Думки експертів

Посилення боротьби з кіберзлочинністю: міжнародний та європейський досвід (частина 1)

Тетяна Дмитренко
Оновлено:

Зміст

Посилення боротьби з кіберзлочинністю: міжнародний та європейський досвід (частина 1)

Першим і досі найбільш визнаним міжнародним правовим інструментом у сфері протидії кіберзлочинності є Будапештська конвенція (2001). Вона має чіткі процедурні положення щодо транскордонного доступу до даних, зберігання доказів, оперативної співпраці. Глобальна конвенція ООН, на відміну від Будапештської, має ширший склад учасників (зокрема Китай і Росію), але менш деталізовані та менш обов’язкові механізми співпраці.

Глобальна конвенція ООН щодо протидії кіберзлочинності (офіційно – Конвенція ООН про використання інформаційно-комунікаційних технологій у злочинних цілях) є новим міжнародним документом, який має стати рамковим інструментом для боротьби з кіберзлочинами у глобальному масштабі.

Станом на 2025 рік, текст Конвенції було схвалено у січні 2024 року на заключному засіданні Міжурядової спеціальної групи експертів (Ad Hoc Committee), що працювала під егідою ООН з 2022 року. Очікується, що Конвенція буде винесена на розгляд Генеральної Асамблеї ООН у 2025 році. 

Конвенція містить положення про криміналізацію ряду дій, пов’язаних із неправомірним доступом до комп’ютерних систем, втручанням у дані, зловживанням пристроями, шахрайством з ІКТ та пов’язаними злочинами.

Основна критика Конвенції стосується можливого посилення державного контролю над інтернетом, надмірного втручання у цифрові права, а також політичного впливу окремих країн у формулюваннях документа. Деякі розвинені держави (наприклад, члени ЄС, США, Канада) висловлювали занепокоєння щодо дублювання вже чинних міжнародних зобов’язань, зокрема положень Будапештської конвенції Ради Європи.

Очікується, що прийняття Конвенції на рівні ООН стимулюватиме розбудову національного законодавства у країнах, які ще не мають розвинених кіберзаконів. Водночас її ефективність буде залежати від реального приєднання ключових країн та імплементації положень у внутрішнє право.

Тим часом у європейському законодавстві сформувались свої підходи до протидії кіберзлочинності. Так, Регламент ЄС DORA (Digital Operational Resilience Act) набув чинності в 2023 році та має на меті посилення кіберстійкості фінансових установ. Він прямо не пов’язаний із Конвенцією ООН, однак є важливим з точки зору узгодження національних зусиль у кіберсфері з міжнародним правовим регулюванням. DORA є нормативним актом із обов’язковими технічними вимогами, тоді як Глобальна конвенція має рамковий та міждержавний характер.

Регламент DORA (Digital Operational Resilience Act) – це новий акт ЄС, спрямований на підвищення цифрової операційної стійкості фінансового сектору. Його ухвалено 14 грудня 2022 року як Регламент (ЄС) 2022/2554, і після дворічного перехідного періоду він почне застосовуватися з 17 січня 2025 року. DORA є частиною ширшого «Digital Finance Package» і покликаний забезпечити здатність європейського фінансового сектора стійко працювати під час серйозних операційних збоїв та кібератак. Для цього регламент запроваджує уніфіковані вимоги до безпеки мереж та інформаційних систем фінансових установ, а також до критичних сторонніх постачальників ІКТ-послуг (наприклад, хмарних сервісів). По суті, DORA створює загальноєвропейську рамку цифрової операційної стійкості, зобов’язуючи всі установи у її сфері дії забезпечити здатність протистояти, реагувати та відновлюватися після ІКТ-збоїв і кіберзагроз.

Регламент DORA охоплює всі категорії фінансових установ в ЄС – від банків, страхових і інвестиційних компаній до нових гравців, таких як компанії з криптоактивами. Водночас, усі ключові провайдери ІКТ-послуг фінансовим установам (наприклад, великі постачальники хмарних технологій) також підпадають під дію DORA: якщо вони визнані «критичними» для сектора, то підлягатимуть окремому нагляду на рівні ЄС. DORA фактично запроваджує спеціальний режим регулювання кіберстійкості фінансового сектора, що діє «lex specialis» стосовно загальної Директиви NIS2 про кібербезпеку: фінансові установи залишаються частиною загальноєвропейської кіберекосистеми, проте саме вимоги DORA мають пріоритет для них і усувають дублювання з NIS2. Це гарантує цілісність правил і уникнення конфлікту між секторальним і загальним регулюванням. DORA також тісно пов’язана з іншими новими актами фінансового ринку: зокрема регулювання ринку криптоактивів MiCA прямо посилається на вимоги DORA щодо управління ІКТ-ризиками для постачальників послуг з криптоактивами.

