Пошук по сайту

Інформаційна безпека now: яких елементів не вистачає?

Використання всесвітньої мережі та нових технологій супроводжується такими явищами, як низький рівень культури безпеки, збільшення онлайн користувачів і залежності від цифрової інфраструктури, поширення небажаного контенту, розвиток кібер-шахрайства, витоки інформації, втрата даних, несанкціонований доступ до інформації.

Кібервійни та кібертероризм набувають глобального характеру та вираженої динаміки, що ускладнює їх виявлення та можливості протидії.

Також зростає злочинність у сфері банківської діяльності, збільшилась кількість несанкціонованого втручання в роботу комп’ютерів, а відповідальність за такі злочини не відповідає стандартам міжнародної конвенції про кібербезпеку.

Наприклад, за даними кримінального провадження  №  554/8338/17 у Полтаві трьома людьми було викрадено у 41 людини 1,16 млн грн, покарання особи отримали незначне, а таких випадків чимало, адже у 2018 році кіберполіція зареєструвала 11 131 кримінальне провадження.

Збільшення кількості інформаційних злочинів за останні п’ять років у 2,5 рази означає, що кожному з нас, особливо державі, варто посилити інформаційну безпеку.

 

Що таке інформаційна безпека?

В українському законодавстві термін закріплено лише у Законі України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки» [1]. Також визначення можна знайти в Угоді держав-учасниць СНД [2].

Якщо навести приклади, то інформаційна безпека – це про захист коштів на банківській картці, цілісність медичних даних у системі helsi, не заборонений контент у соціальних мережах, неможливість стороннього редагування законів на rada.gov.ua, конфіденційність повідомлень у месенджерах, а також захист від кібер- атак об’єктів критичної інфраструктури[3], наприклад аеропорту Бориспіль. Які пріоритети держави у цій сфері?

Відповідно державної стратегії у сфері інформаційної безпеки та плану її виконання  – в Україні немає.

Навіть, Стратегія розвитку Кабінету міністрів України не містить жодних пріоритетів у сфері інформаційної безпеки.[4]

У Доктрині інформаційної безпеки України визначено, що до національних інтересів України в інформаційній сфері віднесено такі життєво-важливі інтереси особи, як:

  • забезпечення конституційних прав і свобод людини на збирання, зберігання, використання та поширення інформації;
  • забезпечення конституційних прав людини на захист приватного життя;
  • захищеність від руйнівних інформаційно-психологічних впливів.

 

Проте, цей документ являє собою сукупність теоретичних понять про цілі, принципи та правові складові інформаційної безпеки.

Відтак, з нього не зрозуміло чітких завдань та відповідальних суб’єктів за інформаційну безпеку, оскільки він є лише  основою для розроблення проектів, концепцій, стратегій, цільових програм і планів дій із забезпечення інформаційної безпеки України.

Протягом останніх років значно зросла необхідність в комплексному та ефективному підході до процесу забезпечення безпеки національного інформаційного простору, і це проглядається у нормативних документах зарубіжних країн.

Наприклад, у Молдові діє Стратегія інформаційної безпеки яка містить опис безпекових та правових проблем,  цілі, задачі, KPI[5], та план її реалізації із чітким розподілом відповідальних суб’єктів.

У Данії також на державному рівні розроблено стратегію інформаційної та кібер безпеки яка комплексно охоплює інформаційну безпеку – від найвищого державного рівня –  до безпеки людини в мережі.

В Естонії, яка вважається європейським  лідером  із застосування цифрових технологій в економіці та адмініструванні дбають про інформаційний захист з 1996 року.

Які є перспективи в Україні?

 

На мою думку, враховуючи досвід найкращих світових практик, інформаційну безпеку в Україні маємо розглядати як систему, що складається з чотирьох компонентів: правового, технічного, комунікаційного та освітнього.

Правовий компонент повинен встановити норми та гарантувати юридичні механізми системи захисту інформації в державі, забезпечувати відповідний механізм попередження, реагування та розслідування будь-яких посягань на інформаційну безпеку.

Технічний компонент має забезпечити інженерно-технічними заходами конфіденційність, цілісність та доступність інформації;

Комунікаційний компонент – забезпечення системи моніторингу та формування контенту у соціальних мережах;

Освітній компонент – інтегроване систематичне навчання інформаційній безпеці у закладах освіти, а також підвищення кваліфікації для працівників органів державної влади та місцевого самоврядування, які працюють з інформацією.

 

Відштовхуючись від цих 4-х компонентів, можна виокремити необхідні перші кроки для посилення інформаційної безпеки:

 

1.Виявити специфічні сегменти, що вимагають реформування у сфері інформаційної безпеки. Наприклад, провести комплексні аудити (правовий, технічний, комунікаційний та освітній) у сфері інформаційної безпеки у державних органах із залученням зацікавлених суб’єктів.

2.На основі виявлених вразливостей із фахівцями у сфері інформаційної безпеки сформувати національну стратегію інформаційної безпеки та реалістичний план її виконання.

3.Розпочати реалізацію реформи інформаційної безпеки.

 

*****

[1]

[1] Інформаційна безпека – стан захищеності життєво важливих інтересів людини, суспільства і держави, при якому запобігається нанесення шкоди через: неповноту, невчасність та невірогідність інформації, що використовується; негативний інформаційний вплив; негативні наслідки застосування інформаційних технологій; несанкціоноване розповсюдження, використання і порушення цілісності, конфіденційності та доступності інформації.

[2] Інформаційна безпека – стан захищеності інформаційного середовища суспільства, що забезпечує його формування, використання і розвиток в інтересах громадян, організацій, держави.

[3] Об’єкти критичної інфраструктури – підприємства та установи (незалежно від форми власності) таких галузей, як енергетика, хімічна промисловість, транспорт, банки та фінанси, інформаційні технології та телекомунікації (електронні комунікації), продовольство, охорона здоров’я, комунальне господарство, що є стратегічно важливими для функціонування економіки і безпеки держави, суспільства та населення.

[4] У цілі 12.1 стратегії йдеться мова лише про захист юридично значущої інформації (про права на нерухомість, транспортні засоби, корпоративні права та інші вартісні об’єкти).

[5] KPI – ключові показники ефективності (Key Performance Indicators), — фінансова та нефінансова система оцінки, яка допомагає організації визначити досягнення стратегічних цілей.

 

Автор: Анастасія Апетик

#інформаційнабезпека #кібербезпека

 

 

Анастасія Апетик, Юристка, експертка з інформаційних прав та цифрової безпеки