеется на справку о форс-мажоре от ТПП?
Penetration test
Среди решений по кибербезопасности, которые предлагаются на рынке, популярно тестирование на проникновение – penetration test. В Украине услуга малоизвестна, однако со временем, учитывая последствия киберугроз, станет распространенной. В некоторых сферах такое тестирование уже стало стандартной процедурой, например, в банковских структурах, где к безопасности данных предъявляются строгие требования.
Чтобы провести тестирование, компания нанимает подрядчика, который проверяет уязвимость IT-инфраструктуры. Таким образом, мы имеем дело со своеобразным узаконенным хакингом. Что здесь может составлять интерес с юридической точки зрения? Ответ – договор, в котором будет описан механизм того, как будут взламывать IT-систему компании. Арсенал методов весьма богат, и может быть хотя и законным, но сомнительным с этической точки зрения. Например, используют социальную инженерию по отношению к сотрудникам заказчика. Представители тестера втираются к ним в доверие и проверяют, насколько легко работники выдают свой пароль или другие данные, которые компрометируют безопасность заказчика.
Наряду с тестированием организационной структуры заказчика, тестировщик проводит мероприятия технического характера, которые варьируются от простого сканирования до управляемых DDoS-атак.
В такой ситуации, даже приняв все меры предосторожности, никто, конечно же, не сможет гарантировать, что, взламывая IT-инфраструктуру, что-то, в конечном итоге, не поломается навсегда. С пониманием этого, а также того, что тестировщик получает доступ к крайне чувствительной информации, стороны подходят к договору очень щепетильно. Добавим к этому возможность навредить третьей стороне, например, интернет-провайдеру заказчика. Или арендованное оборудование, которое было повреждено в результате тестирования. При этом вред не обязательно должен быть вызван явными повреждениями – сам по себе доступ к информации третьего лица может уже оказаться незаконным. Чтобы убедиться в том, что подобные опасения могут вполне быть воплотимы в реальности, мы можем обратиться к делу Moulton v. VC3 в США, где тестировщик Скотт Молтон проводил сканирование портов сети своего клиента – одной из процедур в рамках penetration test и непреднамеренно просканировал порт конкурирующей фирмы. Последняя начала судебное разбирательство, и выиграть процесс Молтон смог лишь благодаря тому, что истец не смог доказать нанесение ущерба, что было обязательным условием для привлечения к ответственности по законодательству штата Джорджия – места, где происходили указанные события.
Традиционно, подрядчик хочет видеть в таком договоре ограничение своей ответственности или ее полное отсутствие, подкрепленное оговоркой о том, что заказчик действует на свой страх и риск. Со своей стороны, заказчик стремится подробно прописать механизм взаимодействия, согласования, допуска на объект и доступа к информации, а также получить хоть какие-то гарантии на случай, если результат тестирования по степени ущерба вдруг переплюнет любые потенциальные кибератаки.
Важным в этом процессе является взаимодействие сторон и честность в отношении предоставления всей необходимой информации. Ведь не исключено, что тестирование на поиск уязвимостей может плавно перейти в неконтролируемую эксплуатацию этой уязвимости именно из-за неверных сведений, полученных тестировщиком от заказчика. Здесь подойдет аналогия с адвокатом. Если клиент скрывает правду от адвоката, вряд ли он может рассчитывать на полноценную юридическую защиту.
Кибербезопасность – вопрос комплексного характера. Внедрив последние технические решения по защите от киберугроз, следует учитывать и правовые риски – как на этапе обеспечения комплаенса с законом и договорного оформления отношений с провайдерами услуг, так и при просчете ущерба от потенциального взлома. Важно убедиться, что простота, удобство и уменьшение затрат не идут бок о бок с рисками, на устранение которых статья расходов может взлететь до небес.
Александр Шуляр, юрист практики ТМТ Juscutum