Конфіденційність та шахрайство в інтернет-сфері

Справа в тому, що останнім часом почастішали випадки, коли сайти, заражені троянськими програмами, і самі трояни використовують протокол SSL з тим, щоб уникнути шлюзові системи фільтрації трафіку - адже шифровану інформацію ні антивірусне ядро, ні система захисту від витоку даних перевірити не в стані. Втручання в обмін між Web-сервером і призначеним для користувача комп'ютером дозволяє таким чином замінити сертифікат Web-сервера на виданий, наприклад, корпоративним СЦ і без видимих змін в роботі користувача сканувати трафік користувача при використанні протоколу SSL.

Третій та доволі ефективний метод протидії - це URL-фільтрація. У корпоративному середовищі фільтрація сайтів застосовується для обмеження нецільового використання мережі Інтернет співробітниками і як захист від фішерських атак. У багатьох антивірусних засобах захисту даний спосіб боротьби з підробленими сайтами взагалі є єдиним. Виявленням фішерських сайтів і внесенням їх у чорні листи займаються багато компаній - від виробників антивірусних рішень до банків, платіжних систем і правоохоронних органів. Зокрема, створюються спеціальні організації для боротьби з фішерами, такі як AntiPhishingWorkGroup (APWG - http://www.apwg.org).

Спільні заходи зацікавлених сторін у тісній співпраці з реєстраторами та хостингових компаній дозволяють оперативно закривати підроблені сайти. Спільні зусилля спрямовані на максимально швидке оновлення чорних списків і блокування роботи сайтів зловмисників. Однак далеко не всі виробники засобів антивірусного захисту можуть похвалитися такою високою оперативністю в оновленні баз, до того ж багато користувачів не використовують ніяких засобів захисту на своїх комп'ютерах або вводять номери кредитних карт і іншу конфіденційну інформацію з випадкових робочих місць.

Для захисту від загроз необхідно мати на увазі наступне:

- потрібно реєструватися тільки у тих соцмережах, які викликають довіру та пропонують надійні механізми аутентифікації і розмежування доступу до особистої інформації користувача;

- слід пам'ятати, що будь-яка інформація, розміщена в інтернеті, з великою імовірністю залишається там назавжди, навіть в разі її видалення автором, адже може бути збережена або поширена іншими користувачами;

- особливу увагу слід приділяти посиланням, які надходять від інших користувачів - вони можуть бути частиною фішингової чи фармінгової атаки.

Старі та перевірені методи шахрайства досі успішно працюють, але постійно модифікуються. Серед нових винаходів шахраїв можна виділити наступні схеми:

1. Схеми з працевлаштуванням. З'явилося два нових розповсюджених способи виманити кошти у тих, хто шукає роботу. Перший - кадрове агентство, яке обіцяє багато пропозицій від роботодавців. Але спочатку кандидат має зробити і надіслати селфі з паспортом. Другий - робота вдома, наприклад, набір тексту чи сортування кавових зерен, за яку аферисти просять заплатити завдаток, своєрідний гарантійний внесок.

За бажання працювати вдома доведеться заплатити, але один раз. Натомість, надсилаючи фото документу, ви ризикуєте отримати кілька кредитів у МФО, які дають позики онлайн, та довго сплачувати заборгованість.

2. Тенета для романтиків.Чим більше аферисти знають про людські слабкості та бажання, тим легше їм створювати нові приманки. Романтичне шахрайство прийшло до нас з Європи. Зловмисники шукають жертв у соціальних мережах та на сайтах знайомств. Потім розсилають їм романтичні електронні листи - і будь- яким способом виманюють гроші.

Набула популярності схема з кінотеатром. Самотня жінка чи чоловік спокушаються на запрошення незнайомця провести романтичний вечір разом. Аферист обирає на свій смак приватний кінотеатр для двох. Далі - прохає придбати квитки у кіно. Жертва оплачує їх за посиланням на шахрайському сайті, після чого «прекрасний» незнайомець чи незнайомка зникає. Часто зловмисники маніпулюють почуттями до близьких людей. Не втрачають дієвості фрази: «кохана, я в біді» або «мама, я в лікарні».

3. Онлайн-обмінники. Все більше товарів та послуг ми шукаємо і оплачуємо онлайн. Щоб перевірити сайт, достатньо за кілька хвилин почитати відгуки в інтернеті чи подивитися чорний список. На жаль, громадяни ігнорують заходи безпеки та купуються на зручність і легкість здійснення операцій. Тому часто кошти зникають на невідомих рахунках чи номерах мобільних телефонів.

