Лекція 2. Цифрова безпека бізнесу та кібер ризики підприємств в умовах цифрової економіки

Поняття та правила цифрової безпеки

Цифрова безпека відноситься до різних способів захисту технічних пристроїв і файлів від вторгнення зовнішніми користувачами. Цифрова безпека включає інструменти, які використовуються для захисту цифрової ідентичності, активів та технологій в сучасному цифровому світі.

Основними правилами цифрової безпеки виділяють:

1. Необхідно використовувати ліцензійне програмне забезпечення у особистій і професійній діяльності (працюючи на різних пристроях)

2. Оновлювати програмне забезпечення та встановлювати антивірусні програми та firewall (міжмережевий екран, фаєрвол), тобто антивірус буде вирішувати проблему зараження вірусами, а фаєрвол відслідковувати міжмережеві зв’язки пристрою та мережі Інтернет і, відповідно, допоможе захищати від загроз ззовні

3. Встановлювати пароль на вхід у пристрій (складний унікальний пароль – це котрий пароль який містить великі та маленькі літери, спеціальні символи, і розмір його загалом не менше 14 символів – це мінімальний стандарт, а ще краще 20 чи 30). Унікальність – це означає, що кожен обліковий запис повинен мати власний пароль. 

4. Використовувати менеджер паролів. У користувачів Mac OS є вбудований менеджер Keychain, який автоматично зберігає паролі. LastPass – це онлайн менеджер паролів для тих облікових записів, які створює користувач онлайн. KeePass - це офлайн менеджер, де самостійно забезпечується безпека паролів.  

5. Не використовувати ненадійні поштові сервіси, соціальні мережі, месенджери. Ненадійні сервіси – це ті, які надавали інформацію про своїх користувачів, або ж вони поганої якості, тобто не використовують шифрування, або були скомпрометовані. В цьому випадку виходить, що наші дані захищені угодою користувача з будь-якою корпорацією. 

6. Необхідно розділяти облікові записи (поштові скриньки окремо для роботи і для дому). 

7. Блокувати пристрої на яких працює користувач 

8. Використовувати повнодискове шифрування пристроїв.

9.   Видаляти історію з браузера та кеш (наприклад, CCleaner – програма, за допомогою якої можна видаляти такі тимчасові файли. Це потрібно для того, щоб людина, яка працюватиме на комп’ютері після вас, не могла подивитись, що саме ви шукали, тобто щоб були більш анонімними користувачі)

10.   Не зазначати очевидні відповіді для відновлення доступу до свого облікового запису

11.   Не використовувати для відновлення доступу незахищені поштові скриньки

12.   Користуватись секретними месенджерами, якщо вирішили вести таємну переписку (наприклад, Viber, Signal, таємні чати в Telegram). Одна із важливих складових – це не лише передача зашифрованої комунікації, але й її зберігання  

13.   Використовуйте месенджери з шифруванням від пристрою до пристрою – Signal, WhatApp, Viber, а в Telegram - секретний чат. В такому випадку у сервіс-провайдера немає можливості читати вашу переписку. 

14.   Не переходити за підозрілими посиланнями

15.   Не ловитись на фішинг (Фішинг - вид шахрайства, метою якого є виманювання у довірливих або неуважних користувачів мережі персональних даних клієнтів онлайнових аукціонів, сервісів з переказу або обміну валюти, інтернет-магазинів)
 
16.   Робити резервні копії важливих файлів в хмарних сховищах 

17.   Робити двофакторну авторизацію для важливих облікових записів (це означає, що, окрім паролю, який вказує користувач необхідно зазначити другий фактор – це може бути або СМС-повідомлення, або локально згенерований код на телефоні через Google автентифікатор)
 
18.   Використовувати технології VPN (Virtual Private Network - віртуальна приватна мережа) при підключенні до публічного wi-fi. VPN – це тунель від власного пристрою до іншого комп’ютера, а потім до мережі Інтернет. По суті, це створення надійного тунелю, що захищає дані користувача в ненадійній мережі. Наприклад, є VPN-сервіс TunnelBear – це соціально відповідальний бізнес, тому, якщо написати, що ви активіст чи журналіст з Україні, то вони нададуть знижку. VPN-сервіс можна створити самостійно (купити сервер, підключити Open VPN). 

19.   Використовувати мережу Tor, якщо користувач хоче бути анонімними. The Onion Router – це інструмент анонімності, а VPN – інструмент безпеки.
 
20.   Змінювати дефолтний пароль на домашньому wi-fi-роутері. (Дефолтні паролі – це паролі за замовчуванням. Роутер підключений до мережі Інтернет, а якщо на ньому стандартні паролі, як от «admin» або номер телефону, то до нього може підключитись зловмисник)

Цифрова гігієна: основні характеристики

Основа цифрової гігієни полягає в грамотному споживанні різнотипної інформації та дотриманні основних правил кібербезпеки в сучасних умовах

Цифрова гігієна в умовах кібератак та маніпуляцій: поради від YouControl

Найпоширеніші кібератаки: загрози та заходи протидії

Кібератаки можуть статися в будь-який час, тому потрібно зустрічати їх напоготові та приймати правильні рішення. Атаки можуть бути активними або пасивними, відбуватися зсередини або зовні організації. Якщо розпізнавати атаки на ранній стадії, організації можуть заощадити гроші та запобігти подальшому доступу до конфіденційної інформації, відключивши системи й повідомивши зацікавлені сторони.

