Мировой опыт в борьбе с киберугрозами: что нужно знать бизнесу

Современный бизнес - это не только рабочие места, производство товаров или оказание услуг. Это также программное обеспечение, которое помогает управлять предприятиями: учетные системы, электронный документооборот, CRM, которые являются целями киберпреступников для похищения или уничтожения информации. По данным Microsoft, в 2024 году Россия является одним из ведущих источников кибератак в мире вместе с Китаем и Ираном. Компания сообщает о более 600 млн ежедневных случаев, связанных с хакерскими атаками, фишингом, вредоносным ПО и другими методами получения доступа к системам и установления над ними контроля. Неудивительно, что в таких условиях около 60% организаций отмечают влияние геополитического напряжения на их стратегию кибербезопасности. Три фактора, влияющие на кибербезопасность Во-первых, сложные цепи поставок и отсутствие прозрачности и контроля за уровнем безопасности поставщиков стали для компаний главным киберриском. Основные проблемы заключаются в уязвимостях программного обеспечения сторонних поставщиков. Так считают 54% крупных организаций. Реклама: Во-вторых, кибербезопасность не является исключительно ИТ-задачей. Это приоритет руководителей, который требует сотрудничества всех структур компании и четкого лидерства. Защита данных будет оставаться среди ключевых вопросов для глобального бизнеса в 2025 году. В-третьих, постоянное обновление регуляторной экосистемы создает дополнительные вызовы. С одной стороны, государственное регулирование является важным фактором улучшения кибербезопасности. С другой - различия в регулировании в разных странах влияют на способность компаний, особенно международных, соблюдать новые требования. Чтобы защититься от разрушительных последствий кибератак, правительства ужесточают регулирование. Однако отсутствие согласованности между юрисдикциями создают для организаций вызовы. Это подтверждают более 76% руководителей по информационной безопасности (CISO), опрошенных на Всемирном экономическом форуме по кибербезопасности в 2024 году. Реклама: Регулирование в Европейском Союзе 18 октября 2024 года вступила в силу директива по кибербезопасности NIS 2, которая устанавливает единые стандарты для ЕС. Она обязывает компании документировать стратегии кибербезопасности и сообщать о киберинцидентах госорганам. За нарушение компании будут штрафовать до 20 млн евро. Кроме того, руководители несут личную финансовую ответственность за несоблюдение законодательных норм. Евросоюзовский закон о киберустойчивости (Cyber Resilience Act, CRA) дополняет NIS 2 и определяет обязательные требования к производителям и розничным продавцам продуктов с цифровым компонентом: от детских мониторов до смарт-часов. Этот закон вступил в силу 10 декабря 2024 года и обязывает производителей и продавцов обеспечивать кибербезопасность в течение всего жизненного цикла таких продуктов. Кроме того, согласно 12-му пакету санкций ЕС от декабря 2023 года, запрещено продавать, поставлять, передавать, экспортировать или предоставлять программное обеспечение для управления предприятиями (CRM, ERP, EDW, PLM и т.д.) российским компаниям и дочерним предприятиям европейских компаний в России. По данным аналитического центра при Киевской школе экономики, более 450 евросоюзовских компаний продолжают работать в России. Регулирование в США В США отдельные штаты и отраслевые регуляторы, в частности Федеральная торговая комиссия (FTC) или Комиссия по ценным бумагам и биржам (SEC), все чаще требуют внедрять надежную киберзащиту. Согласно закону об отчетности о киберинцидентах для критической инфраструктуры от 2022 года (CIRCIA), компании в критических секторах обязаны сообщать о случаях нарушения безопасности. 12 июня 2024 года Министерство финансов США приняло решение, подобное евросоюзовскому пакету санкций. Оно ограничивает предоставление России услуг в сфере ИТ и программного обеспечения, в частности ERP, CRM, EDW и других систем. В ответ на международные запреты российский производитель аналогичного программного обеспечения активно поощряет международные компании, оставшиеся работать в России, переходить на систему 1С и связанные продукты. Регулирование в Украине Украина интегрируется с ЕС, поэтому отечественные компании вскоре должны адаптироваться к международным стандартам безопасности, чтобы сохранить конкурентоспособность. Пока украинское регуляторное поле не способствует устранению очевидных угроз, связанных с массовым использованием 1С и BAS. Для украинского бизнеса и государственных учреждений, зависимых от российского программного обеспечения, проще оставить статус-кво, однако "легче" не означает "безопаснее". Читайте также: Я использую 1С. Что мне теперь делать? 8 января 2025 года Верховная Рада приняла за основу законопроект №11290, согласно которому планируется создание профессиональной сети специалистов по кибербезопасности во всех государственных учреждениях, где обрабатывают важные данные украинцев. Это будет часть того самого "Пентагона для государственных реестров". 14 января Кабинет министров утвердил "Стратегию цифрового развития инноваций Украины до 2030 года", чтобы, среди прочего, укрепить кибербезопасность страны. Не стоит забывать и о зарегистрированном правительством в августе 2024 года законопроекте №11492, предусматривающем запрет использования российского ПО, в частности в частном секторе. Однако до следующего этапа этот законопроект пока не дошел. Единственное решение, которое сейчас запрещает российское программное обеспечение (однако не предусматривает штрафных санкций за несоблюдение запрета), принял Совет национальной безопасности и обороны Украины 2 сентября 2024 года. Это решение продлевает действие введенного в 2017 году запрета на продажу, поддержку и распространение 1С, BAS, "UA-бюджет" и их программных продуктов. Однако некоторые украинские компании до сих пор держатся за эти продукты, покупают их за рубежом или используют пиратские или клонированные версии. Украина постепенно интегрируется с евросоюзовским финансовым пространством, которое имеет другие требования к отчетности, нормам контроля производства и защиты данных потребителей. Пиратские версии систем, которые не поддерживаются и не обновляются, не смогут обеспечить согласованность бизнеса с этими стандартами. Последствия для бизнеса могут стать критическими. Обновляемые версии тоже опасны. Злоумышленники могут использовать их для доступа к данным стратегических предприятий и удалить информацию и вывести из строя информационные системы. Дальнейшее использование запрещенного программного обеспечения в Украине будет создавать еще больше проблем - вплоть до возникновения необходимости менять решение срочно, без надлежащей подготовки и с возможной потерей всех данных. Рекомендации для повышения кибербезопасности Если организации не начнут обновлять свои системы защиты, им будут угрожать киберинциденты. Оставаться с поставщиком, даже если тот создает риски, может казаться более простым решением, чем внедрять более безопасные альтернативы, пока использование рискованного ПО не будет запрещено на законодательном уровне. Однако новые уязвимости возникают ежедневно и законодательство может не успевать за такими быстрыми изменениями. Руководители и владельцы бизнесов должны задать себе вопрос, достаточно ли надежны их инструменты противодействия киберугрозам. Начать стоит с исследования евросоюзовских стандартов информационной безопасности и пройти сертификацию ISO 27001 или SOC 2. Это доступно для всех предприятий - больших и малых. Тем, кто до сих пор использует 1С или BAS, следует от них отказаться, поскольку они создают высокие риски для компаний и экономики в целом.