4. Фальшиві інвойси. Новий вид шахрайства - схеми з інвойсами, тобто документами, які надсилає продавець покупцеві при оплаті товару. Інвойс містить інформацію про ціни та кількість товарів і послуг, які замовляє покупець. Шахраї, довідавшись про те, що жертва чекає певне замовлення, надсилають на пошту фальшиві листи з іншими реквізитами.

Останні два види шахрайства, пов'язані з обманом в електронних товарах. Справа у тому, що робити покупки через інтернет, а не бігати по магазинах, сьогодні воліють все більше людей. Такий вид торгівлі має низку переваг, зокрема значно економить, час, сили та гроші покупця. Але й тут є свої «підводні камені».

Не поодинокими зараз є випадки шахрайства в інтернеті, такі як:

1. Ви оплатили товар - товар не отримали - гроші повертати не збираються.

2. Товар назад не приймають протягом 14-ти днів.

3. Товар не ремонтують по гарантії.

Варто пам'ятати, що у випадку обману в електронних товарах Ви маєте право звернутися із заявою про шахрайство до поліції. Також можете звернутися до Державної служби України з питань безпечності харчових продуктів та захисту споживачів (http://www.consumer.gov.ua). Але, як показує практика, ці дії не завжди дають бажаний результат. Тому, якщо у вас є інформація про продавця або виробника, є підтвердження оплати товару, то найкращий спосіб захистити свої права - це звернутися з письмовою претензією до продавця, де вказати нарахування штрафу. У разі отримання відмови на претензію - вирішити спір через суд. Слід зазначити, що судовий збір за подання позовної заяви про захист прав споживачів не сплачується.

Однак, аби не потрапити у таку ситуацію, при покупці товарів через інтернет необхідно завжди звертати увагу на наступні важливі моменти [8]:

1. Репутація та добросовісність продавця. Основною метою продавця є прагнення реалізувати свій товар. Аби привернути увагу споживачів та зацікавити своїм товаром в інтернеті, продавець створює сайт або сторінку в соцмережі. При цьому покупець не знає, хто є дійсним власником (продавцем) товару. Цю інформацію він може отримати лише за наявності реальних контактних даних (адреса, телефон, вид господарської діяльності). Якщо вся інформація про продавця доступна, це дає можливість перевірити його наявність у Єдиному державному реєстрі юридичних осіб, фізичних осіб-підприємців та громадських формувань на сайті https://usr.minjust.gov.ua/

Також за необхідності це дає змогу зв'язатися з ним, запросити додаткові документи, а у разі отримання неякісного товару або неповернення коштів - надіслати на його адресу претензію, а за необхідності звернутися до суду. Адже якщо на сайті є лише номер телефону і назва сайту, то ви не зможете ні повернути товар, ні кошти, оскільки невідомо, з кого вимагати усунення порушень ваших прав.

2. Відомості про товар та виробника. Перед тим, як замовити товар, обов'язково дізнайтеся всю інформацію про продукцію. Якщо даних недостатньо на сайті, запитайте у продавця.

Ви маєте право вимагати у продавця наступну інформацію про товар:

- основні характеристики продукції: назва товару, номінальна кількість (масу, об'єм, розмір), умови використання; відомості про вміст шкідливих для здоров'я речовин, генетично модифікованих організмів, найменування та місцезнаходження виробника;

- дані про ціну (тариф), включаючи плату за доставку, та умови оплати;

- дату виготовлення;

- відомості про умови зберігання;

- гарантійні зобов'язання виробника (виконавця);

- строк придатності;

- строк доставки товару або надання послуги;

- сертифікат, якщо продукція підлягає обов'язковій сертифікації.

Також не забувайте вимагати гарантійний талон на товар. Адже протягом гарантійного строку виробник або продавець бере на себе зобов'язання з безоплатного ремонту або заміни відповідної продукції.

3. Оплата товару та його доставка. Здійснюйте оплату по факту отримання товару, після його огляду та перевірки. Якщо ви замовили доставку товару кур'єром, прослідкуйте, щоб він надав вам товарний чек з печаткою продавця, і за необхідності товарний талон та сертифікати на товар. Огляньте (протестуйте) доставлений товар. Переконайтеся, що до нього додаються всі чеки. Тільки після цього сплачуйте покупку. Якщо продавець, все ж таки, вимагає сплату частини або всієї суми коштів, скористайтеся окремою кредитною карткою з обмеженою сумою коштів. У призначенні платежу обов'язково вкажіть за що і кому сплачуєте. Надішліть на електронну пошту продавця скан-копію платіжного документу і вимагайте від нього письмового, електронною поштою підтвердження отримання такої оплати. Обов'язково зберігайте всі документи, що підтверджують зв'язок із продавцем та факт оплати товару. Це може бути електронне листування, скріншот сторінки сайту з обраним вами товаром, доказ оплати (електронна квитанція).

