Вихід компанії на міжнародний ринок — це новий рівень організації, що повʼязаний із багатьма викликами.
Під час запуску бізнесу за кордоном важливо врахувати безліч дрібниць: від офісу та персоналу до правової підтримки й особливостей місцевого ринку. Але часто підприємці забувають про обовʼязкову відповідність стандартам кібербезпеки.
Глобальні тренди на посилення кібербезпеки
Перше, що варто зрозуміти: кібербезпека — це не просто мінливий тренд, і навчити співробітників не переходити за незнайомими посиланнями.
Кіберзагрози щодня стають все небезпечніші та постійно змінюються, а тому уряди держав та компанії усіх розмірів і галузей активно інвестують у розвиток кіберзахищеності.
85% компаній планують збільшувати свій бюджет на розвиток кібербезпеки. За останнє десятиріччя виникло більшість обов’язкових регуляцій у галузі кібербезпеки та безпеки даних, яким мають відповідати організації на ринках ЄС, Америки та Азії.
Як не дивно, для України попереду ще багато роботи в питаннях створення регуляцій кібербезпеки. З одного боку навіть західні партнери відзначають наш досвід боротьби з кіберзагрозами в межах кібервійни, але в нас досі немає обов’язкової сертифікації навіть для державних установ. Хоча за ініціативи USAID в межах проєкту “Кібербезпека критично важливої інфраструктури України” об'єкти критичної інфраструктури почали проходити перевірки на відповідність фреймворку кібербезпеки NIST CSF, де IT Specialist — це компанія, яка надає повний спектр відповідних послуг.
Станом на зараз Україна посідає 78 місце у світовому рейтингу кібербезпеки.
Окрім захисту, відповідність стандартам кібербезпеки — це також питання репутації й довіри до вашої організації на міжнародному рівні.
Наприклад, за даними CISCO, для 86% опитаних важлива приватність їхніх даних, а 79% респондентів готові витрачати час і гроші, щоб убезпечити свої персональні дані.
Тож із якими регуляціями може зіткнутися бізнес під час виходу на міжнародні ринки?
Загальні та галузеві стандарти: кого вони стосуються?
Якщо ваш бізнес хоч якось взаємодіє з даними громадян ЄС, наприклад ваш вебсайт збирає персональні дані про них, вам доведеться дотримуватись вимог GDPR (General Data Protection Regulation, з англ. Загальний регламент про захист даних).
Його вимоги включають безпечне зберігання і прозорий збір та обробку персональних даних резидентів ЄС. У разі невідповідності компанія може зіткнутися із судовими позовами та штрафами або ж навіть зазнати витоку даних й отримати ще більші штрафні санкції. Наприклад, за 2023 рік організації зазнали штрафів на понад €1,6 мільярда через невідповідність GDPR.
Хороша новина полягає в тому, що достатньо лише сумлінно дотримуватися вимог GDPR, сертифікація для підтвердження не потрібна.
SOC 2
Стандарт SOC 2 (System and Organization Controls) є важливим стандартом для компаній, які надають сервісні послуги іншим організаціям.
Він був розроблений Американським інститутом сертифікованих громадських бухгалтерів (AICPA) для оцінки контролю за безпекою, доступністю, цілісністю обробки, конфіденційністю і приватністю даних.
Процес аудиту відповідності SOC 2 включає такі пункти:
- Щоквартальне сканування вразливостей усіх внутрішніх систем. SOC 2 відстежує всі вразливості критичного та високого рівнів до моменту, коли вони будуть виправлені.
- Використання інструментів управління журналами подій (log management) для виявлення інцидентів, які потенційно можуть вплинути на безпеку.
- Тестування на проникнення (penetration testing) виконується щонайменше раз на рік. Розробляється план відновлення, а зміни для усунення вразливостей впроваджуються відповідно до SLA.
ISO 27001
ISO 27001 є міжнародним стандартом, який визначає вимоги до системи управління інформаційною безпекою (СУІБ). Цей стандарт розроблено для захисту інформаційних активів організації та забезпечення їхньої конфіденційності, цілісності й доступності.
Сертифікація за стандартом ISO 27001 підтверджує, що компанія дбає про кібербезпеку та ефективно управляє ризиками інформаційної безпеки.
