Aa Aa Aa

Юрій Щиголь: "Кіберзахист має стати фундаментом кожної установи"

Дмитро Сизов
Юрій Щиголь: "Кіберзахист має стати фундаментом кожної установи"

Що має знати керівник про кіберзахист; що робити, якщо немає ані людей, ані грошей; та чим може допомогти Держспецзв'язку.

Україна бореться з російськими окупантами на чотирьох фронтах: на землі, в повітрі, у воді та в кіберпросторі. Від російських військових хакерів і кібертерористів страждають не тільки центральні органи влади, а й місцеві. Кожна державна установа в Україні – в зоні ризику кожної миті. 

Захистом України на кіберфронті опікуються Державна служба спеціального зв'язку та захисту інформації. Голова Держспецзв'язку Юрій Щиголь розповів про роль керівника в державних установах у забезпеченні кіберзахисту. 

Яку роль у забезпеченні кіберзахисту установи відіграє керівник?

Головну. Саме керівник має формувати відповідне ставлення до кіберзахисту в установі. 

На жаль, як свідчать дослідження, більшість керівників вважає, що кіберзахист – це зона відповідальності винятково офіцера з ІБ, технічного директора або CDTO. Це не так. Керівники починають цікавитись питаннями кіберзахисту в кращому випадку тільки після того, як установу зламають. 

За що саме в контексті кіберзахисту відповідає керівник?

Головне завдання керівника – це створення «культури кіберзахисту». Кіберзахист має стати фундаментом кожної установи, і саме керівник має зробити так, щоб всі процеси були вибудувані навколо цього. 

Сертифікованим спеціалістом з безпеки інформаційних систем бути не потрібно – це завдання інших людей. Проте варто бути в курсі усіх законодавчих змін, читати про загрози, розширяти знання про основні концепції кібербезпеки та використовувати власне свою лідерську позицію для того, щоб стратегічно впливати на цей напрям. 

У керівника будь-якої установи є багато завдань, безпосередньо повʼязаних із діяльністю установи. Як знайти мотивацію ще й до питань кіберзахисту?

Наша країна перебуває під перманентними кібератаками російських хакерів – як угрупувань, здатних на складні кібератаки, так і звичайних кібертерористів. Кожна установа, кожен держслужбовець під загрозою. Якщо в таких умовах ви не опікувались кіберзахистом – це диво, що вас ще не зламали. Проте, скоріше за все – зламали, просто ви про це не знаєте. Від моменту несанкціонованого проникнення в інформаційні системи до того, як буде помічена кібератака, можуть минути місяці. 

Подумайте, скільки коштуватиме вашій установі кібератака на ваші системи? А державі? А кожному українцю? Сьогодні від роботи державних інформаційних систем може залежати життя людей. Від втрати чутливих даних воно також може залежати – в буквальному сенсі. 

І другий факт: понад 90% успішних кібератак відбулись через людський фактор. Це означає, що якби в установі була створена культура кіберзахисту, більшості атак вдалося би уникнути. 

Просто уявіть собі, що ваші близькі люди можуть постраждати через недотримання правил пожежної безпеки. Це ж неможливо, ніхто такого не допустить. Чому ставлення до кіберзахисту інше? 

Мені здається, це достатня мотивація для кожного керівника – знайти час та натхнення на формування такої культури. 

Припустимо, керівник усвідомив свою роль. Що далі? Як вибудувати процеси?

Саме усвідомлення загрози та особистої відповідальності допомагає перейти безпосередньо до дій із забезпечення кіберзахисту установи. Консалтингова компанія PricewaterhouseCoopers пропонує підхід до кіберзахисту в організації, який базується на чотирьох базисних речах:

  • принцип
  • люди
  • пріоритети
  • сприйняття

 Принцип

Перше завдання для керівників – це пов’язати місію установи з безпекою даних, активів і людей. Це має бути сформульований основоположний принцип, який визначає безпеку та конфіденційність як оперативні цілі.

Люди

Серйозне ставлення до кіберзахисту починається з найму відповідного директора з інформаційної безпеки та надання повноважень йому та його команді для створення міжфункціональних підрозділів у бізнесі. Керівник також повинен навчати співробітників навичок і мислення, які налаштують їх на ризики кібербезпеки. 

Пріоритети

Керівник може підвищити рівень пріоритету кіберзахисту двома конкретними способами: спростивши структуру підприємства та зробивши кібербезпеку складовою стратегії. На стратегічному рівні керівники можуть внести свою прихильність до кіберзахисту в процеси ухвалення рішень. 

Сприйняття

Лише 40% організацій, згідно з дослідженням PwC, добре розуміють свої ризики щодо кібербезпеки та конфіденційності у ланцюгу поставок. Тоді як атаки через ланцюжки постачань – актуальна проблема для України. Прикладом є, скажімо, кібератака 14 січня. 

Як керівник може оцінити рівень захищеності своєї установи, якщо він не має специфічних знань із кіберзахисту?

Є кілька оцінкових запитань, які дозволять зрозуміти ризики:

  • Чи сприймаєте ви кіберзагрозу серйозно і вимагаєте такого ж ставлення від підлеглих?
  • Чи знаєте, хто ворог і що може статись, якщо він отримає доступ до ваших систем?
  • Чи проводяться у вашій установі тренінги з кібербезпеки та кібергігієни для співробітників?
  • Ваша організація в контакті з Урядовою командою реагування CERT-UA? Ви знаєте, хто, яким чином і в яких випадках має звертатись до CERT-UA? 
  • Чи отримує ваша установа інформацію про нові загрози від CERT-UA та повідомляє про кіберзагрози до CERT-UA?
  • У вас здійснюється цілодобовий моніторинг інформаційних систем для виявлення та реагування на кіберзагрози?
  • Чи слідкують ваші фахівці з ІБ за своєчасною установкою оновлень програмного забезпечення?
  • У вас є план реагування та відновлення в разі вдалої кібератаки?
  • У вашій установі використовують додаткові рівні інформаційної безпеки за допомогою шифрування, багатофакторної аутентифікації та суворо обмеженого доступу до найцінніших інформаційних активів вашої організації?
  • Ви висуваєте вимоги із кіберзахисту до ваших партнерів та підрядників?
  • Чи проходила ваша установа незалежну перевірку для оцінки ризиків?

Кожна відповідь “ні” – це слабке місце, через яке вас можуть зламати.

Після того, як ви зрозумієте рівень загрози, зʼясуйте з керівником департаменту інформаційної безпеки або з іншою людиною, яка відповідає за ІБ, що робити, щоб підвищити кіберстійкість.

Що робити, якщо такої людини в установі немає? Усі ми розуміємо, що не кожен державний орган, місцева влада та просто державне підприємство має гроші на кіберзахист, особливо на фахівців керівного рівня, яким потрібно платити десятки тисяч гривень.

Звертатись до Держспецзв'язку. У нас є ресурси, фахівці з експертизою світового рівня, які можуть допомогти на будь-якому етапі побудови кіберзахисту безкоштовно. 

Просто напишіть лист на пошту CERT-UA, з вами звʼяжуться. Не варто соромитись, кіберзахист – це відповідальність та обовʼязок керівників державних установ перед державою. Ми разом маємо захистити країну та перемогти ворога у нашому кіберпросторі.