4. Право на повернення товару. Покупець має право розірвати укладений через інтернет-договір і повернути товар протягом 14-ти днів з моменту одержання товару. Після закінчення цього терміну повернення можливе тільки за гарантією. Це правило поширюється на непродовольчі товари належної якості за умови, що вони не використовувалися і зберегли товарний вигляд, споживчі властивості та ярлики. Також у покупця має бути наявний розрахунковий документ (чек).

В інтересах споживачів Кабінет Міністрів України затвердив «Перелік товарів належної якості, що не підлягають обміну (поверненню)». Тому повернути продукцію і отримати назад свої гроші можна далеко не за всі групи товарів. До списку «неповернення» потрапили всі продовольчі товари (їжа, напої, алкоголь, тютюнові вироби), ліки, медичні інструменти, прилади та апарати, предмети санітарної гігієни. Також обміну та поверненню не підлягають деякі непродовольчі товари: постільна та натільна білизна, косметика, парфумерія, товари для новонароджених, ювелірні вироби, друкована продукція та інше.

Врахуйте й те, що товар, придбаний через інтернет, ви будете доставляти в магазин вже самі. Якщо ж купували річ за подарунковим сертифікатом, то повернути товар в такому випадку може виявитися дуже непросто, оскільки законодавчо це питання не врегульоване. Тому вирішувати, повертати вам гроші чи обмінювати цей товар на інший будуть у торговій точці, яка випустила ваучер.

Будь-які витрати, пов'язані з поверненням продукції, покладаються саме на продавця. Якщо продавець не повертає сплачені кошти за товар або послугу у разі розірвання договору, покупець має право нараховувати неустойку у розмірі 1% від вартості продукції (послуги) за кожний день затримки повернення коштів.

5. Можливість замінити товар. Законодавство передбачає можливість заміни продавцем товару за його відсутності іншим. Про це покупця повинні повідомити перед укладенням договору.

Продавець може замінити товар тільки тоді, коли одночасно виконуються три умови:

* інший товар відповідає меті використання замовленого;

* має таку ж або кращу якість;

* його ціна не перевищує ціни замовленого товару.

Покупець, реалізуючи своє право на обмін (повернення) товару, придбаного через інтернет, повинен надіслати на адресу продавця Претензію-повідомлення з описом вкладеного у посилку (в межах 14 днів). Складність у повернені товару може виникати через цілісність його коробки (упаковки). Доволі часто можна зустріти таку умову, що товар повинен бути повністю укомплектований, а цілісність упаковки має відповідати тій, яка була на момент продажу. Зверніть увагу на те, що ви маєте право на ознайомлення зі змістом посилки. Проте слід враховувати, що товар при поверненні (обміні) має бути у повній його комплектації, інакше це зробити набагато складніше.

Варто взяти до уваги іще таких два моменти, які пов'язані із купівлею товарів в електронних магазинах, які можуть виявитися несправжніми.

1. На серйозному сайті, крім товарів, також присутня безкоштовна інформація - статті, огляди, відгуки тощо.

2. Переконайтеся, що сайт розміщений на платному хостингу. Якщо інтернет магазин знаходиться на безкоштовному хостингу, то тримайтеся від нього подалі. Власник серйозного проєкту ніколи не розмістить свій сайт на безкоштовному хостингу, тільки із-за того, що це не надійно для нього самого.

Перед здійсненням покупки спробуйте зв'язатися з автором товару або ж сайту. Переконайтеся, що там дійсно є люди, і служба підтримки реагує на ваші повідомлення. Якщо на сайті немає даних для зв'язку, то це повинно вас насторожити. Здійснюйте покупки на перевірених сайтах.

Виходячи з усього вищевикладеного, на державному рівні мають бути розроблені заходи забезпечення конфіденційності та кібербезпеки приватних користувачів та комерційних організацій. Варто зауважити, що кібербезпека - це дійсно складний процес, але вона є обов'язковою складовою успішного бізнесу. Кожна складова бізнес-процесів, представляє лише окрему ланку у нескінченному ланцюзі взаємопов'язаних елементів. Сьогодні компаніям складніше, ніж коли-небудь, чітко визначити критичні точки у власній багатогранній інфраструктурі через яку вони взаємодіють з оточуючим світом. Такі умови створюють підґрунтя для хакерських атак.

