Регуляторы ведущих стран мира ужесточают требования к критически важной инфраструктуре и вводят обязательные требования по срокам информирования об инцидентах, планам реагирования и нормам отчётности. На неисполнение директив предполагается отказ от принципа добровольности. 

 

SEC МОДЕРНИЗИРУЕТ СТАРЫЕ ЗАКОНЫ

Комиссия по ценным бумагам и биржам США (SEC) объявила о новых правилах, требующих от ряда финансовых учреждений иметь чёткие планы действий на случай утечки информации о клиентах.

Правила, принятые в качестве поправки к предыдущим требованиям от 2000 г., распространяются на брокеров-дилеров, финансовые порталы (например, Kickstarter или GoFundMe), инвестиционные компании, зарегистрированных инвестиционных консультантов и трансфер-агентов. Они обязаны «разрабатывать, внедрять и поддерживать письменные политики и процедуры» для обнаружения и устранения нарушений, связанных с информацией клиентов.

Поправки также вводят правила, обязывающие компании разработать процедуры уведомления клиентов, к конфиденциальной информации которых произошёл несанкционированный доступ или произошла её утечка.

Как отметил глава SEC Гэри Генслер в своём заявлении, эти поправки необходимы, поскольку за более чем два десятилетия с момента вступления в силу исходного постановления «характер, масштаб и последствия утечек данных существенно изменились».

Основная идея требований заключается в том, что, если произошло нарушение, организация должна уведомить об этом, считает Генслер. Этот шаг важен для инвесторов.

Организации должны уведомить жертв как можно скорее и не позднее, чем через 30 дней после того, как стало известно об инциденте, связанном с утечкой информации о клиентах. Уведомление должно содержать подробную информацию об инциденте, утечке данных и о том, что пострадавшие могут сделать для своей защиты.

Поправка вступит в силу через два месяца после публикации правила в Федеральном реестре. Крупным компаниям даётся 18 месяцев на выполнение требований закона, более мелким — два года. SEC не уточнила, каким образом она делит предприятия по размеру.

Новые поправки вступают в силу на фоне постепенного перехода компаний к новым правилам SEC по отчётности об инцидентах. Требования обязывают публичные компании уведомлять агентство о «существенных» инцидентах. Несколько крупных компаний, в том числе Microsoft, Hewlett Packard, Frontier и другие, уже были вынуждены подать документы формы 8-K об инцидентах в области кибербезопасности.

Попытки отменить эти требования SEC предпринимают члены палаты представителей, которые считают, что Комиссия плохо подготовлена к решению проблем, связанных с кибербезопасностью, и что отчёты об инцидентах подвергают пострадавшие компании новым атакам. В ответ Белый дом заявил, что наложит вето на любую законодательную попытку отменить правило SEC.

Эксперты по кибербезопасности приветствуют действия SEC. Они отмечают, что многолетняя практика добровольности соблюдения правил ИБ способствовала вялому отношению многих компаний к вопросам кибербезопасности, в том числе и к сообщениям о нарушениях и утечках, и потому компании не готовы соблюдать новые требования.

 

ЕС ГОТОВИТСЯ К НОВОЙ ЭРЕ NIS2

18 октября 2024 г. в ЕС вступит в силу Директива NIS2 (Network and Information Systems Directive 2) — закон, который придёт на смену устаревшей Директиве NIS 2016 г. Он направлен на повышение устойчивости критически важных секторов по всему Евросоюзу.

Директива уделяет значительное внимание персональной ответственности заинтересованных сторон в управлении рисками кибербезопасности и вводит финансовые санкции за несоблюдение требований закона. Широкая сфера применения, строгие санкции и ключевая роль руководства — опорные точки, которые обеспечат прочную основу для построения киберзащиты организаций на фоне развивающихся рисков безопасности, считают авторы закона. Организации, работающие на территории ЕС или поставляющие продукцию в страны Евросоюза, в рамках NIS2 должны реализовать 10 важнейших мер кибербезопасности, чтобы соответствовать требованиям законодательства.

