Кі­бер­без­пе­ка у 2018 ро­ці:

Но­вий ви­клик для бі­зне­су, не­об­хі­дність чи по­ба­жа­н­ня?

Yurydychna Gazeta - - АНАЛІТИКА | ТЕЛЕКОМУНІКАЦІЇ / МЕДІА / ТЕХНОЛОГІЇ - Ва­дим В БАРАНОВ,БАРАНОВ юрист «Алє­ксє­єв, Бо­яр­чу­ков та пар­тне­ри»

Те­хно­ло­гії в на­шо­му су­ча­сно­му жит­ті ма­ють все біль­ше зна­че­н­ня. Ін­тер­нет став не­о­дмін­ною ча­сти­ною усьо­го на­шо­го жи­т­тя. Не­за­ле­жно від то­го, пра­цю­є­мо ми чи роз­ва­жа­є­мо­ся, все це вже важ­ко уяви­ти без ін­тер­не­ту.

У 2017 р. у сві­ті від­бу­ло­ся кіль­ка ду­же зна­чних кі­бе­ра­так, так зва­них ві­ру­сів-здир­ни­ків (WannaCry, Petya, NotPetya, Bad Rabbit), які при­зве­ли до зна­чних зби­тків, пе­ре­бо­їв у ро­бо­ті бі­зне­су та дер­жав­них ор­га­нів. Та­кож від­бу­ло­ся до­ста­тньо ба­га­то зла­мів при­ва­тних ком­па­ній з ме­тою ви­кра­де­н­ня пер­со­наль­них да­них фі­зи­чних осіб. Бу­ло від­кри­то дві ве­ли­кі вра­зли­во­сті у май­же всіх су­ча­сних про­це­со­рах, які отри­ма­ли на­зву Spectre та Meltdown. На жаль, не вся ін­фор­ма­ція про ата­ки по­тра­пляє до ЗМІ, ко­жно­го ро­ку ха­ке­ри ви­кра­да­ють чи­ма­лі су­ми з бан­ків­ських си­стем, зла­му­ю­чи за­хист SWIFT-пла­те­жів рі­зних бан­ків. Остан­ні по­ві­дом­ле­н­ня про ви­кра­де­н­ня пер­со­наль­них да­них з Facebook та MyFitnessPal свід­чать про те, що сфе­ра кі­бер­зло­чин­но­сті тіль­ки на­би­рає обер­тів. Із все біль­шим роз­по­всю­дже­н­ням кіль­ко­сті при­стро­їв, які ви­ко­ри­сто­ву­ють ін­тер­нет, це ство­рює ще біль­ше но­вих мо­жли­во­стей для атак.

За­гро­зи 2018 ро­ку

2018 р. при­не­се не ли­ше роз­ви­ток рин­ку кі­бер­без­пе­ки, який очі­ку­є­ться на рів­ні 7%, до­ся­га­ю­чи 93 млрд до­ла­рів США, але й но­ві ви­ди за­гроз та но­ві шля­хи зла­му ме­реж і комп’юте­рів.

На­бу­дуть по­ши­ре­н­ня ві­ру­си­здир­ни­ки, які за­ра­жа­ю­чи си­сте­му, ши­фру­ють усі її фай­ли та ви­ма­га­ють ви­куп за роз­бло­ку­ва­н­ня фай­лів, про­те від­бу­де­ться змі­на ці­лей та­ких ві­ру­сів. Ха­ке­ри ата­ку­ва­ти­муть се­ре­дній та ма­лий бі­знес, які при­ді­ля­ють зна­чно мен­ше ува­ги сво­їй кі­бер­без­пе­ці, вва­жа­ю­чи, з огля­ду на їхній роз­мір, що во­ни на­вряд чи за­ці­кав­лять ха­ке­рів.

Сьо­го­дні все біль­ше ува­ги ха­ке­ри при­ді­ля­ють вра­зли­во­стям у сфе­рі Internet of Things (IoT – Ін­тер­нет Ре­чей). На­при­клад, не­що­дав­но бу­ло отри­ма­но до­ступ до ме­ре­жі ка­зи­но та ви­кра­де­но да­ні че­рез ро­зум­ний тер­мо­стат в аква­рі­у­мі, який був під­клю­че­ний до ме­ре­жі вай­фай ка­зи­но.

Подаль­шо­го роз­ви­тку на­бу­ва­ють так зва­ні ата­ки фі­нан­со­вих тро­я­нів зо­ло­тої ли­хо­ман­ки (Financial trojan gold rush), спря­мо­ва­ні на отри­ма­н­ня да­них ко­ри­сту­ва­чів для до­сту­пу до їхніх бан­ків­ських ака­ун­тів та ви­кра­де­н­ня ко­штів. Остан­ні зві­ти ком­па­нії IBM по­ка­зу­ють, що актив­ність та­ких про­грам за І квар­тал 2018 р. збіль­ши­ла­ся при­бли­зно на 7%, у по­рів­нян­ні з 2017 р.