Об'єктом уваги зловмисників стають абсолютно різні за масштабами та сферою діяльності компанії. Найбільш часто, заходи безпеки обумовлюються рівнем загроз і ризиків. На жаль, кіберпростір повен загроз, проте заходи по запобігання атак повинні обумовлюватися рівнем ризику, оскільки тактика і методи кіберзлочинців постійно змінюються.

Зовнішніми загрозами для бізнесу є [6]: шкідливе ПО; DDoS-атаки; фішингові атаки; проникнення у мережу; втрата пристроїв зі збереженими паролями. Внутрішніми найпопулярнішими загрозами є вразливе програмне забезпечення та витоки через співробітників або їх з вини.

Збільшення обсягів, оброблюваних клієнтських даних, і зростаюча роль інтелектуальної власності в успіху продукту призводять до виникнення нових форм розкрадання інформації. Конкурентів цікавить інформація про внутрішні процеси у компанії, дані про співробітників, фінансова інформація, інтелектуальна власність, дані корпоративного банківського аккаунту.

Проблема кібербезпеки полягає у тому, що бізнес рідко використовує надійне антивірусне ПЗ чи спеціалізовані рішення щодо захисту від DDoS-атак, вживає дій для захисту інформації та фінансових транзакцій. Система захисту складається з багатьох взаємопов'язаних частин: організаційних, правових, інженерно-технічних заходів, а також заходів криптографічного та технічного захисту інформації, спрямованих на запобігання кіберінцидентам, виявлення та захист від кібератак, ліквідацію їх наслідків, відновлення сталості і надійності функціонування комунікаційних, технологічних систем. Юридична складова є обов'язковою і такою, що передує усім стадіям. Своєчасного оновлення антивіруса і блокування сумнівних сайтів на офісних комп'ютерах недостатньо.

Насправді зламати інформаційні системи набагато легше, ніж забезпечити їх захист та ефективне функціонування. Універсального підходу не має. Необхідно розібратися у походженні атаки, провести розслідування, ідентифікувати вразливі місця, які дали змогу шкідливому ПО розповсюдитися. Далі потрібно вжити заходів щодо вдосконалення процесів, швидкого виявлення індикаторів кіберзагроз та мінімізувати виникнення подібних інцидентів у майбутньому. Бізнес повинен сформувати більш глибоке розуміння існуючих на сьогоднішній день кібер-ризиків, забезпечити належний моніторинг та розробити плани швидкого реагування, не обмежуючись заходами запобігання ризикам.

Впровадженню ефективної технічної складової захисту від кібератак, передує клопітка робота юристів у симбіозі з фахівцями з кібербезпеки, яка полягає у проведенні ефективного IT-комплаєнсу і ризик-менеджменту. Якщо ж уже відбувся інцидент інформаційної безпеки, юристи разом із фахівцями допоможуть провести ефективне розслідування та вплинути на порушника правовими засобами захисту за протиправне посягання.

Питання кібербезпеки наразі є досить гострим для усіх країн світу. До прийняття Закону України «Про основні засади здійснення кібербезпеки України», національне регулювання обмежувалося нормами загального характеру, прийнятими на галузевому рівні міністерств та відомств та деякою кількістю Указів Президента України. Критерії оцінки захищеності інформації у комп'ютерних системах від несанкціонованого доступу зафіксовані Департаментом спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України ще у документі НД ТЗІ 2.5-004-99. Вже давно існують національні криптографічні алгоритми, відображені у відповідних ДСТУ 4145-2002 та ДСТУ ГОСТ 28147-89. Нажаль, дія вищезазначеного Закону не поширюється на відносини та послуги, пов'язані із змістом інформації, що обробляється (передається, зберігається) у комунікаційних та/або в технологічних системах, соціальних мережах, приватних електронних інформаційних ресурсах у мережі Інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси).

Застосування законодавства у сфері кібербезпеки та прийняття суб'єктами владних повноважень рішень на виконання норм цього Закону здійснюються з додержанням принципів мінімально необхідного регулювання, згідно з яким рішення (заходи) суб'єктів владних повноважень повинні бути необхідними і мінімально достатніми для досягнення мети і завдань, визначених цим Законом. Тому Кабінет Міністрів України повинен сформувати вимоги та забезпечити функціонування системи аудиту інформаційної безпеки на об'єктах критичної інфраструктури.