NIS2 расширяет сферу действия, он охватывает такие сектора, как цепочки поставок, производство продуктов питания и государственное управление. Закон будет введён во всех странах — членах ЕС и вводит правила ограничения размера. Все средние и крупные предприятия, работающие в критически важных секторах, подпадают под действие директивы. Эти меры направлены на усиление кибербезопасности в отраслях, имеющих важное значение для экономики.

Основная цель NIS2 — повысить киберустойчивость организаций по всему ЕС путём укрепления активной позиции в области ИБ и обеспечения тесного сотрудничества между организациями и их поставщиками. NIS2 также предполагает развитие сотрудничества между секторами, обмен информацией об угрозах и способах борьбы с ними.

В рамках NIS2 организации должны соблюдать строгие требования безопасности. Они включают надёжные методы управления рисками, планирование непрерывности бизнеса, корпоративную подотчётность и обязательства по отчётности.

Директива определяет конкретные обязательства и сроки предоставления отчётности. Установлены предельные сроки уведомления регуляторов об инцидентах: 24 часа для первичного извещения о происшествии, 72 часа для уточнения информации и один месяц — на подготовку полного отчёта. Компании должны обеспечить оценку серьёзности ущерба и информировать все заинтересованные стороны об их роли в процессе уведомления.

NIS2 возлагает ответственность на корпоративное руководство за надзор, одобрение и прохождение обучения мерам кибербезопасности организации. Руководство компаний несёт ответственность за контроль и утверждение мер кибербезопасности, а также за обеспечение соблюдения требований NIS2. Невыполнение этих обязанностей, неспособность устранить киберриски может привести к штрафам для руководства, включая потенциальную ответственность и временное отстранение от руководящих должностей.

Невыполнение требований, изложенных в NIS2, может повлечь за собой значительные штрафы и репутационный ущерб. 10 млн евро или 2% от общего годового оборота — максимальный штраф, который может быть наложен на предприятие за несоблюдение директивы.

 

БЕЛЫЙ ДОМ УКРЕПЛЯЕТ РОЛЬ CISA

В 2013 г. администрация Б. Обамы выпустила «Директиву президентской политики по безопасности и устойчивости критической инфраструктуры», которая стала предшественником Закона об Агентстве по кибербезопасности и инфраструктурной безопасности (CISA) 2018 г. Этот новаторский для того времени документ подчёркивал важность растущего риска кибератак на критически важную инфраструктуру. Однако со временем программы кибербезопасности нуждаются в переоценке. В апреле этого года президент Д. Байден подписал новую директиву, которая усилила роль CISA в защите КИИ от киберугроз.

Меморандум о национальной безопасности (NSM) давно ожидался в отрасли ИБ. Он закрепляет роль CISA в обеспечении национальной безопасности, но не учитывает изменения в критической инфраструктуре, которые произошли за последнее десятилетие, пишут эксперты. В исходном документе 2013 г. были определены 16 отраслей, которые работают напрямую с агентствами по управлению отраслевыми рисками (SRMA) и департаментами правительства. К этим отраслям относятся химическая промышленность, критически важные производства и службы экстренной помощи, вопросы продовольствия и сельского хозяйства, финансовые услуги.

В NSM 16 отраслей остались без изменений, в закон не были включены космос и биоэкономика — две критически важные отрасли, рекомендованные для включения CISA.

Космос играет огромную роль в сфере телекоммуникаций, интернет-услуг, спутников и GPS. Но чиновники заявили, что космическая инфраструктура широко сегментирована и является частью других отраслевых агентств. Биоэкономика подпадает под другой указ 2022 г., который способствует пониманию технологий, формирующих отрасль.