Ключові положення DORA

Регламент DORA встановлює ряд нових вимог і процедур, які фінансові установи та їхні критичні ІТ-постачальники повинні виконувати для забезпечення цифрової стійкості. Основні положення DORA включають:

  • Управління ІКТ-ризиками та ІТ-стійкістю: Фінансові установи зобов’язані запровадити всеохопну систему управління ІКТ-ризиками. Це означає ідентифікацію та класифікацію інформаційних активів і послуг, оцінку та пом’якшення ІКТ-ризиків, а також впровадження політик безперервності бізнесу і планів відновлення після збоїв. DORA висуває вимоги до внутрішнього управління: рада директорів (вищий менеджмент) має затвердити і контролювати виконання ІКТ-стратегій, несучи кінцеву відповідальність за цифрову стійкість організації. На всіх рівнях установи має підвищуватися обізнаність щодо кіберризиків, інтегруючи ІКТ-безпеку в корпоративне управління.
  • Моніторинг, управління та звітність про інциденти: Установи повинні створити процеси моніторингу та оперативного реагування на серйозні інциденти, пов’язані з ІКТ. DORA гармонізує вимоги до звітності про інциденти: значні ІКТ-інциденти мають обов’язково повідомлятися компетентним органам за уніфікованими правилами і шаблонами. Передбачено централізований підхід до такого звітування в ЄС – зокрема, очікується створення спільних європейських процесів або органу для координації отримання та аналізу інцидентів. Це дозволить краще відстежувати кібератаки і надавати зворотний зв’язок учасникам ринку.
  • Тестування цифрової стійкості: DORA впроваджує регулярне тестування ІТ-систем фінансових установ. Вимоги охоплюють проведення аналізу вразливостей, тестування мережевої безпеки, сценарні (стрес-) тести, а також періодичні тестування на проникнення (penetration testing). Для найбільших і найважливіших установ передбачено обов’язкові розширені тестування на основі методики TLPT (Threat-Led Penetration Testing) – імітації складних кібератак за сценаріями, щоб перевірити здатність протидіяти реальним загрозам. Такі тести мають проводитися принаймні раз на три роки акредитованими незалежними командами, відповідно до стандартів, що будуть встановлені регуляторами.
  • Обмін інформацією про кіберзагрози: Регламент заохочує фінансові компанії до обміну інформацією та розвідданими про кіберінциденти і загрози між собою (на добровільній основі) у межах сектора. Метою є взаємне підвищення обізнаності та швидше реагування на нові атаки: спільний обмін даними про атаки, уразливості та успішні практики захисту має зменшити вплив кіберзагроз та покращити здатність усієї фінансової системи ЄС протистояти інцидентам.
  • Управління ризиками сторонніх ІТ-постачальників: DORA висуває жорсткі вимоги до аутсорсингу ІТ-сервісів. Фінансові установи мають проводити оцінку і документування всіх ризиків, пов’язаних із зовнішніми провайдерами ІКТ-послуг, і забезпечити, щоб контракти з такими постачальниками містили необхідні положення про їхні зобов’язання за новим регламентом. Зокрема, контракти повинні визначати рівні послуг, заходи безпеки, права аудиту, повідомлення про інциденти, вимоги до субпідрядників та плани виходу (exit strategies) на випадок розірвання угоди. Установи мають регулярно переглядати концентрацію ризиків – чи не залежать вони надмірно від окремого постачальника – і при потребі диверсифікувати або обмежувати таку залежність.
  • Нагляд за критичними постачальниками ІКТ: Одне з нововведень DORA – спеціальний наглядовий режим для критичних постачальників технологічних послуг. Якщо сторонній ІКТ-провайдер (наприклад, хмарна платформа) обслуговує значну кількість фінансових установ і визнаний «критично важливим» для стабільності системи, він потрапляє під прямий нагляд європейських регуляторів (ESA). Один із трьох європейських наглядових органів – EBA, ESMA або EIOPA – призначається Lead Overseer (головним наглядачем) для такого провайдера і отримує широкі повноваження: вимагати інформацію, проводити позапланові перевірки та інспекції, надавати обов’язкові до виконання рекомендації і навіть накладати санкції у разі невиконання вимог. Для забезпечення ефективності цього режиму DORA вимагає, щоб критичні постачальники з третіх країн (з-за меж ЄС) створили дочірні компанії в ЄС – це необхідно, аби такі провайдери потрапляли під юрисдикцію європейського нагляду і могли бути належним чином проконтрольовані.