Спеціалізований структурний підрозділ Державного центру кіберзахисту та протидії кіберзагрозам Державної служби спеціального зв'язку та захисту інформації України (CERT-UA) періодично публікує рекомендації, які стосуються безпеки поштового сервісу, з протидії загрозі інсайдера, усунення вразливостей, пов'язаних з некоректним налаштуванням DNS-серверів, з самостійного пошуку та ліквідації веб-шеллів, тощо.

У Європі розуміють важливість захисту даних. Так, усім відомий нормативний акт Європейського Союзу, який встановлює правила роботи з персональними даними (GDPR) ставить досить жорсткі вимоги до технічної складової захисту персональних даних у тому числі. 9 травня 2018 року набрала чинності Директива Європейського парламенту і Ради (ЄС) №2016/1148, під назвою «Безпека мереж та інформації». За цією Директивою, кожна держава-член ухвалює національну стратегію щодо безпеки мережевих та інформаційних систем, що визначає стратегічні цілі та доречну політику та регуляторні інструменти з метою досягнення та підтримання високого рівня безпеки мережевих та інформаційних систем. Надавачі цифрових послуг повинні забезпечити рівень безпеки, співмірний з рівнем ризику, що виникає для безпеки цифрових послуг, які вони надають, враховуючи важливість інших послуг для операцій інших суб'єктів господарської діяльності у межах Союзу. На практиці, ступінь ризику для операторів основних послуг, які часто є істотними для підтримки важливої соціальної та економічної діяльності, є вищим ніж для надавачів цифрових послуг.

Таким чином, вимоги до безпеки для надавачів цифрових послуг повинні бути менш суворими. Надавачі цифрових послуг повинні мати свободу вживати заходи, які вони вважають належними для управління ризиками, що виникають для безпеки їхніх мережевих та інформаційних систем. Через свій транскордонний характер, надавачі цифрових послуг повинні підлягати більш гармонізованому підходу на рівні Союзу. Імплементаційні акти повинні сприяти конкретизації та реалізації таких заходів.

Отже, кібербезпека потребує постійної підтримки та аналізу її ефективності. Слід узгоджувати бізнес- ініціативи з питаннями безпеки. Важливою складовою захисту є постійне оновлення засобів забезпечення безпеки та підняття рівня захисту.

Як і в усіх інших країнах, орієнтованих на демократичну модель розвитку, під безпосереднім (за формою власності і можливостями адміністративно-правового впливу) контролем держави в Україні перебуває лише частина національної критичної інформаційної інфраструктури (НКІІ). Значний її сегмент - у галузях енергетики, хімічної промисловості, транспорту, ІКТ, банківському секторі, комунальному господарстві тощо - перебуває у приватній та інших формах власності. Поряд із цим як український так і міжнародний досвід свідчить про те, що:

1) саме недержавні об'єкти кібербезпеки, зазвичай, є найбільш вразливими для кібератак;

2) повноцінний захист таких об'єктів вимагає об'єднання зусиль приватного та державного секторів і системної взаємодії між ними;

3) широке, тобто не обмежене лише об'єктами НКІІ, КДПП є взаємовигідним і сприяє оптимізації галузевої державної політики та зміцненню національної безпеки (звісно, за умови адекватного інституційно- правового регулювання).

Сьогодні існує критична потреба у розвитку кібербезпекового державно-приватного партнерства (КДПП), яка обумовлена низкою причин, серед яких насамперед такі:

* активна приватизація деяких секторів критичної інфраструктури, унаслідок якої державні органи не можуть самостійно гарантувати повноту захисту критичної інформаційної інфраструктури;

* накопичення великої кількості електронних інформаційних ресурсів, які мають важливе значення для діяльності як приватних власників так і органів державного управління;

* залежність інфраструктури від інформаційно-телекомунікаційних систем та їхньої уразливості;

* зростаюча конвергенція комп'ютерних мереж, унаслідок чого ураження однієї з інформаційно- комунікаційних систем може суттєво позначитися на функціонуванні інших;

* у підприємств малого та середнього бізнесу, зазвичай, бракує повноважень і ресурсів для повноцінного захисту власної інформаційної інфраструктури, тому вони зацікавлені в отриманні відповідних послуг від державних органів та/або від крупних корпорацій.

Саме тому різні форми КДПП розглядаються нині як один з основних інструментів побудови ефективних систем кіберзахисту і широко застосовуються у міжнародній практиці.