Роль CISA в новом законе прописана более чётко. NSM считает CISA «национальным координатором по безопасности и устойчивости» критической инфраструктуры страны и отраслевых агентств. Агентство официально реализует предусмотренные законом полномочия, чтобы возглавить национальные усилия, направленные на управление и снижение рисков для кибер- и физической инфраструктуры, работает на межведомственном уровне и далее поддерживает реализацию ролей и обязанностей SRMA.

В рамках новой роли CISA будет отвечать за оценку прогресса в улучшении приоритетов безопасности и устойчивости в отраслевых агентствах, а также за выявление угроз и рекомендации мер по улучшению кибербезопасности. CISA будет поддерживать обмен важной информацией по безопасности на уровне правительства.

 

КИБЕРНАЛОГ ПРИЗНАЛИ НЕСВОЕВРЕМЕННЫМ 

Правительство Нигерии приостановило введение сбора на кибербезопасность при внутренних денежных переводах. Новым налогом власти планировали ограничить использование криптовалют, которые, как считают в правительстве, виновны в ослаблении национальной валюты страны.

6 мая Центральный банк страны распространил циркуляр для финансовых учреждений, включая коммерческие, негосударственные, беспроцентные банки и банки, предоставляющие платёжные услуги, которым объявил о введении сбора в размере 0,5% на электронные транзакции в целях финансирования кибербезопасности. Регулятор поручил начать сбор налога в течение двух недель.

Гражданское общество выступило против нововведения. 9 мая группа Нигерийского экономического саммита (NESG) выразила обеспокоенность по поводу сроков введения сбора. В своём заявлении группа призвала федеральное правительство пересмотреть налог из-за опасений по поводу множественного налогообложения и инфляционного давления, отягощающего нигерийцев. Эксперты подчеркнули, что в условиях растущей инфляции, финансовой изоляции, роста стоимости жизни и курсов валют сроки введения сбора на кибербезопасность являются неподходящими.

14 мая правительство официально сообщило о приостановке реформы налогообложения, об этом заявил министр информации Мохаммед Идрис.

Первоначально сбор на кибербезопасность в Нигерии был предложен в законе 2015 г. Средства планировалось направить в Национальный фонд кибербезопасности и использовать для укрепления потенциала ИБ Нигерии. Ожидалось, что этот сбор будет приносить около 3 трлн найр (1,9 млрд долларов) ежегодно, однако правительство не представило никакого финансового расчёта. Реализация этой нормы в мае 2024 г. в итоге признана несвоевременной.

Нигерия — одна из трёх крупнейших экономик Африки. Сегодня страна переживает серьёзный экономический кризис. Годовая инфляция превышает 30%, падают иностранные инвестиции, растут расходы на жизнь. Средний гражданин Нигерии с трудом может позволить себе купить основные продукты питания.

На этом фоне страна является центром киберпреступности, особенно мошенничества с использованием социальной инженерии и программ-вымогателей. Ухудшение экономической ситуации может привести к увеличению киберрисков для граждан и бизнеса, отмечают наблюдатели. Выходом из ситуации могут стать в первую очередь экономические реформы.

 

ЖЕНСКИЕ ОРГАНИЗАЦИИ ТРЕБУЮТ КИБЕРЗАЩИТЫ

Системные проблемы могут поставить под угрозу безопасность женщин при внедрении искусственного интеллекта (ИИ), а гендерные предубеждения в широко используемых системах ИИ создают серьёзное препятствие для позитивного использования ИИ в контексте мира и безопасности в странах Юго-Восточной Азии, говорится в исследованиях, проведённых структурой «ООН-женщины» и Университетским институтом ООН в Макао (UNU Macau). 

Женские правозащитные организации региона подвергаются высокому риску столкновения с киберугрозами. И хотя они осознают эти риски, такие организации не способны подготовиться к ним или отразить кибератаки. Это один из ключевых выводов исследования «ИИ, женщины, мир и кибербезопасность в странах Юго-Восточной Азии», проведённого при поддержке правительства Австралии в рамках Программы сотрудничества в области кибербезопасности и критических технологий (CTCCP) Министерства иностранных дел и торговли (DFAT) и правительства Республики Корея в рамках инициативы «ООН-женщины». 