Очі­ку­є­ться роз­ви­ток по­рів­ня­но но­во­го ви­ду за­гро­зи, а са­ме атак шля­хом за­сто­су­ва­н­ня supply chain (лан­цю­га по­ста­вок). Основ­ною мі­шен­ню та­ких атак бу­дуть ве­ли­кі ком­па­нії, які за­зви­чай є до­бре за­хи­ще­ни­ми, а от ком­па­нії се­ре­дньо­го та ма­ло­го бі­зне­су, які на­да­ють по­слу­ги та­ким ве­ли­ким ком­па­ні­ям, є про­сті­ши­ми для зла­му. Вра­хо­ву­ю­чи пев­ний рі­вень до­ві­ри між ко­ри­сту­ва­ча­ми з обох бо­ків, та­кий злам є більш ймо­вір­ним та мі­стить на­віть біль­ший рі­вень за­гро­зи, ніж мо­жли­вість пря­мо­го зла­му та­кої ве­ли­кої ком­па­нії ззов­ні.

Одні­єю з но­вих за­гроз у 2018 р. мо­жуть ста­ти так зва­ні про­гра­ми без сер­ве­ра (serverless applications). Ці про­гра­ми все ще пра­цю­ють на сер­ве­рі, про­те їм не по­трі­бен пев­ний кон­кре­тний сер­вер, вір­ту­аль­не се­ре­до­ви­ще або фі­зи­чне схо­ви­ще для ро­бо­ти. Не­що­дав­ній ау­дит цих про­грам по­ка­зав, що ко­жна п’ята та­ка про­гра­ма має ту чи ін­шу кри­ти­чну вра­зли­вість, яка на­дає мо­жли­вість ха­ке­ру пов­ні­стю за­хо­пи­ти та­ку про­гра­му та зму­си­ти її ви­ко­ну­ва­ти шкі­дли­ві дії.

Та­кож на­бу­ва­ють по­пу­ляр­но­сті про­по­зи­ції із за­сто­су­ва­н­ня ха­кер­ських та ДДоС (DDoS) атак як по­слу­ги. В ме­ре­жі є по­пу­ляр­ни­ми сай­ти, які про­по­ну­ють рі­зні рів­ні за­мов­них DdoS-атак. Не­що­дав­но Єв­ро­пол про­вів мас­шта­бну опе­ра­цію із за­кри­т­тя одно­го з та­ких сер­ві­сів (сайт WebStresser), який про­по­ну­вав по­слу­ги із за­мов­них DdoS-атак усьо­го за 15 єв­ро на мі­сяць.

Роз­ви­ток за­хи­сту

Одни­ми з остан­ніх трен­дів у сфе­рі те­хно­ло­гій є роз­ви­ток шту­чно­го ін­те­ле­кту, ма­шин­на осві­та, а та­кож те­хно­ло­гія бло­кчейн. Бло­кчейн за сво­єю су­т­тю є те­хно­ло­гі­єю роз­по­ді­ле­ної кни­ги за­пи­сів. Бло­кчейн – це роз­по­ді­ле­на ба­за да­них, яка ви­ко­ри­сто­ву­є­ться як у при­ва­тних, так і в пу­блі­чних про­гра­мах, а не в цен­тра­лі­зо­ва­ній стру­кту­рі, де вся ін­фор­ма­ція збе­рі­га­є­ться в де­кіль­кох ду­же ве­ли­ких ба­зах да­них. Че­рез їх роз­по­ді­ле­ну при­ро­ду бло­кчей­ни не за­без­пе­чу­ють ні­яко­го «ха­кер­сько­го» вхо­ду або цен­траль­ної то­чки від­мо­ви й та­ким чи­ном за­без­пе­чу­ють біль­шу без­пе­ку, якщо по­рів­ню­ва­ти з рі­зни­ми по­то­чни­ми тран­за­кцій­ни­ми стру­кту­ра­ми, ке­ро­ва­ни­ми ба­за­ми да­них. Однак її за­сто­су­ва­н­ня у за­без­пе­чен­ні без­пе­ки да­них ще по­пе­ре­ду.

Ще одним на­прям­ком роз­ви­тку за­хо­дів за­без­пе­че­н­ня кі­бер­без­пе­ки є роз­ви­ток та ви­ко­ри­ста­н­ня шту­чно­го ін­те­ле­кту вклю­чно з ма­шин­ною осві­тою. Ці те­хно­ло­гії по­тен­цій­но мо­жуть здій­сню­ва­ти ці­ло­до­бо­вий мо­ні­то­ринг ме­ре­жі, ви­яв­ле­н­ня будь-яких сто­рон­ніх про­ни­кнень та усу­не­н­ня на­слід­ків та­ких про­ни­кнень. Мо­жли­во, в най­ближ­чо­му май­бу­тньо­му ми по­ба­чи­мо, як шту­чний ін­те­лект зі сто­ро­ни за­хи­сту ме­ре­жі про­ти­сто­я­ти­ме шту­чно­му ін­те­ле­кту, який на­ма­га­ти­ме­ться про­ни­кну­ти в ме­ре­жу та зла­ма­ти за­хист. Однак їх ро­зроб­ка та на­вча­н­ня по­тре­бу­ють три­ва­ло­го ча­су, а то­му най­більш ймо­вір­ним по­ча­тком їх за­сто­су­ва­н­ня бу­де кі­нець 2018 р. або 2019 р.

