Без кібербезпеки ніяк. Що може завадити виходу компанії на міжнародний ринок?

Майстер-клас: секрети випікання найсмачніших млинців!

26.08.2024

Вихід компанії на міжнародний ринок це новий рівень організації, що повʼязаний з багатьма викликами. Під час запуску бізнесу за кордоном важливо врахувати безліч дрібниць: від офісу та персоналу до правової підтримки та особливостей місцевого ринку. Але часто підприємці забувають про обовʼязкову відповідність стандартам кібербезпеки. 

Глобальні тренди на посилення кібербезпеки

Перше, що варто зрозуміти: кібербезпека — це не просто мінливий тренд та навчити співробітників не переходити за незнайомими посиланнями. Кіберзагрози щодня стають все небезпечніші та постійно змінюються, а тому уряди держав та компанії усіх розмірів та галузей активно інвестують у розвиток кіберзахищеності. 85% компаній планують збільшувати свій бюджет на розвиток кібербезпеки. За останнє десятиріччя виникло більшість обов’язкових регуляцій у галузі кібербезпеки та безпеки даних, яким мають відповідати організації на ринках ЄС, Америки та Азії.
Як не дивно, для України попереду ще багато роботи в питаннях створення регуляцій кібербезпеки. З одного боку навіть Західні партнери відзначають наш досвід боротьби з кіберзагрозами в межах кібервійни, але в нас досі немає обов’язкової сертифікації навіть для державних установ (хоча за ініціативи USAID в межах проєкту “Кібербезпека критично важливої інфраструктури України”, об'єкти критичної інфраструктури почали проходити перевірки на відповідність фреймворку кібербезпеки NIST CSF, де IT Specialist — компанія, яка надає повний спектр даних послуг). Станом на зараз, Україна посідає 78 місце в світовому рейтингу кібербезпеки. 
Окрім захисту, відповідність стандартам кібербезпеки це також і питання репутації та довіри до вашої організації на міжнародному рівні. Наприклад, за даними CISCO, для 86% опитаних важлива приватність їх даних, а 79% респондентів готові витрачати час та гроші, щоб убезпечити свої персональні дані. Тож, з якими регуляціями може зіштовхнутися бізнес під час виходу на міжнародні ринки?

Загальні та галузеві стандарти: кого вони стосуються?

Якщо ваш бізнес хоч якось взаємодіє з даними громадян ЄС, наприклад ваш вебсайт збирає персональні дані про них, вам доведеться дотримуватись вимог GDPR (General Data Protection Regulation, з англ. — Загальний регламент про захист даних). Його вимоги включають безпечне зберігання та прозорий збір та обробку персональних даних резидентів ЄС. У разі невідповідності компанія може стикнутися з судовими позовами та штрафами, або ж навіть зазнати витоку даних та ще більші штрафні санкції. Наприклад, за 2023 рік організації зазнали штрафів на понад €1,6 млрд через невідповідність GDPR. 
Хороша новина полягає у тім, що достатньо лише сумлінно дотримуватись вимог GDPR, сертифікація для підтвердження не потрібна.

SOC 2

Стандарт SOC 2 (System and Organization Controls) є важливим стандартом для компаній, що надають сервісні послуги іншим організаціям. Він був розроблений Американським інститутом сертифікованих громадських бухгалтерів (AICPA) для оцінки контролю за безпекою, доступністю, цілісністю обробки, конфіденційністю та приватністю даних.
Процес аудиту відповідності SOC 2 включає такі пункти:● Щоквартальне сканування вразливостей всіх внутрішніх систем. SOC 2 відстежує всі вразливості критичного та високого рівня до моменту, коли вони будуть виправлені.● Використання інструментів управління журналами подій (log management) для виявлення інцидентів, які потенційно можуть вплинути на безпеку.● Тестування на проникнення (penetration testing) виконується щонайменше раз на рік. Розробляється план відновлення, а зміни для усунення вразливостей впроваджуються відповідно до SLA.

