Вы уверены?
Отключение аналитических cookie-файлы не позволит сделать сайт более комфортным для вас
Отключение рекламных cookie-файлы не позволит принимать меры по совершенствованию отображения рекламы
Согласен
Не согласен

Особенности национальной киберохоты: как работает интернет-законодательство в разных странах

Особенности национальной киберохоты: как работает интернет-законодательство в разных странах
Фото носит иллюстративный характер. Источник: freepik.com
Фото носит иллюстративный характер. Источник: freepik.com

В Беларуси регулярно происходят громкие утечки персональных данных. Клиентские базы известных перевозчиков, интернет-порталов и торговых сетей – лишь верхушка айсберга. На порядок больше количество тех, о ком после взлома не написали в СМИ. В том числе компаний, которые даже не подозревают о том, что данные их клиентов уже в руках злоумышленников.

Центр кибербезопасности hoster.by каждый день фиксирует десятки и сотни случаев потенциально опасных действий на сайтах своих клиентов. А также помогает компаниям приводить свои информационные системы в соответствие с требованиями законодательства по кибербезопасности.

Начальник группы юридического обслуживания hoster.by Наталья Косяк рассказала о самых распространенных в Беларуси типах угроз, о рисках для организаций, а также об особенностях регулирования сферы защиты персональных данных у нас и за рубежом.

Наталья Косяк
Начальник группы юридического обслуживания hoster.by

– Какие типы киберпреступлений вы фиксируете чаще всего?

– Различные варианты несанкционированного доступа к ресурсам. Например, через подбор паролей или рассылку вредоносных программ. Часто используются уязвимости движков сайтов: с этой проблемой обычно сталкиваются те, кто не любит регулярно обновлять свои системы управления контентом или CMS. Также очень распространен фишинг – имитация веб-ресурсов для получения платежных или других данных пользователей.

Наши системы мониторинга фиксируют сотни потенциальных инцидентов в день, и аналитики центра кибербезопасности рассматривают каждый из них. Это постоянная активность, ведь у киберпреступников нет выходных.

– С какими последствиями сталкиваются пострадавшие компании?

– Все по-разному: для кого-то несколько часов простоя бизнеса могут оказаться фатальными. Других «добивает» список исправлений и модификаций, которые они обязаны внедрить после череды проверок. Такие проверки обычно следуют за кибератаками, особенно если речь об утечке персональных данных.

Для кого-то самым дорогим последствием становится потеря репутации. Хотя в какой-то мере белорусские компании чуть менее уязвимы в этом контексте по сравнению с европейскими или американскими.

– Почему? Это связано с особенностями законодательства?

– В том числе. Например, в соответствии с Общим регламентом защиты персональных данных в Европейском союзе (GDPR) организации обязаны сообщать клиентам о произошедшей утечке в течение 3 дней после происшествия. В Беларуси же компании должны информировать Национальный центр защиты персональных данных. Обязательств по информированию клиентов не прописано в законе, хотя негласно они соблюдаются.

Требования публичной огласки нет и в США, как нет и целостного законодательства в области кибербезопасности – там все требования определяются на уровне штата. Но есть возможность предъявления пострадавшими гражданских исков организациям, «потерявшим» их данные. А если пострадавших много, то сумма исков может быть крупнее любых мыслимых штрафов за несоблюдение требований по защите данных.

К слову, в Беларуси также можно требовать возмещения морального вреда, причиненного вследствие нарушения прав, установленных Законом «О защите персональных данных».

– Какие законодательные акты регулируют сферу кибербезопасности в Беларуси?

– Их несколько. Есть Закон «О защите персональных данных» (№ 99-З от 07.05.2021). Он регулирует все отношения, связанные с обработкой таких данных и устанавливает требования к их защите.

  • Указ Президента Республики Беларусь № 40 «О кибербезопасности» устанавливает правовую основу для создания и функционирования национальной системы обеспечения кибербезопасности. В том числе формирование механизма противодействия кибератакам.
  • Основные принципы, которыми обязаны руководствоваться в своей деятельности все государственные и коммерческие организации, изложены в Постановлении Совета Безопасности от 18.03.2019 № 1 «О Концепции информационной безопасности Республики Беларусь».
  • Нельзя не упомянуть Указ Президента Республики Беларусь № 60 «О мерах по совершенствованию использования национального сегмента сети Интернет», который действует уже почти 15 лет. Он регулирует множество аспектов работы байнета, но известен многим своим требованием к компаниям размещать свои сайты и информационные системы исключительно на серверах в РБ. Требование касается веб-ресурсов, с помощью которых реализуются товары или оказываются услуги на территории нашей страны.
  • Защита данных, распространение которых ограничено, регулируется Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66.