Поряд із викладеним вище і недержавний сектор в Україні, і державні відомства демонструють значний потенціал для формування повноцінної платформи КДПП у загальнонаціональних масштабах. Наприклад, саме на засадах ДПП триває робота над створенням в Україні потужного центру з кібербезпеки на базі ДК «Укроборонпром». Крім представників РНБОУ, Міністерства оборони, СБУ, ДССЗЗІ, Департаменту кіберполіції, фахівців НАТО, консультантів турецької державної компанії HAVELSAN та спеціалістів НТУУ «КПІ», у проекті беруть участь громадська неприбуткова організація «Українська академія кібербезпеки» і українська команда «білих» хакерів DCUA (одна з найсильніших у світі).

З кінця 2015 р. в Україні, крім державного CERT-UA, діє офіційно акредитований міжнародною мережею FIRST приватний центр реагування та боротьби з кіберінцидентами. Ідеться про вітчизняну компанію CyS- Centrum, яка спеціалізується на моніторингу й нейтралізації ІБ-загроз з використанням апаратно-програмних рішень власної розробки, а також на консалтингу у сфері інформаційної безпеки. Ще у квітні 2015 р. MBC України та корпорація «Майкрософт» підписали Меморандум про взаєморозуміння, який засвідчив взаємну зацікавленість у співпраці у сфері захисту даних, інформаційної та кібербезпеки. У листопаді 2017 р. подібний же меморандум, спрямований на організацію взаємодії у побудові комплексних рішень технічного забезпечення відомчої діяльності у масштабах держави, застосування інновацій у сфері держуправління, а також оптимізації наявного ресурсу, був підписаний представниками Національної поліції України та компанії «Майкрософт Україна». Особливо високу динаміку розвитку КДПП демонструє Департамент кіберполіції Національної поліції України. Зокрема, з 2016 р. налагоджена системна співпраця між відомством і українськими профільними компаніями ProtectMaster (protectmaster.org) і Berezha Security (berezhasecurity.com), а також з громадською організацією «Експертів кібербезпеки» (залучення фахівців, обмін даними, проведення спільних конференцій, тренінгів для держслужбовців). Департаментом також організовано регулярний обмін інформацією та досвідом з фахівцями з Харківського національного університету радіоелектроніки і Національного аерокосмічного університету ім. М. Є. Жуковського.

Крім того, у вересні 2017 р. за сприяння Української асоціації операторів зв'язку «Телас» було підписано меморандум про співпрацю між Департаментом кіберполіції й дата-оператором lifecell, за умовами якого останній на безоплатній основі передав Департаменту систему власної розробки для екстреного інформування в умовах надзвичайних ситуацій EmergencyNotificationSystem (ENS). Серед іншого, система дає змогу локалізувати кіберзагрозу й уникнути її розповсюдження за допомогою оперативного інформування про небезпеки завчасно визначених груп отримувачів через голосові виклики, SMS та електронні листи.

При цьому Міністерство оборони України зацікавлене у розширенні спроможностей Збройних Сил України щодо підготовки та здійснення кібероборони та планує організацію державно-приватного партнерства за основними напрямами щодо [4]:

* створення кіберрезерву;

* використання інфраструктури та обчислювальних спроможностей;

* отримання консультаційної та матеріальної допомоги.

Зазначену діяльність на цей час розпочато у взаємодії з Громадською радою при Міністерстві оборони України та провідними ІТ-компаніями України. Служба безпеки України також напрацювала значний досвід у цій сфері. З ініціативи СБУ започатковано спільний з Радою Європи проєкт Cybercrime@EAPIII, спрямований на зміцнення співробітництва державних, у т. ч. правоохоронних і спеціальних органів країн - членів Східного партнерства, з приватним ІТ-сектором у сфері протидії кіберзагрозам, а також використання електронних доказів у досудових розслідуваннях. У межах цього проєкту незалежними експертами вже розроблено проект Меморандуму про порозуміння з питань співпраці в боротьбі з кіберзлочинністю та злочинами, під час доведення яких використовуються електронні докази.

Одним з найбільш важливих та перспективних напрямів КДПП є освітній напрям - підготовка кваліфікованих кадрів і поширення серед працівників компаній та пересічних користувачів культури інформаційної та кібернетичної безпеки (запуск загальнонаціональної програми «комп'ютерного лікнепу»).