ISO27001

ISO 27001 є міжнародним стандартом, який визначає вимоги до системи управління інформаційною безпекою (СУІБ). Цей стандарт розроблено для захисту інформаційних активів організації та забезпечення їхньої конфіденційності, цілісності та доступності. Сертифікація за стандартом ISO 27001 підтверджує, що компанія дбає про кібербезпеку та ефективно управляє ризиками інформаційної безпеки.
Знову ж, цей стандарт не є обов’язковим до впровадження. Проте він може стати в пригоді організаціям, що беруть участь в тендерах на надання послуг, надаючи їм додатковий статус та переваги. Крім того, ISO 27001 може стати чудовим путівником для організації у побудові ефективної СУІБ.
Спеціалізовані стандарти за галузямиВід загального перейдемо до конкретного.
Чи знали ви, що окремі галузі мають свої унікальні вимоги до кібербезпеки? Фінансові установи, медичні заклади — більша частина галузей, що має справу з персональними даними користувачів, чи від діяльності якої залежать цілі країни чи сектори економіки, зазвичай мають спеціальні вимоги з кібербезпеки.
NIS2 для критичної інфраструктури та сервісів ЄСНова директива ЄС NIS2 (Network and Information Security Directive) спрямована на підвищення рівня кібербезпеки компаній, що надають критично-важливі послуги у ЄС. Вона в першу чергу стосується об’єктів та підприємств критичної інфраструктури, але до її охоплення також входять надавачі цифрових послуг і хмарних рішень, фінансовий сектор, хімічна та харчові промисловості тощо. 
Також розповсюдженим галузевим стандартом кібербезпеки є PCI DSS (Payment Card Industry Data Security Standart, з англ. стандарт безпеки даних індустрії платіжних карток). Причому походить він не від державних установ, а від платіжних систем VISA та Mastercard — без нього компанії, що надають платіжні послуги чи обробляють дані платіжних карток не зможуть проводити транзакції за посередництва цих компаній. 
Однак директива не поширюється на компанії зі штатом менш як 50 осіб, та річним оборотом меншим за €10 млн, або ж річний підсумковий баланс яких не перевищує 10 мільйонів євро.
Якщо ж ви думаєте, що кібербезпека стосується лише великих IT компаній, то на превеликий жаль це не так: 1 з 10 малих та середніх підприємств зазнає кібератаки щорічно, а 75% не могли продовжувати свою діяльність після зламу.
Американський ринок та його особливостіНе менш важливою є кібербезпека, якщо ви плануєте працювати з американським ринком. Так, за даними ISACA, в Америці кожен третій клієнт припиняє співпрацю з компанією, якщо в неї стався кіберінцидент. Золотим стандартом для організації в США є фреймворк кібербезпеки NIST CSF та рівень відповідності йому. Це не є обов’язково, але високий рівень відповідності стане конкурентною перевагою організації як перед клієнтами, так і перед партнерами, особливо коли мова йде про співпрацю з державними установами. 
Також в США діють спеціальні регуляції для певних штатів чи галузей:● CCPA (California Consumer Protection Ac) та CPRA (California Privacy Rights Act) — це свого роду аналог GDPR, але для резидентів штату Каліфорнія, що встановлює регуляції для обробки персональної інформації споживачів з Каліфорнії. ● COPPA — цей акт вимагає від організацій, що надають послуги спрямовані на дітей, отримувати від батьків згоду про збір та обробку персональних даних, а також регулює зберігання та використання таких даних.● HIPAA (Health Insurance Portability and Accountability Act) та HITECH (Health Information Technology for Economic and Clinical Health). Ці стандарти регулюють конфіденційність пацієнтів та визначають як медичні дані мають бути захищені та передаватися в електронному вигляді.
Перш ніж почати діяльність в іншій країні, необхідно глибоко дослідити не тільки юридичне поле, але й вимоги кібербезпеки, які мають здійснюватись залежно від сфери бізнесу. Наприклад, HIPPA та HITECH, для медичної сфери в Америці, чи NIS2 для хмарних сервісів у ЄС. 
Варто пам’ятати: запускаючи бізнес за кордоном, важливо забезпечити відповідність як загальним нормам кібербезпеки країни, так й спеціальним вимогам вашої галузі. Такий підхід не тільки захистить компанію від можливих санкцій та підвищить довіру з боку партнерів та клієнтів, але й допоможе запобігти потенційним фінансовим та репутаційним збиткам через кіберінциденти. Витрати на підтримку відповідності стандартам та забезпечення захисту від кіберзагроз є інвестицією в стабільність та розвиток вашого бізнесу.
Автор — Дмитро Чуб, керівник напряму аудитів інформаційної безпеки компанії IT Specialist