Центр кибербезопасности hoster.by каждый день фиксирует десятки и сотни случаев потенциально опасных действий на сайтах своих клиентов. А также помогает компаниям приводить свои информационные системы в соответствие с требованиями законодательства по кибербезопасности. Начальник группы юридического обслуживания hoster.by Наталья Косяк рассказала о самых распространенных в Беларуси типах угроз, о рисках для организаций, а также об особенностях регулирования сферы защиты персональных данных у нас и за рубежом.Наталья КосякНачальник группы юридического обслуживания hoster.by– Какие типы киберпреступлений вы фиксируете чаще всего?– Различные варианты несанкционированного доступа к ресурсам. Например, через подбор паролей или рассылку вредоносных программ. Часто используются уязвимости движков сайтов: с этой проблемой обычно сталкиваются те, кто не любит регулярно обновлять свои системы управления контентом или CMS. Также очень распространен фишинг – имитация веб-ресурсов для получения платежных или других данных пользователей. Наши системы мониторинга фиксируют сотни потенциальных инцидентов в день, и аналитики центра кибербезопасности рассматривают каждый из них. Это постоянная активность, ведь у киберпреступников нет выходных.– С какими последствиями сталкиваются пострадавшие компании?– Все по-разному: для кого-то несколько часов простоя бизнеса могут оказаться фатальными. Других «добивает» список исправлений и модификаций, которые они обязаны внедрить после череды проверок. Такие проверки обычно следуют за кибератаками, особенно если речь об утечке персональных данных. Для кого-то самым дорогим последствием становится потеря репутации. Хотя в какой-то мере белорусские компании чуть менее уязвимы в этом контексте по сравнению с европейскими или американскими.– Почему? Это связано с особенностями законодательства?– В том числе. Например, в соответствии с Общим регламентом защиты персональных данных в Европейском союзе (GDPR) организации обязаны сообщать клиентам о произошедшей утечке в течение 3 дней после происшествия. В Беларуси же компании должны информировать Национальный центр защиты персональных данных. Обязательств по информированию клиентов не прописано в законе, хотя негласно они соблюдаются.Требования публичной огласки нет и в США, как нет и целостного законодательства в области кибербезопасности – там все требования определяются на уровне штата. Но есть возможность предъявления пострадавшими гражданских исков организациям, «потерявшим» их данные. А если пострадавших много, то сумма исков может быть крупнее любых мыслимых штрафов за несоблюдение требований по защите данных.К слову, в Беларуси также можно требовать возмещения морального вреда, причиненного вследствие нарушения прав, установленных Законом «О защите персональных данных».– Какие законодательные акты регулируют сферу кибербезопасности в Беларуси?– Их несколько. Есть Закон «О защите персональных данных» (№ 99-З от 07.05.2021). Он регулирует все отношения, связанные с обработкой таких данных и устанавливает требования к их защите.Указ Президента Республики Беларусь № 40 «О кибербезопасности» устанавливает правовую основу для создания и функционирования национальной системы обеспечения кибербезопасности. В том числе формирование механизма противодействия кибератакам. Основные принципы, которыми обязаны руководствоваться в своей деятельности все государственные и коммерческие организации, изложены в Постановлении Совета Безопасности от 18.03.2019 № 1 «О Концепции информационной безопасности Республики Беларусь».Нельзя не упомянуть Указ Президента Республики Беларусь № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет», который действует уже почти 15 лет. Он регулирует множество аспектов работы байнета, но известен многим своим требованием к компаниям размещать свои сайты и информационные системы исключительно на серверах в РБ. Требование касается веб-ресурсов, с помощью которых реализуются товары или оказываются услуги на территории нашей страны.Защита данных, распространение которых ограничено, регулируется Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66. Есть ряд других положений, но мы упомянули основные, которые в той или иной степени затрагивают всех: физических лиц, бизнес, госкомпании.– Внушительный список. Наше законодательство в сфере кибербезопасности как-то принципиально отличается от других стран?– Оно отличается не столько принципами, сколько подходами. В Беларуси он более формализован, все особенности нормативного регулирования жестко задокументированы. Примерно такой же подход существует в России.В большинстве стран ЕС выработан риск-ориентированный подход к обеспечению безопасности данных. Он основан на оценке их «чувствительности» и базируется на международных стандартах. В частности на ISO/IEC 27001:2013 и ISO/IEC 27005:2018.Тот же GDPR, который регулирует вопросы защиты персональных данных в Европе, является регламентом, требования которого обязаны соблюдать все страны ЕС при разработке собственного законодательства. Формулировки в регламенте менее формализованы, чем в белорусских законодательных актах, но в GDPR они компенсируются прецедентной практикой. В целом по вопросам защиты персданных в нашей стране, в России, в ЕС и в США обязательным является получение согласия от каждого лица при сборе их данных. Хотя есть и исключения: например, в Беларуси согласие не потребуется при оформлении трудовых отношений, при наличии договора между пользователем и компанией, при ведении административных и уголовных процессов, исполнении судебных постановлений и т.д. Во всех регионах также есть перечень мер для защиты персональных данных, а также право доступа к своим данным для их исправления.Среди отличий законодательства в разных регионах – обязательство хранить персональные данные на определенной территории. Так, в Беларуси и России такое требование есть: т.е. белорусские организации и интернет-проекты могут размещать данные клиентов только на серверах, физически размещенных на территории нашей страны. В странах ЕС и США требования не такие жесткие. Например, согласно GDPR данные могут храниться в любой стране ЕС и иных государствах, в которых существует схожий уровень защиты.– Есть какой-то законодательный минимум, который просто обязан знать каждый, кто ведет бизнес в Беларуси сегодня? Есть ощущение, что знать все аспекты регулирования вопросов кибербезопасности, мягко говоря, затруднительно.– Минимум мы проговорили сегодня: хостинг на территории Беларуси, обязательные меры по защите персональных данных и т.д. Знать все невозможно и не нужно. Но важно быть внимательным и не откладывать вопросы безопасности на потом. Как же тогда быть уверенным, что ничего не нарушаешь в данный момент? Самый простой и эффективный способ – решать вопросы работы вашего веб-проекта или информационной системы совместно с хостинг-провайдером. Это связано с тем, что ряд систем необходимо аттестовывать, для каких-то проектов понадобится специальное ПО и т.д. Самостоятельно учесть все нормативные и технические нюансы по-настоящему нелегко. А провайдеру достаточно подробно изложить, какие у вас задачи и с какими данными вы работаете, а специалисты уже расскажут, нужны ли вам специфические виды хостинга или дополнительные меры защиты. При необходимости там же вам помогут выстроить, настроить, перенести и протестировать работу вашего проекта. Так вы будете уверены, что в точности выполняете все требования законодательства и не рискуете безопасностью и репутацией.Hoster.by – провайдер облачных решений и хостинга с более чем 20-летней историей. Является первым в стране аттестованным коммерческим центром кибербезопасности. А также крупнейшим регистратором национальных доменов .BY и .БЕЛ и единственным в Беларуси аккредитованным ICANN регистратором международных доменов.