Правительство стремится защитить банки, паевые инвестиционные фонды и платежные сети от киберпреступности

Правительство работает над несколькими направлениями деятельности на национальном и международном уровнях по предотвращению киберпреступлений, а в парламенте постарается сделать приоритетным в этом году утверждение законопроекта, предусматривающего уголовную ответственность за киберпреступность. Агентству электронного правительства и общества информации и знаний (Agesic) хорошо известно о серии атак, которые в середине 2022 года затронули более тридцати государственных учреждений Коста-Рики, парализовав работу страны и причинив ущерб на сумму более 200 миллионов долларов. Хотя Уругвай занимает выгодное положение на континенте, предполагается, что государственные и частные учреждения все еще недостаточно развиты, чтобы противостоять угрозе, которую представляет собой глобальная киберпреступность, особенно ransomware, которая заключается в блокировании важных файлов в обмен на выкуп. В связи с этим Accountability 2022 поручила Agesic возглавить ряд мероприятий, которые укрепят государственный и частный сектор, определенный как критически важный. Директор по информационной безопасности Agesic Маурисио Папалео четко придерживается своего подхода: "Главное в кибербезопасности - работать над обнаружением и предотвращением инцидентов. Мы исходим из того, что рано или поздно атаки произойдут, поэтому стратегия должна быть направлена на своевременное обнаружение инцидента и подготовку к тому, чтобы сделать его как можно более безвредным". Одним из нововведений является включение частного сектора в Национальный реестр инцидентов кибербезопасности, который до сих пор охватывал только государственный сектор. Банки, платежные сети, взаимные фонды и телекоммуникационные компании были определены как критически важные секторы, которые должны будут соблюдать ряд обязательств. В реестре будут собираться технические данные и справочная информация, связанная с сообщениями об инцидентах кибербезопасности, в дополнение к отчетам, подготовленным Национальным центром реагирования на инциденты компьютерной безопасности (CERTuy). Государственные и частные организации, связанные с важнейшими службами или секторами страны, должны сообщать Agesic о случаях кибербезопасности в течение двадцати четырех часов. Эти частные и государственные организации должны будут в законодательном порядке принять эффективные меры безопасности для защиты своих критически важных информационных активов в соответствии с рекомендациями Agesic. Они должны назначить ответственного за информационную безопасность, запланировать меры по улучшению контроля и принять превентивные меры. Они обязаны полностью и незамедлительно сообщать о потенциальных инцидентах в сфере кибербезопасности и предоставлять всю необходимую информацию. Папалео пояснил, что в настоящее время ведется работа над нормативным постановлением, чтобы свести эти положения к реальности, и отметил, что этот процесс займет время, поскольку не все частные организации имеют одинаковый уровень кибербезопасности. Однако в случае, если частные учреждения не будут соблюдать положения, Agesic будет иметь право требовать внесения необходимых процедурных изменений и соблюдения конкретных мер по предотвращению рисков, связанных с сектором деятельности организации. В зависимости от степени серьезности несоблюдения Agesic может даже выносить предупреждения. Генеральная ассамблея будет получать полугодовые отчеты от государственных и частных организаций, которые не выполняют свои обязательства. "Кибербезопасность - это не то, над чем можно работать в одиночку. Это то, с чем ни одна страна не может справиться в одиночку, ни одно ведомство в каждой стране не может сделать это без поддержки других государственных и частных структур. Необходимо четко понимать, что никто не может защитить себя в одиночку", - сказал Папалео. В течение 2023 года было обнаружено и отреагировано 4 968 инцидентов, из которых 1 % были отнесены к категории высокой или очень высокой степени серьезности. По словам Папалео, число таких инцидентов будет расти и становиться все более критичным. "Это не то, чего можно избежать. В инциденте участвуют хорошо подготовленные организации, которые действуют так, как если бы они были транснациональными корпорациями. Хакерские организации похожи на транснациональные корпорации, у них есть отделы по управлению людьми, подбору персонала, инженерному обеспечению. Они работают так же