По прогнозам, к 2030 году ИИ добавит 1 трлн долларов США к ВВП стран Юго-Восточной Азии. Понимание влияния новых технологий на повестку дня женских организаций имеет решающее значение для оказания поддержки странам региона в регулировании технологий и снижении их рисков.

Исследователи рассматривают возможные риски, уделяя особое внимание четырём типам гендерных предубеждений в ИИ: дискриминации, стереотипам, изоляции и отсутствию безопасности. Их необходимо решить прежде, чем регион сможет в полной мере извлечь выгоду из новых технологических разработок, считают эксперты ООН. В исследовании рассматривается взаимосвязь между ИИ и женскими кампаниями в соответствии с тремя типами применения ИИ: мирный, нейтральный и конфликтный.

В отчёте отмечается, что во всех категориях существуют благоприятные и неблагоприятные последствия ИИ для гендерно-чувствительного мира и участия женщин в миротворческих усилиях. И хотя использование ИИ в мирных целях имеет множество преимуществ, в том числе для повышения инклюзивности и эффективности предотвращения конфликтов, отслеживания доказательств нарушений прав человека, он используется неравномерно между полами. Широко распространённые гендерные предубеждения снижают вероятность того, что женщины получат выгоду от применения новых технологий. Отдельно подчёркиваются риски, связанные с использованием технологий ИИ в военных целях. Для улучшения динамики использования ИИ в регионе необходимо снижение рисков, связанных с системами ИИ для продвижения повестки дня правозащитниц, особенно в социальных сетях, с помощью чат-ботов и мобильных приложений, и содействие развитию инструментов ИИ, специально созданных для поддержки гендерно-чувствительного мира в соответствии с пожеланиями женского правозащитного движения. 

В докладе «Угрозы кибербезопасности, уязвимости и устойчивости среди женщин-правозащитников и гражданского общества в Юго-Восточной Азии» исследуются риски и уязвимости кибербезопасности с целью повышения киберустойчивости, а также прав человека и цифровых прав женщин в странах региона. Несмотря на растущую осведомлённость о рисках, с которыми сталкиваются в виртуальном пространстве женщины и девочки, эксперты оценивают как слабое понимание специалистами влияния гендера на кибербезопасность, процессы и практики, используемые для защиты цифровых систем и сетей от киберрисков, и наносимый этими рисками вред. 

Исследование фокусируется на кибербезопасности, ориентированной на человека, и уделяет особое внимание человеческому фактору, а не техническим навыкам, отмечают эксперты. Они полагают, что киберугрозы носят гендерный характер, в результате чего правозащитницы подвергаются особым нападениям из-за направленности их работы и, вероятно, атакуются женоненавистниками с целью сексуального притеснения. 

Результаты исследований подчёркивают, что цифровые технологии занимают центральное место в работе женских правозащитных объединений, которые более чувствительны к восприятию киберугроз и рисков по сравнению с CSO, которые не занимаются гендерными вопросами и правами женщин. Наибольшие различия в уровне угроз между группами касались онлайн-преследований, троллинга и доксинга (распространение в интернете чувствительной информации о персоне без разрешения). 

Эксперты рекомендуют содействовать инклюзивным и совместным подходам к разработке требований и политик кибербезопасности, средств предотвращения угроз и реагирования на кибератаки для правозащитных объединений с учётом опыта женских правозащитных движений. Особое внимание следует уделять организациям, подвергающимся риску и действующим в политически нестабильных, конфликтных и кризисных ситуациях. 

Презентация исследований состоялась во время молодёжной конференции Структуры «ООН-женщины» «Ген-Форум 2024: молодые лидеры для женщин, мира и безопасности в Азиатско-Тихоокеанском регионе», которая прошла в Таиланде.