Масштабы угроз кибербезопасности в сложно устроенной британской экономике сильно варьируются: от простых попыток фишинга до изощренного вымогательства и попыток разрушить инфраструктуру, путем необратимого повреждения данных. Противодействие киберугрозам приобретает все большее значение на фоне угроз безопасности и благополучию страны, а также деятельности государственных предприятий и частного бизнеса.
Против множественных внешних и внутренних опасностей ведут деятельность ряд правительственных организаций, которые применяют трехстороннюю стратегию по борьбе с киберугрозами: предоставление рекомендаций по повышению кибербезопасности, усиление обязательств по нормативной отчетности и содействие обмену информацией о возникающих угрозах. Основным лицом, выступающим в качестве защитника, является Национальный центр кибербезопасности (National Cyber Security Centre, NCSC). Далее в статье будет представлена общая информация о мерах обеспечения кибербезопасности и безопасности конфиденциальной информации, и рассмотрены практические разрешения некоторых проблем.
Борьба правительства Великобритании с серьезными угрозами кибербезопасности
Как уже отмечалось выше, правительство широко применяет трехстороннюю стратегию по борьбе с киберугрозами. Опираясь на опыт и ресурсы Центра правительственной связи (GCHQ), NCSC предоставляет авторитетные советы по кибербезопасности, управляет разрешением инцидентов и занимается смягчением их последствий. Обмен информацией об угрозах со стороны тех, кто их испытывает, рассматривается как ключ к решению проблемы киберугроз и предотвращению из выхода из-под контроля.
Также NCSC разработал средства отслеживания наиболее опасных групп и методы противодействия им. Также правительство играет важную роль в разработке нового скоординированного режима санкций ЕС, направленных на лиц, ответственных за фактические враждебные кибератаки. Стоит отметить, что санкции могут налагаться и на лиц, связанных с вышеупомянутыми.
Передовые методы повышения кибербезопасности
В Великобритании нет единого источника руководящих указаний по кибербезопасности. Тем не менее, существует множество руководств по обеспечению кибербезопасности. Например, существует известное руководство NCSC, которое называется «10 шагов к кибербезопасности». Ознакомиться с ним можно на сайте NCSC. Руководство дополняется приложениями, в которых излагаются меры безопасности и контроля процессов, которые могут устанавливать организации для защиты от онлайн-рисков. Другая схема, получившая название Cyber Essentials, также рекомендует организациям внедрить пять основных элементов управления для защиты от кибератак, включая создание эффективных брандмауэров и использование последних поддерживаемых версий программного обеспечения.
Дополнительную полезную информацию можно получить из «Руководства по кибербезопасности для малого и среднего бизнеса», также доступного на сайте NCSC и публикации ICO под названием «Практическое руководство по IT безопасности».
Сайт NCSC также содержит полезные страницы по конкретным вопросам, включая защиту от вымогателей, защиту от фишинговых атак, и безопасность электронной почты.
На неправительственном уровне поддерживается ряд обязательных отраслевых стандартов и руководств, таких как, например, Стандарт безопасности данных индустрии платежных карт (PCI DSS) и группа стандартов ISO/IEC 2700 для систем безопасности и стандарт BS 10012:2017, совместимый с GDPR.
О проблеме хранения и переноса конфиденциальных данных в «облако»
Безопасность перехода на облачное хранение конфиденциальной информации достигается за счет осторожного переноса данных. Тем не менее, существуют также финансовые и нормативные риски.
Угрозы, риски и уязвимости для сред облачного хостинга в значительной схеме аналогичны традиционным средам хостинга в виде утечек данных, атак и уязвимостей системы. При выборе провайдера, необходимо предпринять необходимые проверки, чтобы убедиться в обеспечении достаточных гарантий и соблюдении соответствующих правил.
Основной проблемой безопасности и конфиденциальности данных является отсутствие контроля над местоположением провайдера, предоставляющего услуги по облачному хранению данных.
Часто сервера находятся в станах третьего мира, и пользователь просто-напросто может и не знать толком, где хранится его информация. Тем не менее, личные данные могут быть переданы в страны, не входящие в ЕЭП, только если они включены в утвержденный Еврокомиссией список стран, где обеспечивается надлежащая защита личных данных. Передача информации в страны, не входящие в ЕЭП может быть произведена, если только провайдер продемонстрирует, что все меры и требования, установленные WP29, соблюдены. Пользователи должны быть об этом уведомлены.
Проблемы конфиденциальности и безопасности данных при проведении процедур по слиянию и поглощению компаний
В контексте слияния и поглощения компаний, проблема кибербезопасности оценивается так же, как и другие риски, которые могут подорвать репутацию или положение компании.
Для защиты от рисков, многие компании назначают руководителей по вопросам конфиденциальности. И хотя GDPR обеспечивает некоторую определенность в этой области, ее может быть недостаточно. По мере того как объем личных данных клиентов, хранящийся в компаниях, увеличивается, традиционная юридическая проверка теряет адекватность. Дальнейшее проведение процедуры «электронного» дью дилидженса – способ исследования политики безопасности данных целевой компании и ее внутренних IT-систем. Во время проверки необходимо обратить внимание на то, как компания собирает, хранит и использует личную информацию, шифрует ли данные, или уничтожает их (и как это делается). Необходимо больше конкретики. Тем не менее, задержки, вызванные проблемами с безопасностью информации, могут и не влиять прямо на решение о слиянии или приобретении.
Одним из способов снижения рисков, связанных с безопасностью данных, является предоставление гарантий и компенсаций от нарушений в прошлом и будущем.
Заключительное слово
Все компании остаются уязвимыми перед хакерскими атаками – это факт. И поскольку в Великобритании нет специального набора законов о кибербезопасности, пытаясь разобраться с вопросами кибербезопасности, необходимо синтезировать анализ сложного и развивающегося права с достаточным пониманием технических особенностей обеспечения компьютерной безопасности.
Очевидно, решение задачи такого рода требует привлечения профильных специалистов. Если у вас имеются какие-либо вопросы относительно темы материала данной статьи, разобрать пути из разрешения вы можете с юристами IQ Decision UK в рамках проведения персональной консультации. Чтобы узнать детали о наших услугах и записаться на консультацию, обращайтесь к нам напрямую, по указанным в форме ниже контактам.