Сві­то­ве за­ко­но­дав­ство. Рух у на­прям­ку ре­гу­лю­ва­н­ня?

Оці­ню­ю­чи зро­ста­н­ня рів­ня за­гроз у сфе­рі ін­тер­нет-без­пе­ки, а та­кож зна­че­н­ня ви­ко­ри­ста­н­ня все­сві­тньої ме­ре­жі для всіх лю­дей, де­які дер­жа­ви мо­дер­ні­зу­ва­ли своє за­ко­но­дав­ство, вра­хо­ву­ю­чи ці но­ві ви­кли­ки.

27.04.2016 р. Єв­ро­пей­ським Пар­ла­мен­том та Ра­дою Єв­ро­пей­сько­го Со­ю­зу бу­ло прийня­то Пра­ви­ла (Regulation) №2016/679 під на­звою За­галь­ні пра­ви­ла за­хи­сту да­них (General Data Protection Regulation або GDPR), які за­мі­ню­ють за­ста­рі­лу Ди­ре­кти­ву №95/46/EC та на­бу­дуть чин­но­сті з 25.05.2018 р. На сьо­го­дні жо­дна кра­ї­на ще не прийня­ла та­ких ши­ро­ких пра­вил по­во­дже­н­ня з пер­со­наль­ни­ми да­ни­ми. Вар­то за­ува­жи­ти, що під час слу­хань се­на­ту що­до спра­ви з ви­то­ком пер­со­наль­них да­них, який від­був­ся у Facebook, се­на­то­ри до­ста­тньо ча­сто по­си­ла­ли­ся на ці Пра­ви­ла та бра­ли їх як при­клад не­об­хі­дних змін у за­ко­но­дав­стві. Адже оче­ви­дно, що сьо­го­дні з роз­ви­тком те­хно­ло­гій ду­же зна­чна кіль­кість пер­со­наль­них да­них зна­хо­ди­ться в ме­ре­жі Ін­тер­нет, а вра­хо­ву­ю­чи рі­вень за­гроз, лю­ди по­тре­бу­ють пев­но­го рів­ня за­хи­сту сво­їх да­них. Го­лов­ні пун­кти, які мі­стять GDPR: • Ек­сте­ри­то­рі­аль­не за­сто­су­ва­н­ня Пра­вил. Пра­ви­ла роз­по­всю­джу­ють свою дію на всіх опе­ра­то­рів, які здій­сню­ють оброб­ку да­них, не­за­ле­жно від їх те­ри­то­рі­аль­но­го мі­сце­зна­хо­дже­н­ня, не­за­ле­жно від то­го, здій­сню­є­ться та­ка оброб­ка на те­ри­то­рії ЄС чи ні, у всіх ви­пад­ках на­да­н­ня по­слуг або про­да­жу то­ва­рів гро­ма­дя­нам ЄС (не­за­ле­жно від то­го, стя­гу­є­ться за них пла­та чи ні).

• Зна­чні штра­фні сан­кції за по­ру­ше­н­ня Пра­вил, які мо­жуть ся­га­ти 4% від рі­чно­го обі­гу під­при­єм­ства або 20 млн єв­ро (за­ле­жно від то­го, що є біль­шим).

• Отри­ма­н­ня пря­мої зго­ди від ко­ри­сту­ва­чів на оброб­ку їхніх пер­со­наль­них да­них. Те­пер ком­па­нії не змо­жуть хо­ва­ти­ся за ве­ли­ки­ми та від­вер­то не­чи­та­бель­ни­ми пра­ви­ла­ми на­да­н­ня по­слу­ги. Пра­ви­ла ви­ма­га­ють отри­ма­н­ня від­кри­тої, зро­зумі­лої та до­сту­пної зго­ди на оброб­ку да­них з чі­тким по­ясне­н­ням, для чо­го бу­дуть ви­ко­ри­сто­ву­ва­тись да­ні. Вво­ди­ться мо­жли­вість від­кли­ка­н­ня зго­ди на оброб­ку да­них. Ця мо­жли­вість по­вин­на бу­ти на­стіль­ки ж лег­кою, як і на­да­н­ня зго­ди.

• Суб’єкти да­них на­ді­ля­ю­ться та­ки­ми пра­ва­ми: пра­во бу­ти по­ві­дом­ле­ни­ми про будь-які ви­то­ки да­них про­тя­гом 72 го­дин з мо­мен­ту ви­яв­ле­н­ня та­ко­го ви­то­ку; пра­во до­сту­пу

Newspapers in Ukrainian

Newspapers from Ukraine

© PressReader. All rights reserved.