Відомо, що Україна має значний потенціал у цій сфері. Разом із цим як експерти-освітяни, так і професійна ІТ-спільнота констатують наявність системних проблем у цій сфері: відсутність належного рівня кваліфікації у підготовці сучасних фахівців з питань кібербезпеки та інформаційної безпеки в закладах освіти; низькій рівень зарплати професорсько-викладацького складу в інститутах та фінансування фахівців у державних компаніях; застарілу навчальну програму з підготовки фахівців з питань кібербезпеки та інформаційної безпеки; відсутність координації у системі освіти між замовниками кадрів та закладами освіти; відірваність фахівців з інформаційної та кібербезпеки від міжнародної системи стандартизації; брак наукових досліджень з проблем кібербезпеки [4].

Критично важливим є також забезпечення належного рівня обізнаності персоналу компаній та установ в питаннях кібернетичної та інформаційної безпеки. Форми КДПП тут можуть бути різноманітними: спільні семінари, тренінги, онлайн-курси, залучення науково-аналітичних та консалтингових компаній всіх форм власності і багато іншого.

Важливим є постійний та системний обмін даними щодо актуальних кіберзагроз і можливостей (інструментів) боротьби з ними. Для цього оптимальним було би створення та підтримка на основі широкої КДПП національної системи обміну даними про кіберінциденти та їх реєстр. Це дозволило б підрозділам з ІТ- безпеки компаній та установ перевіряти маркери компрометації, відслідковувати, кому ще розсилалися аналогічні зразки шкідливого програмного забезпечення, обмінюватися індикаторами атак, убезпечуючи таким чином свої об'єкти від кіберзлочинців.

Кібербезпекове державно-приватне партнерство найдоцільніше організовувати на таких принципах і засадах [4]:

* формування відносин довіри між державними суб'єктами (регуляторами) кібербезпеки і керівництвом приватних підприємств;

* створення умов, за яких приватні об'єкти кіберзахисту добровільно приводитимуть свої програми управління ризиками у відповідність до вимог регулятора (галузевих регуляторів) та надаватимуть всю необхідну інформацію в інтересах захисту критичної інфраструктури;

* постійне врахування галузевої специфіки процесів інформатизації та дотримання кібербезпеки у різних секторах економіки, запровадження інституту галузевих регуляторів;

* основними контактними (координуючими) суб'єктами захисту критичної інфраструктури повинні бути тільки державні установи;

* діяльність державних структур унормована (суворо регламентована) у стосунках з приватним сектором - у розвитку ДПВ належить використовувати інструментарій пільг і привілеїв;

* створення співтовариств для обміну інформацією;

* організація CERT у різних галузях і на різних рівнях;

* розробка та розвиток у рамках ДПВ спільних автоматизованих систем моніторингу кібератак.

Висновки

У нових умовах неминуче повинно змінитися співвідношення прав ІТ-компаній та користувачів. Якщо перші, як і раніше, повинні мати можливість обробляти та аналізувати персональні дані в інтересах розвитку бізнесу, то другі - повинні мати право знати, як, кому і чому передається їх персональна інформація, а також мати можливість виправляти особисту інформацію у разі потреби і навіть запросити її видалення, за винятком випадків, коли існує законна потреба або юридичне зобов'язання у збереженні цих даних. Крім того, з метою забезпечення конфіденційності та кібербезпеки приватних користувачів і комерційних організацій потрібно: створити ефективний наглядовий орган у сфері захисту персональних даних, однак при цьому заходи безпеки та онлайн-обмеження повинні відповідати міжнародним стандартам; не потрібно забороняти використовувати шифрування, оскільки такі обмеження знижують можливості громадян із захисту себе від незаконних втручань у приватність; політика держави у інтернет-сфері має бути спрямована на сприяння розвитку та функціонуванню безпечних інтернет- технологій і формування механізмів захисту від сервісів та протоколів, які ставлять під загрозу технічне функціонування інтернету від вірусів, фішингу тощо.

Важливим є також постійний та системний обмін даними щодо актуальних кіберзагроз і можливостей (інструментів) боротьби з ними. Для цього оптимальним було би створення та підтримка на основі широкої КДПП національної системи обміну даними про кіберінциденти та їх реєстр.

Список використаних джерел

1. Безпека соціально-економічних процесів в кіберпросторі: матеріали Всеукр. наук.-практ. конф. (Київ, 27 берез. 2019 р.). Київ: Київ. нац. торг.-екон. ун-т, 2019. URL: https://knute.edu.ua/file/NjY4NQ= =/250dafc576ffd3c6a92546eebacc834d.pdf (дата звернення: 02.12.2020).