Есть ряд других положений, но мы упомянули основные, которые в той или иной степени затрагивают всех: физических лиц, бизнес, госкомпании.

– Внушительный список. Наше законодательство в сфере кибербезопасности как-то принципиально отличается от других стран?

– Оно отличается не столько принципами, сколько подходами. В Беларуси он более формализован, все особенности нормативного регулирования жестко задокументированы. Примерно такой же подход существует в России.

В большинстве стран ЕС выработан риск-ориентированный подход к обеспечению безопасности данных. Он основан на оценке их «чувствительности» и базируется на международных стандартах. В частности на ISO/IEC 27001:2013 и ISO/IEC 27005:2018.

Тот же GDPR, который регулирует вопросы защиты персональных данных в Европе, является регламентом, требования которого обязаны соблюдать все страны ЕС при разработке собственного законодательства. Формулировки в регламенте менее формализованы, чем в белорусских законодательных актах, но в GDPR они компенсируются прецедентной практикой.

В целом по вопросам защиты персданных в нашей стране, в России, в ЕС и в США обязательным является получение согласия от каждого лица при сборе их данных. Хотя есть и исключения: например, в Беларуси согласие не потребуется при оформлении трудовых отношений, при наличии договора между пользователем и компанией, при ведении административных и уголовных процессов, исполнении судебных постановлений и т.д. Во всех регионах также есть перечень мер для защиты персональных данных, а также право доступа к своим данным для их исправления.

Среди отличий законодательства в разных регионах – обязательство хранить персональные данные на определенной территории. Так, в Беларуси и России такое требование есть: т.е. белорусские организации и интернет-проекты могут размещать данные клиентов только на серверах, физически размещенных на территории нашей страны. В странах ЕС и США требования не такие жесткие. Например, согласно GDPR данные могут храниться в любой стране ЕС и иных государствах, в которых существует схожий уровень защиты.

– Есть какой-то законодательный минимум, который просто обязан знать каждый, кто ведет бизнес в Беларуси сегодня? Есть ощущение, что знать все аспекты регулирования вопросов кибербезопасности, мягко говоря, затруднительно.

– Минимум мы проговорили сегодня: хостинг на территории Беларуси, обязательные меры по защите персональных данных и т.д. Знать все невозможно и не нужно. Но важно быть внимательным и не откладывать вопросы безопасности на потом.

Как же тогда быть уверенным, что ничего не нарушаешь в данный момент? Самый простой и эффективный способ – решать вопросы работы вашего веб-проекта или информационной системы совместно с хостинг-провайдером. Это связано с тем, что ряд систем необходимо аттестовывать, для каких-то проектов понадобится специальное ПО и т.д.

Самостоятельно учесть все нормативные и технические нюансы по-настоящему нелегко. А провайдеру достаточно подробно изложить, какие у вас задачи и с какими данными вы работаете, а специалисты уже расскажут, нужны ли вам специфические виды хостинга или дополнительные меры защиты.

При необходимости там же вам помогут выстроить, настроить, перенести и протестировать работу вашего проекта. Так вы будете уверены, что в точности выполняете все требования законодательства и не рискуете безопасностью и репутацией.

Hoster.by – провайдер облачных решений и хостинга с более чем 20-летней историей. Является первым в стране аттестованным коммерческим центром кибербезопасности. А также крупнейшим регистратором национальных доменов .BY и .БЕЛ и единственным в Беларуси аккредитованным ICANN регистратором международных доменов.

Текст: Наталья Косяк
Если вы заметили ошибку в тексте новости, пожалуйста, выделите её и нажмите Ctrl+Enter
Оцените статью:
Оформление заявки
Оставьте заявку и получите:
Отправить заявку
Оставьте заявку и получите:
Отправить заявку
Оформление заявки
Оставьте заявку и получите:
Отправить заявку
Уведомления
Отметить все как прочитанные
Удалить все