хорошо или даже лучше, чем крупные компании", - сказал он. Несколько дней назад Великобритания объявила, что ликвидировала хакерскую группу LockBit. Именно эта группа вымогала деньги у Гайера и Регулеса в сентябре прошлого года, требуя 300 000 долларов США в обмен на взломанные данные. В 2023 году эта группа атаковала британского почтового оператора, канадскую детскую больницу, а во Франции - больницы Корбей-Эссонн и Версаль в Парижском регионе. По оценкам специалистов, эта программа-вымогатель собрала более 120 миллионов долларов. "Мы стараемся сотрудничать с организациями, чтобы повысить уровень защиты и киберустойчивости, то есть способность быстро восстанавливаться после атаки. Вопрос не в том, подвергнемся ли мы атаке, вопрос в том, когда. Поэтому мы должны быть готовы к тому, чтобы пострадать как можно меньше", - сказал Папалео. 14 февраля исполнительная власть объявила, что Уругвай получил официальное приглашение от Совета Европы присоединиться к Будапештской конвенции о киберпреступности. Папалео отметил, что это важный шаг вперед в деле преследования преступлений, которые носят транснациональный характер. Будапештская конвенция - единственный эксклюзивный международный договор о преследовании киберпреступлений, к которому присоединились 66 стран, а еще пятнадцать стран выступают в качестве наблюдателей. Это позволит Уругваю стать частью сети сотрудничества между странами-членами, получить доступ к программам по наращиванию и укреплению потенциала национальных институтов и законодательной помощи, а также предоставлять и запрашивать помощь государствам-участникам в расследовании киберпреступлений. "Киберпреступность находится в ведении Министерства внутренних дел. Уругвай присоединился к Будапештскому договору, и это очень важно, поскольку позволяет нам немедленно преследовать преступника за пределами страны", - пояснил Папалео. Это отчасти смягчает одну из слабых сторон Уругвая - отсутствие специального законодательства, криминализирующего данное преступление. Законопроект был принят Палатой депутатов в середине прошлого года, но неясно, станет ли он приоритетом для Сената в нынешнем созыве. Законопроект был представлен Cabildo Abierto, и сенатор Гильермо Доменек сказал El País, что, когда он возобновит свою деятельность, он лично обратится в Комитет по конституции и законодательству, чтобы сделать его приоритетным. Этот закон определяет целый ряд компьютерных преступлений и устанавливает наказания за них. Папалео находился в Санто-Доминго в середине февраля, представляя Уругвай на специальном диалоге по кибербезопасности между Европейским союзом и странами Латинской Америки и Карибского бассейна. "Обсуждалась необходимость синергетического эффекта. Каждая страна и организация представила то, что они делают. Мы приняли к сведению прогресс и недостатки каждой из них. Уровень риска чрезвычайно высок и будет продолжать расти. Это преступление приносит больше денег, чем торговля наркотиками, при этом риск меньше. Вся конфиденциальная информация человека находится в Интернете, и нам необходимо учиться, чтобы знать, как ее защитить. И компании также должны осознать, что они должны принимать меры защиты точно так же, как они защищают свои физические активы", - сказал Папалео. В продолжение этой мысли он добавил: "Есть отрасли, которые подготовлены лучше, чем другие, это во многом зависит от отрасли. Сегодня каждая компания должна быть онлайн. Даже молочная ферма или птицеферма имеют множество интегрированных технологий. Предприятия должны знать, что они подвержены атакам, которые могут вывести их из строя. Все усложняется, если компания работает с информацией о людях. Есть места, где информация рассматривается как актив и имеет определенную ценность. Присвоив ей ценность, вы можете определить, насколько надежно нужно ее защищать. Одним из слабых мест Уругвая в борьбе с киберпреступностью является нехватка квалифицированных специалистов. По оценкам Agesic, до пандемии в стране не хватало 600 специалистов. Сегодня эта цифра удвоилась. На основе учебной программы, разработанной инженерным факультетом, в UTU был создан специальный курс из шести семестров: "Технолог по кибербезопасности". В первый год на курсы записалось более 900 студентов, но было открыто только 70 мест, поскольку количество преподавателей является ограничивающим фактором. Помимо Монтевидео, в этом году курсы были добавлены в Мело и Пайсанду. В стране и за рубежом существует большой спрос на специалистов по кибербезопасности.