Світовий досвід у боротьбі з кіберзагрозами: що потрібно знати бізнесу

Сучасний бізнес – це не лише робочі місця, виробництво товарів або надання послуг.
Це також програмне забезпечення, яке допомагає управляти підприємствами: облікові системи, електронний документообіг, CRM, які є цілями кіберзлочинців для викрадення або знищення інформації. За даними Microsoft, у 2024 році московія є одним із провідних джерел кібератак у світі разом з Китаєм та Іраном.
Компанія повідомляє про понад 600 млн щоденних випадків, пов’язаних з хакерськими атаками, фішингом, шкідливим ПЗ та іншими методами отримання доступу до систем і встановлення над ними контролю. Не дивно, що за таких умов близько 60% організацій відзначають вплив геополітичного напруження на їхню стратегію кібербезпеки. Три фактори, що впливають на кібербезпеку По-перше, складні ланцюги постачання та відсутність прозорості й контролю за рівнем безпеки постачальників стали для компаній головним кіберризиком.
Основні проблеми полягають у вразливостях програмного забезпечення сторонніх постачальників.
Так вважають 54% великих організацій. По-друге, кібербезпека не є винятково ІТ-завданням.
Це пріоритет керівників, який потребує співпраці всіх структур компанії та чіткого лідерства.
Захист даних залишатиметься серед ключових питань для глобального бізнесу у 2025 році. По-третє, постійне оновлення регуляторної екосистеми створює додаткові виклики.
З одного боку, державне регулювання є важливим фактором покращення кібербезпеки.
З іншого – відмінності в регулюванні в різних країнах впливають на здатність компаній, особливо міжнародних, дотримуватися нових вимог. Щоб захиститися від руйнівних наслідків кібератак, уряди посилюють регулювання.
Однак відсутність узгодженості між юрисдикціями створюють для організацій виклики.
Це підтверджують понад 76% керівників з інформаційної безпеки (CISO), опитаних на Всесвітньому економічному форумі з кібербезпеки у 2024 році. Регулювання в Європейському Союзі 18 жовтня 2024 року набула чинності директива з кібербезпеки NIS 2, яка встановлює єдині стандарти для ЄС.
Вона зобов’язує компанії документувати стратегії кібербезпеки та повідомляти про кіберінциденти держорганам.
За порушення компанії штрафуватимуть до 20 млн євро.
Крім того, керівники несуть особисту фінансову відповідальність за недотримання законодавчих норм. Євросоюзівський закон про кіберстійкість (Cyber Resilience Act, CRA) доповнює NIS 2 і визначає обов’язкові вимоги до виробників та роздрібних продавців продуктів з цифровим компонентом: від дитячих моніторів до смарт-годинників.
Цей закон набув чинності 10 грудня 2024 року і зобов’язує виробників та продавців забезпечувати кібербезпеку протягом усього життєвого циклу таких продуктів. Крім того, згідно з 12-м пакетом санкцій ЄС від грудня 2023 року, заборонено продавати, постачати, передавати, експортувати чи надавати програмне забезпечення для управління підприємствами (CRM, ERP, EDW, PLM тощо) російським компаніям та дочірнім підприємствам європейських компаній у московії. За даними аналітичного центру при Київській школі економіки, понад 450 євросоюзівських компаній продовжують працювати в московії. Регулювання в США У США окремі штати та галузеві регулятори, зокрема Федеральна торгова комісія (FTC) або Комісія з цінних паперів і бірж (SEC), дедалі частіше вимагають впроваджувати надійний кіберзахист.
Відповідно до закону про звітування про кіберінциденти для критичної інфраструктури від 2022 року (CIRCIA), компанії в критичних секторах зобов’язані повідомляти про випадки порушення безпеки. 12 червня 2024 року Міністерство фінансів США ухвалило рішення, подібне до євросоюзівського пакета санкцій.
Воно обмежує надання московії послуг у сфері ІТ та програмного забезпечення, зокрема ERP, CRM, EDW та інших систем. У відповідь на міжнародні заборони московитський виробник аналогічного програмного забезпечення активно заохочує міжнародні компанії, що залишилися працювати в московії, переходити на систему 1С та пов’язані продукти. Регулювання в Україні Україна інтегрується з ЄС, тож вітчизняні компанії незабаром мають адаптуватися до міжнародних стандартів безпеки, щоб зберегти конкурентоспроможність. Поки що українське регуляторне поле не сприяє усуненню очевидних загроз, пов’язаних з масовим використанням 1С та BAS.
Для українського бізнесу та державних інституцій, залежних від російського програмного забезпечення, простіше залишити статус-кво, однак "легше" не означає "безпечніше". Читайте також: Я використовую 1С.
Що мені тепер робити? 8 січня 2025 року Верховна Рада ухвалила за основу законопроєкт №11290, відповідно до якого планується створення професійної мережі фахівців з кібербезпеки в усіх державних установах, де обробляють важливі дані українців.
Це буде частина того самого "Пентагону для державних реєстрів". 14 січня Кабінет міністрів затвердив "Стратегію цифрового розвитку інновацій України до 2030 року", щоб, серед іншого, зміцнити кібербезпеку країни. Варто не забувати і про зареєстрований урядом у серпні 2024 року законопроєкт №11492, що передбачає заборону використання російського ПЗ, зокрема в приватному секторі.
Проте до наступного етапу цей законопроєкт поки не дійшов. Єдине рішення, яке наразі забороняє російське програмне забезпечення (проте не передбачає штрафних санкцій за недотримання заборони), ухвалила Рада національної безпеки і оборони України 2 вересня 2024 року.
Це рішення продовжує дію запровадженої у 2017 році заборони на продаж, підтримку та поширення 1С, BAS, "UA-бюджет" та їхніх програмних продуктів. Однак деякі українські компанії досі тримаються за ці продукти, купують їх за кордоном або використовують піратські чи клоновані версії. Україна поступово інтегрується з євросоюзівським фінансовим простором, який має інші вимоги до звітності, норм контролю виробництва та захисту даних споживачів.
Піратські версії систем, які не підтримуються та не оновлюються, не зможуть забезпечити узгодженість бізнесу з цими стандартами. Наслідки для бізнесу можуть стати критичними.
Версії, що оновлюються, теж небезпечні.
Зловмисники можуть використати їх для доступу до даних стратегічних підприємств і видалити інформацію та вивести з ладу інформаційні системи. Подальше використання забороненого програмного забезпечення в Україні створюватиме ще більше проблем – аж до виникнення потреби міняти рішення терміново, без належної підготовки та з можливою втратою всіх даних. Рекомендації для підвищення кібербезпеки Якщо організації не почнуть оновлювати свої системи захисту, їм загрожуватимуть кіберінциденти.
Залишатися з постачальником, навіть якщо той створює ризики, може здаватися простішим рішенням, ніж впроваджувати безпечніші альтернативи, поки використання ризикованого ПЗ не буде заборонене на законодавчому рівні. Однак нові вразливості виникають щодня і законодавство може не встигати за такими швидкими змінами.
Керівники та власники бізнесів мають поставити собі питання, чи достатньо надійні їхні інструменти протидії кіберзагрозам. Почати варто з дослідження євросоюзівських стандартів інформаційної безпеки і пройти сертифікацію ISO 27001 або SOC 2.
Це доступно для всіх підприємств – великих і малих.
Тим, хто досі використовує 1С чи BAS, слід від них відмовитися, оскільки вони створюють високі ризики для компаній та економіки загалом.