2. Види шахрайства. URL: https://financer.com/ua/vydy-shahraystva/(дата звернення: 02.12.2020); Офіційний сайт Мінфіну України. URL: https://minfin.com.ua/ua/2018/07/09/34266317/(дата звернення: 02.12.2020).

3. Гончаров Д. О. Організація протидії кібершахрайству, що використовує фітингові веб-ресурси. URL: http://ir.nmu.org.ua/bitstream/handle/123456789/154337/%D0%93%D0%BE%D0%BD%D1%87%D0%B0% D1%80%D0%BE%D0%B2.pdf?sequence=1 (дата звернення: 02.12.2020).

4. Державно-приватне партнерство у сфері кібербезпеки: міжнародний досвід та можливості для України: аналіт. доп. / за заг. ред. Д. Дубова. Київ: НІСД

5. Заборони та свободи в інтернеті: як виглядатиме Декларація цифрових прав людини. URL: zmina.info/articles/zaboroni_ta_svobodi_v_interneti_jiak_vigljiadatime_deklaracijia_cifrovih_prav_ljiudini/ (дата звернення: 02.12.2020).

6. Кібербезпека бізнесу - це не лише технічні заходи. URL: https://legalitgroup.com/kiberbezpeka- biznesu-tse-ne-lishe-tehnichni-zahodi/ (дата звернення: 03.12.2020).

7. Мошенничество с банковскими картамы. URL: https://kltcredit. ua/ua/moshennichestvo-s-bankovskimi- kartami (дата звернення: 02.12.2020).

8. Покупки через інтернет: поради юриста. URL: https://ldn.org.ua/consultations/pokupky-cherez- internet-porady-yurysta/ (дата звернення: 03.12.2020)

9. Фішинг і таргет-фішинг. URL: https://www.imena.ua/blog/phishing-and-target-phishing/ (дата звернення: 02.12.2020).

References

1. Bezpeka sotsialno-ekonomichnykh protsesiv v kiberprostori [Security of socio-economic processes in cyberspace]: materialy Vseukr. nauk.-prakt. konf. (Kyyiv, 27 berez. 2019r.). Kyyiv: Kyyiv. nats. torh.-ekon. un-t, 2019. URL: https://knute.edu. ua/file/NjY4NQ==/250dafc576ffd3c6a92546eebacc834d.pdf

2. Vydy shakhraystva [Types of fraud]. URL: https://financer.com/ua/vydy-shahraystva/ (data zvernennya: 02.12.2020); Ofitsiynyy sayt Minfinu Ukrayiny. URL: https://minfin.com.ua/ua/2018/07/09/34266317/

4. Honcharov, D. O. Orhanizatsiya protydiyi kibershakhraystvu, shcho vykorystovuye fitynhovi veb-resursy [Anti-cyber fraud organization that uses fitting web resources]. URL: http://ir.nmu.org.ua/bitstream/handle/ 123456789/154337/%D0%93%D0%BE%D0%BD%D1%87%D0%B0%D1%80%D0%BE%D0%B2.pdf?sequence=1

5. Derzhavno-pryvatne partnerstvo u sferi kiberbezpeky: mizhnarodnyy dosvid ta mozhlyvosti dlya Ukrayiny [Public-private partnership in the field of cybersecurity: international experience and opportunities for Ukraine]: analit. dop. / za zah. red. D. Dubova. Kyyiv: NISD, 2018. S. 59-64.

6. Zaborony ta svobody v interneti: yak vyhlyadatyme Deklaratsiya tsyfrovykh prav lyudyny [Prohibitions and freedoms on the Internet: what the Declaration of Digital Human Rights will look like]. URL: zmina.info/articles/zaboroni_ta_svobodi_v_interneti_jiak_vigljiadatime_deklaracijia_cifrovih_prav_ljiudini/

7. Kiberbezpeka biznesu - tse ne lyshe tekhnichni zakhody [Cybersecurity of business is not just a technical measure]. URL: https://legalitgroup.com/kiberbezpeka-biznesu-tse-ne-lishe-tehnichni-zahodi/

8. Moshennichestvo s bankovskimi kartami [Fraud with bank cards]. URL: https://kltcredit.ua/ua/moshennichestvo-s-bankovskimi-kartami

9. Pokupky cherez internet: porady yurysta [Online shopping: legal advice]. URL: https://ldn.org.ua/consultations/pokupky-cherez-internet-porady-yurysta/

10. Fishynh i tarhet-fishynh [Phishing and target phishing]. URL: https://www.imena.ua/blog/phishing-and- target-phishing/

Размещено на Allbest.ru