Огрехи кибербеза. Кто виноват в инциденте: бизнес или ИТ-партнёр?
Вопрос, кто должен отвечать за последствия кибератак, остаётся открытым. В России нет чётких регуляторных механизмов, которые определяли бы виновника. В каких случаях платить штраф должен владелец данных, а в каких — компания, которая разработала ИТ-решение, или интегратор, который его установил? Дискутируем с экспертами.
О чём речь
ИБ-инцидент — это любое событие, которое нарушает конфиденциальность, целостность или доступность данных. Сюда относятся:
- утечки данных
- взлом системы через уязвимость в софте
- DDoS-атаки
- мошенничество с учетными записями (фишинг, кража паролей)
- вредоносное ПО
- физический урон (повреждение или кража серверов, ПК и других устройств с чувствительными данными)
Удобнее на слух?
В новом подкасте от «ОБИТ» эксперты препарируют вопрос, кто на самом деле должен платить за ИБ-инциденты, на реальных примерах из бизнеса.
Смотрите: YouTube
Или слушайте: Яндекс Музыка
Границы ответственности бизнеса
Кто владеет данными, тот их и защищает
Представим ситуацию. Отель обеспечил информационную безопасность решениями от надёжного поставщика, но хакеры сумели провести таргетированную атаку. Персональные данные гостей похищены, целостность ИТ-периметра нарушена. Кто виноват?
Никита Черняков, руководитель департамента информационной безопасности (ИБ) Центра экспертизы и дистрибуции цифровых технологий Axoft, считает, что ответственность лежит на компании. ИТ-директор должен предусмотреть потенциальную атаку и дифференцировать систему защиты:
«За сохранность данных отвечает бизнес. Особенно на объектах КИИ (критической информационной инфраструктуры). Если ИБ-инцидент всё-таки произошёл, ИТ-отдел должен принять ответственность и в будущем сделать так, чтобы именно этот инцидент не повторился».
Бизнес должен проверять подрядчиков
Никто не будет спорить, что поиск надёжного ИТ-партнёра — ответственность бизнеса. Изучайте рынок, проверяйте репутацию, степень безопасности и составляйте строгий договор с уровнем ответственности, обязательствами по устранению уязвимостей и санкциями за нарушения. Часто у подрядчиков есть доступ к системам клиента, а значит — взлом ИТ-партнёра ставит под угрозу вашу кибербезопасность. Когда сотрудничество заключено, регулярно тестируйте инфраструктуру подрядчика на уязвимости и внимательно следите за обновлениями.
Помните: дешёвое ИТ-решение от недобросовестного ИТ-партнёра может стоить вам миллионы рублей при утечке.
Человеческий фактор и ошибки эксплуатации
Поставщик ИТ-решения должен снабдить заказчика инструкциями по эксплуатации продукта, но он не может контролировать, как решение используется в повседневной работе. Если к инциденту привели ошибки сотрудников или неправильное применение— отвечать будет бизнес.
Никита Черняков рекомендует инвестировать в Security Awareness, то есть обучать сотрудников цифровой гигиене и способам защиты информационных ресурсов компании:
«У вас могут стоять совершенные средства защиты. Но если бухгалтер нажимает на ссылки в фишинговых письмах, а сотрудники вводят корпоративные учётные данные на непроверенных сайтах и используют везде один и тот же пароль, систему защиты ждёт крах».
Штрафы и урон репутации
В России санкции за утечку персональных данных в большинстве случаев накладывают на бизнес. И хотя по федеральному закону №152 ответственность несёт тот, кто обрабатывает данные, эксперты отмечают, что механизм распределения ответственности не проработан.
Рука об руку с финансовыми потерями идут репутационные. Если в банке произойдёт ИБ-инцидент и чувствительные данные улетят в сеть, клиенты обвинят в халатном отношении к кибербезопасности банк, а не поставщика средств защиты. Как итог — утрата лояльных клиентов и низкий кредит доверия у потенциальных.
Максим Сошников, ИТ-директор сети отелей Wawelberg, считает, что ответственность должна оставаться на организации:
«Это бодрит. Если компания знает, что понесёт персональную ответственность за утечку, она приложит больше усилий, чтобы защитить данные».
Границы ответственности вендора и интегратора
Бизнес платит за услуги и ожидает, что риски минимизированы
Простая истина: если вендор предоставляет ИТ-решение, он должен гарантировать его безопасность. Владимир Владимиров, руководитель ИТ-службы государственного учреждения, предлагает поставщикам решений разделять ответственность за инцидент. Например, если бизнес следовал всем рекомендациям вендора, но ИБ-инцидент всё-таки произошёл, вендор мог бы покрыть часть убытков средствами, которые получил от клиента.
А если к инциденту привели уязвимости из-за кастомизации, интеграция с небезопасными решениями или отсутствие регулярных обновлений, за которые отвечал интегратор ИБ-решения, и он должен разделять ответственность за инцидент.
SLA, договорные обязательства и сертификаты
ИТ-партнёр, будь то вендор или интегратор, точно должен компенсировать убытки в двух случаях:
- если контрактом прописано, что он несёт ответственность за ИТ-безопасность клиента;
- если он гарантирует, что деятельность соответствует стандартам безопасности, но в реальности это не так.
Когда партнёр не защищает данные клиента по контракту, есть три пути: 1) отказаться от сотрудничества; 2) «подстелить солому» и самостоятельно настроить резервное копирование, шифрование и т. д.; 3) доверить укрепление безопасности интегратору.
Никита Черняков:
«ИТ-партнёры отвечают только за тот объём услуг, который прописан в договоре. А многие думают, что, например, хранение данных у облачного провайдера предусматривает и защиту, и резервные копии. Это не так. Если бы договоры читались чаще и внимательнее, таких конфликтов удалось бы избежать».
Продолжить чтение: 10 главных правил кибербезопасности для бизнеса от «ОБИТ»
Ошибки в коде или инфраструктуре
Уязвимости в продукте, допущенные вендором, остаются в его зоне ответственности. Поставщик должен устранять их своими силами и отвечать за последствия. Если надзорные органы предъявили претензию за утечку вашей компании, но вы уверены, что виноват вендор и его уязвимый код, докажите это и переложите ответственность. Но будьте готовы провести расследование и предъявить суду весомые доказательства.
Есть ли однозначный ответ?
С нашей точки зрения — нет. А как вы считаете, кто чаще виноват в ИБ-инцидентах? Продолжим дискуссию в комментариях!
Подписывайтесь на наш VC-блог и Telegram-канал, чтобы регулярно получать полезную информацию об ИТ для бизнеса.