Перелічені вимоги утворюють всеосяжну систему заходів, покликаних підвищити кіберстійкість фінансового сектора. DORA не лише встановлює ці стандарти, а й передбачає механізми їх практичної реалізації. Зокрема, Європейські наглядові органи (EBA, ESMA, EIOPA) отримали мандат розробити детальні регуляторні стандарти (Regulatory Technical Standards, RTS) та настанови для впровадження DORA. Вже розроблено або готується низка технічних стандартів, що уточнюють вимоги до ІКТ-ризик менеджменту, класифікації інцидентів, звітних шаблонів, умов проведення тестувань (включно з threat-led тестами) та управління аутсорсингом і субпідрядниками. Таким чином, регуляторна база під DORA швидко формується, забезпечуючи єдині підходи в усіх країнах ЄС.

Впровадження DORA в банківському секторі

Банківська система історично вже мала справу з регулюванням операційних та ІТ-ризиків, тому багато положень DORA для банків не є цілковито новими. Європейські банки протягом останніх років виконували низку настанов і вимог від регуляторів у сфері ІКТ-ризик менеджменту, звітності про інциденти та аутсорсингу. Наприклад, з 2020 року діяли настанови EBA з управління ІКТ- та безпековими ризиками (EBA/GL/2019/04), вимоги до звітності про великі інциденти за PSD2, настанови щодо управління аутсорсингом тощо. DORA підносить ці розрізнені стандарти на рівень обов’язкового регламенту ЄС і уніфікує їх між всіма державами. Таким чином, для більшості банківських установ розрив між наявними практиками та новими вимогами DORA є відносно невеликим. Банки вже мають розгорнуті системи інформаційної безпеки, команди кібербезпеки і плани реагування на інциденти, що створює добру відправну точку для відповідності DORA.

Проте, навіть для досвідчених гравців фінансового ринку впровадження DORA – значний проєкт. Банки змушені переглянути свої чинні політики і процедури та привести їх у повну відповідність із новими детальними вимогами. Зокрема, тестування на стійкість (включно з сценарними та red-team тестами) для деяких банків є новою вимогою, що потребує планування та ресурсів. Також банки мають створити реєстри усіх ІТ-аутсорсингових угод та оцінити які з їхніх постачальників можуть бути критичними – цю інформацію треба подати наглядовим органам на початку 2025 року. Відповідно, банківський сектор інтенсивно працює над переглядом контрактів із ІТ-провайдерами, щоб включити в них положення DORA, та над оновленням внутрішніх ІТ-стандартів. Експерти відзначають, що традиційні фінансові установи загалом перебувають у кращій формі перед стартом DORA, адже усвідомлюють його застосування і розпочали підготовку заздалегідь. Регулятори (європейські та національні) активно комунікували з банками щодо нових правил, тож рівень обізнаності та готовності у банків високий.

З погляду наглядової архітектури, впровадження DORA в банках спирається на існуючу структуру банківського нагляду. Національні компетентні органи (центральні банки, пруденційні регулятори) будуть контролювати дотримання DORA банками та застосовувати заходи впливу у разі порушень. Для найбільших банків (значимих під наглядом ЄЦБ у межах Банківського союзу) нагляд за виконанням DORA здійснюватиметься також Європейським центральним банком у співпраці з національними органами. Включення вимог DORA в наглядові практики означає, що аудити операційного ризику та ІТ-аудити банків відбуватимуться за оновленими чек-листами, а регулятори отримають нові важелі (як-от можливість вимагати проведення TLPT-тестів чи накладати адміністративні штрафи за недотримання вимог безпеки). Загалом для банків DORA є еволюційним кроком – посиленням уже наявних вимог та перетворенням рекомендацій у юридично обов’язкові норми, що забезпечить рівні умови гри для всіх учасників ринку ЄС.

Оновлено:
Тетяна Дмитренко

Думки експертів

Думки експертів

Сумка за €8.6 мільйонів як привід поговорити про вінтаж

Юлія Дмитрієва
Думки експертів

Контрольовані іноземні компанії в поточній судовій практиці України: частина 4

Олена Кузнечікова
Думки експертів

Україна прямує до звітності зі сталого розвитку: Законопроєкт № 13425

Євген Курілов
Думки експертів

Танки у сучасній війні: еволюція тактики та зменшення ролі у конфлікті 2025 року між Україною та росією

Maрсель Нікітін