На фоне роста числа кибератак и появления первых судебных прецедентов в России владельцам сайтов необходимо превентивно подходить к вопросам защиты данных и распределения ответственности с ИТ-партнерами, отметил эксперт оператора ИТ-решений «ОБИТ» Михаил Телегин.
Один из прецедентов рассмотрел Коммерсант. Сайт казанской туристической компанией ООО «Саната», размещенный на серверах хостинг-провайдера Timeweb, подвергся DDoS-атаке, что привело к простою ресурса и частичной утрате данных. Ущерб оценили в 3,98 млн рублей, а упущенную выгоду — в 1,28 млн рублей. В данном и подобных случаях ответственность, как правило, остается на владельце сайта, в то время как международная практика демонстрирует тенденцию к смещению части ответственности в сторону провайдеров.
Как отмечает заместитель генерального директора по стратегическим проектам «ОБИТ» Михаил Телегин, на сегодняшний день механизм распределения зон ответственности в подобных инцидентах остается недостаточно проработанным. При этом в рамках Федерального закона №152-ФЗ ответственность за сохранность данных, как правило, несет оператор персональных данных — то есть владелец сайта. Ответственность провайдера инцидент возникает в случае, если соответствующие обязательства прямо зафиксированы в договоре или SLA, либо если не соблюдены базовые требования к безопасности инфраструктуры: «Провайдер отвечает только за тот объем услуг, который зафиксирован в договоре. Базовая фильтрация сетевых атак сегодня доступна у многих провайдеров, однако защита от сложных и многоуровневых атак, включая уровень приложений (L7), требует специализированных решений и не всегда есть в базовых тарифах».
Отдельное внимание эксперт обращает на риски атак через подрядчиков, что накладывает дополнительные обязательства на владельцев сайтов по оценке уровня защищенности партнеров и фиксации требований к информационной безопасности, ответственности и срокам реагирования.
По словам Михаила Телегина, ключевым фактором снижения рисков остается проактивный подход со стороны бизнеса. Владельцу сайта необходимо либо выстраивать собственную экспертизу в области информационной безопасности, либо привлекать специализированных провайдеров, способных обеспечить комплексную защиту: «”ОБИТ” предоставляет как полностью защищенный хостинг и выделенные серверы, так и отдельные сервисы защиты от DDoS-атак на всех уровнях — L3-L4, L7 OSI. Решения включают фильтрацию вредоносного трафика в реальном времени, круглосуточный мониторинг и техническую поддержку».