Знову ж цей стандарт не є обов’язковим до впровадження. Проте він може стати у пригоді організаціям, які беруть участь у тендерах на надання послуг, надаючи їм додатковий статус та переваги.
Крім того, ISO 27001 може стати чудовим путівником для організації у побудові ефективної СУІБ.
Спеціалізовані стандарти за галузями
Від загального перейдемо до конкретного.
Чи знали ви, що окремі галузі мають свої унікальні вимоги до кібербезпеки? Фінансові установи, медичні заклади — більша частина галузей, що має справу із персональними даними користувачів чи від діяльності якої залежать цілі країни або сектори економіки, зазвичай мають спеціальні вимоги з кібербезпеки.
NIS2 для критичної інфраструктури та сервісів ЄС
Нова директива ЄС NIS2 (Network and Information Security Directive) спрямована на підвищення рівня кібербезпеки компаній, що надають критично-важливі послуги у ЄС. Вона в першу чергу стосується об’єктів та підприємств критичної інфраструктури. Також до її охоплення входять надавачі цифрових послуг і хмарних рішень, фінансовий сектор, хімічна та харчова промисловості тощо.
Розповсюдженим галузевим стандартом кібербезпеки є й PCI DSS (Payment Card Industry Data Security Standart, з англ. Стандарт безпеки даних індустрії платіжних карток). Причому походить він не від державних установ, а від платіжних систем VISA та Mastercard. Без нього компанії, які надають платіжні послуги чи обробляють дані платіжних карток, не зможуть проводити транзакції за посередництва цих компаній.
Однак директива не поширюється на компанії зі штатом менш ніж 50 осіб та річним оборотом меншим за €10 мільйонів або ж річний підсумковий баланс яких не перевищує €10 мільйонів.
Якщо ви думаєте, що кібербезпека стосується лише великих IT-компаній, то це не так: 1 із 10 малих та середніх підприємств зазнає кібератаки щорічно, а 75% не могли продовжувати свою діяльність після зламу.
Американський ринок та його особливості
Не менш важливою є кібербезпека, якщо ви плануєте працювати з американським ринком.
Так, за даними ISACA, в Америці кожен третій клієнт припиняє співпрацю з компанією, якщо в неї стався кіберінцидент.
Золотим стандартом для організації в США є фреймворк кібербезпеки NIST CSF і рівень відповідності йому. Це не обов’язково, але високий рівень відповідності стане конкурентною перевагою організації як перед клієнтами, так і перед партнерами, особливо коли йдеться про співпрацю з державними установами.
У США діють спеціальні регуляції для певних штатів чи галузей:
- CCPA (California Consumer Protection Ac) та CPRA (California Privacy Rights Act) — це свого роду аналог GDPR, але для резидентів штату Каліфорнія, що встановлює регуляції для обробки персональної інформації споживачів із Каліфорнії.
- COPPA — цей акт вимагає від організацій, що надають послуги, спрямовані на дітей, отримувати від батьків згоду про збір й обробку персональних даних, а також регулює зберігання та використання таких даних.
- HIPAA (Health Insurance Portability and Accountability Act) та HITECH (Health Information Technology for Economic and Clinical Health). Ці стандарти регулюють конфіденційність пацієнтів і визначають, як медичні дані мають бути захищені та передаватися в електронному вигляді.
Перш ніж почати діяльність в іншій країні, необхідно глибоко дослідити не тільки юридичне поле, але й вимоги кібербезпеки, які мають здійснюватись залежно від сфери бізнесу. Наприклад, HIPPA та HITECH для медичної сфери в Америці чи NIS2 для хмарних сервісів у ЄС.
Варто пам’ятати: запускаючи бізнес за кордоном, важливо забезпечити відповідність як загальним нормам кібербезпеки країни, так і спеціальним вимогам вашої галузі.
Такий підхід не тільки захистить компанію від можливих санкцій та підвищить довіру з боку партнерів і клієнтів, але й допоможе запобігти потенційним фінансовим та репутаційним збиткам через кіберінциденти.
Витрати на підтримку відповідності стандартам та забезпечення захисту від кіберзагроз є інвестицією у стабільність та розвиток вашого бізнесу.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
Редакція не несе відповідальності за інформацію, викладену у блогах. Це особиста думка автора.
