Регуляторы разработали Кодекс с правилами по защите компаний. Но соблюдать их необязательно...
Британское правительство призвало руководителей крупных компаний "быть тверже" в вопросах защиты от кибератак и рассматривать эту угрозу как ключевой бизнес-риск, сопоставимый с финансовыми и юридическими проблемами.
Призыв последовал за результатами исследования, выявившего "недостаточную вовлеченность директоров" в вопросы кибербезопасности их организаций. Лишь 30% опрошенных компаний имеют в совете директоров членов, явно ответственных за информационную защиту в рамках своих должностных обязанностей.
Во вторник был опубликован проект Кодекса практики с инструкциями для топ-менеджеров и директоров по укреплению киберустойчивости. Правительство ожидает их отзывы по предложенным практикам до 19 марта.
Несмотря на предпринимаемые годами усилия, кибератаки в Великобритании, уже достигли рекордного уровня. Согласно последним данным Управления уполномоченного по делам информации, за первые три квартала 2023 года на британские организации было совершено 874 вымогательских атаки - резкий рост по сравнению с 739 инцидентами за весь 2022 год.
Однако статистика нарушений данных не отражает всей глубины последствий кибератак. Это убытки для бизнеса и психологический вред персоналу.
Рост инцидентов отчасти связан с развитием модели ransomware-as-a-service (вымогательство как услуга), облегчающей путь начинающим преступникам.
Один из ключевых пунктов Кодекса - требование о подготовке подробных планов реагирования на кибератаки и последующего восстановления систем. Британские чиновники не раз подчёркивали: важно не только защищаться от атак, но и уметь быстро ликвидировать их последствия.
Планы восстановления следует разрабатывать в дополнение к надёжным средствам защиты. Это позволит компаниям эффективно противодействовать киберугрозам.
Во вторник правительство заявило, что Руководство будет носить рекомендательный характер и не будет закреплено законодательно, хотя и поддерживает ряд существующих регуляторных норм. Бизнес-сообщество уже жаловалось властям на сложность и запутанность действующих правил в этой сфере.
Ключевые законы в сфере кибербезопасности - GDPR и NIS - продолжают меняться. В частности, британский GDPR планируют реформировать в рамках нового Закона о защите данных. Характер поправок пока обсуждается в парламенте.
Из последней законодательной программы правительства была исключена обещанная ранее поправка к NIS. Она должна была ужесточить этот закон, но внести изменения до следующих выборов уже вряд ли удастся.
Никаких овечек — только отборные научные факты