Практические советы по внедрению систем кибербезопасности
Сегодня каждая компания в Казахстане, которая работает с персональными данными, обязана обеспечить их безопасность и включить в свои процессы системы защиты от киберугроз. Как справиться с задачей, учитывая нехватку специалистов, стремительно развивающиеся цифровые атаки и внеплановые проверки госорганов?
По новым правилам
В феврале этого года правительство Казахстана внесло дополнения в Постановление «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности». Теперь все компании в стране, работа которых связана с личными данными граждан, должны настроить системы кибербезопасности. Требования действуют для разных сфер бизнеса: медицина, юриспруденция, IT, экология – если бизнес использует в работе интернет-ресурсы, программное обеспечение и информационные сервисы, он обязан защитить компанию от киберугроз:
«У каждой компании сегодня функционируют десятки IT-систем, которые используются ежедневно: бухгалтерия, учет кадров, маркетинг, базы данных, отраслевые и узкопрофильные системы», – объясняет Лаура Тлепина, руководитель компании Target Information Security, аудитор по информационной безопасности. – «Это все может быть слабым местом для незаконного или вредоносного проникновения в виртуальное пространство. Поэтому дополнения в Постановление должны дать положительный эффект для физических лиц, отдающих на обработку свои данные, для собственников компаний, и для государства в целом. Но внедрить системы, управляющие информационной безопасностью непростая задача».
Соответствие и наказание
Казахстанские компании сталкиваются с целым рядом проблем. В стране не хватает квалифицированных специалистов в сфере информационной безопасности, все что связано с защитой от кибератак имеет высокий чек, цифровые угрозы растут быстрее, чем бизнес успевает защищаться от них:
«Киберпреступность и цифровая безопасность являются сегодня одними из наиболее значимых глобальных рисков», – говорит Лаура Тлепина. – «Многим организациям не хватает талантов, знаний и опыта в области кибербезопасности, и этот дефицит растет. Сейчас во всем мире на каждые сорок открытых вакансий в отрасли приходится один квалифицированный ресурс. В течение пяти лет спрос на киберспециалистов увеличится еще на треть. Управление киберрисками не поспевает за распространением цифровых и аналитических преобразований, и многие компании не знают, как выявлять цифровые опасности, проводить адекватную аналитику и фильтрацию угроз. Несмотря на то, что первая редакция Постановления о кибербезопасности появилось у нас семь лет назад, можно сказать, что мы все еще находимся в начале этого пути».
С начала 2022 по 2023 год Комитет информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности провел 56 неплановых проверок бизнеса. Именно неплановых, чтобы можно было выявить компании, работа которых не соответствует новым правилам информационной безопасности:
«В результате к административной ответственности привлечены 22 должностных лица и 16 юридических лиц», – говорит Лаура Тлепина. – «Также рассмотрено 157 административных дел за нарушение требований обеспечения информационной безопасности без выезда на место. В результате 130 должностных лиц и 17 юридических лиц привлечены к административной ответственности по статье «Нарушение законодательства Республики Казахстан об информатизации» Кодекса об административных правонарушениях. Кто-то из получивших наказание, потерял оригиналы технической документации на бумажных носителях, кто-то не получил акт с положительным результатом испытаний системы, у каких-то компаний не было систем резервного копирования».
Размеры штрафов за нарушение кибербезопасности варьируются от 10 до 200 месячных расчетных показателей (от 34 500 до 690 000 тенге), в зависимости от пункта статьи и размера компании. Если после проверки организация продолжает работать, не соблюдая требования Постановления, то государство может ограничить ее деятельность на территории страны.
С чего начать
Исходя из опыта работы с компаниями, которые хотят обезопасить данные клиентов и свою работу, Лаура Тлепина выделила три основных момента, на которые нужно обратить внимание владельцам стартапов, малого и среднего бизнеса, не имеющим возможности сразу купить дорогое программное обеспечение:
«Первое, что нужно сделать, найти опытных кибербезопасников, которые хорошо разбираются в постоянно меняющихся технологиях», – говорит Лаура Тлепина. – «В Казахстане это сложно сделать, нам не хватает квалифицированных специалистов в области. Но консультация у опытного эксперта – это половина успеха, он подскажет, какие системы подойдут вам лучше всего, какие наиболее важные активы нужно защитить в первую очередь на самом высоком уровне, к примеру, данные клиентов, операционные процессы, IP».
Второе, что нужно сделать, когда вы получили план действий, взять сотрудника в штат или на аутсор, который будет следить за постоянно обновляющимися угрозами кибербезопасности. Эта отрасль, пожалуй, самая динамичная из всех направлений IT, сложность и разноплановость атак меняется так быстро, что компании вынуждены постоянно адаптировать свою работу под требования новых технологий. Идеальная система безопасности должна вести круглосуточный мониторинг и реагировать на любые зарегистрированные инциденты в течение нескольких секунд.
Третье – приготовьтесь, что теперь статья кибербезопаности будет занимать определенную часть бюджета компании. У многих организаций отсутствует достаточно финансовых ресурсов для эффективного внедрения и управления ИТ-проектами. И это понятно, так как стоимость минимального пакета продуктов большинства зарубежных поставщиков, таких как Microsoft, IBM, Cisco Systems, Лаборатория Касперского, начинается от трех миллионов тенге:
«Конечно, когда компания-заказчик крупный игрок на рынке, то он положительно относится к рекомендациям по улучшению системы управления информационной безопасности и незамедлительно начинает их выполнять, к примеру, покупая лицензионное программное обеспечение и функциональное сетевое оборудование», – делится опытом Лаура Тлепина. – «С такими возможностями легко починить систему и настроить все в соответствии с законом. Когда клиент – это стартап или небольшой бизнес, мы помогаем построить систему управления информационной безопасности с помощью бесплатных opensource-ных решений. Главное в этом случае – глубокая компетенция специалиста, к которому вы обращаетесь. Так как бесплатные решения бывают сырыми, нужно корректно настроить их работу и привести в соответствие с законом».
Кроме того, говорит эксперт, бизнес заранее должен задаться вопросами: как компания будет реагировать в случае кибератаки, что будет предпринимать, если будут требовать выкуп, кто оповестит власти, как будет восстанавливаться работа после киберинцидента:
«Многие руководители, с которыми мы беседовали, не проверяли свои планы восстановления бизнеса после атаки», – говорит Лаура Тлепина. – «Но это очень важный вопрос, потому что злоумышленник может повредить данные или уничтожить их. То же касается и плана действий при киберугрозе – маловероятно, что он будет выполнен точно по пунктам, но лучше все-таки его иметь, чтобы не впадать в панику, а среагировать холодно и адекватно».