Кібератаки – це дії кіберзлочинців, спрямовані на комп’ютерні системи, бази даних, інфраструктуру і відвідувачів вебсайтів. Найпоширеніші види кібератак:

 - фішинг
 - атаки програм-вимагачів
 - шкідливе програмне забезпечення
 - витік даних
 - DDOS-атаки
 - атака «ЛЮДИНА ПОСЕРЕДИНІ» (MITM)
 - SQL-ін’єкції
 - міжсайтовий скріптинг (XXS)
 - експлойт (експлуатація) нульового дня
 - DNS-тунелювання
 - атаки на паролі методом повного перебору, або брутфорс

                                       ФІШИНГ

Фішинг – це атака, яка в основному використовує електронну пошту як вектор та  в обманний спосіб змушує людей завантажувати шкідливі програми на свої пристрої.

 Види фішингу:

 spear-phishing – атаки, спрямовані на певних людей, наприклад, системних адміністраторів;

 У багатьох фішингових атаках зловмисники використовують фейкові посилання та файли, які на перший погляд не викликають підозри. Також хакери застосовують психологічні прийоми і знають, за кого себе видати, щоб домогтися свого.

 Що робити?  Профілактика і ще раз профілактика! Потрібно постійно підвищувати обізнаність ваших співробітників і свою, а також проводити польові тестування. Антифішингове програмне забезпечення та більш надійна аутентифікація електронної пошти, теж буде не зайвою.

Атаки програм-вимикачів, шкідливе ПЗ та витік даних

Програми-вимагачі (ransomware) – це шкідливе ПЗ, яке блокує доступ користувачів до їхнього програмного забезпечення і вимагає заплатити викуп. Зазвичай ransomware поширюється за допомогою спаму або соціальної інженерії.

 Що робити?

 Як тільки компанія виявляє зараження та повідомляє про вимагання, вона може або заплатити викуп, або видалити шкідливе ПЗ, або стерти всі дані і спробувати відновити їх за допомогою резервних копій.

Шкідливі програми зупиняють роботу пристроїв або значно уповільнюють їх. Програми-шпигуни, віруси, черв’яки, програми-вимагачі або програми-трояни – все це використовують кіберзлочинці. Шкідливе ПЗ потрапляє на пристрої через вкладення електронної пошти зі шкідливим кодом або через програми обміну файлами, які поширюють небезпечні матеріали, замасковані під музику або зображення.

 Що робити?

 Існує безліч інструментів для боротьби зі шкідливим ПЗ: Avast, Kaspersky, Bitdefender, Malware Bytes і багато інших. Брандмауери та системи запобігання вторгнень також можуть допомогти захистити дані.

Витік даних відбувається, коли конфіденційна інформація користувача стає вразливою.

 Що робити?

 Більшість випадків витоку даних мають фінансове підґрунтя (86%), проте це також може бути шпигунство або людський фактор. Як тільки відбувається витік даних, компаніям необхідно вжити оперативних заходів, щоб захистити свій імідж та уникнути космічних штрафів. Порушення зазвичай стають відомі завдяки внутрішнім записам, повідомленнями банків, правоохоронних органів або повідомленнями клієнтів.

DDOS-атаки та MITM

DDOS-АТАКИ

DDoS-атаки відбуваються, коли зловмисник направляють великий обсяг трафіку до системи або сервера, змушуючи його зупинити або призупинити роботу. 

 Що робити?

 Для захисту від атак типу «відмова в обслуговуванні» важливо переконатися, що ви використовуєте хмарні веб-сервери, здатні поглинати надмірний трафік, регулярно проводите тести безпеки, оновлюєте програмні продукти і пропускну здатність, а також працюєте з постачальниками інтернет-послуг або користуєтесь безпечними аутсорсинговими рішеннями щодо пом’якшення таких атак.

АТАКА «ЛЮДИНА ПОСЕРЕДИНІ» (MITM)

Такі атаки відбуваються, коли зловмисник перехоплює і змінює електронні повідомлення. Прикладом може служити підроблена точка доступу Wi-Fi, яка виглядає і працює як справжня, але при цьому перехоплює вашу інформацію. У зв’язку зі зростаючою тенденцією віддаленої роботи і цифрових комунікацій для компаній стає все більш важливим використовувати наскрізне шифрування засобів обміну повідомленнями та відеоконференцій.

Типи атак «людина посередині»:

 - Фальшиві точки доступу – це точки бездротового доступу, які були встановлені в захищеній мережі без відома адміністратора локальної мережі. Вони використовуються для приєднання комп’ютерів, що налаштовані на автоматичне підключення до Wi-Fi. Фактично комп’ютер «вважає», що підключений до легітимної мережі, а насправді це точка доступу, яка належить шахраям. Такій підхід дозволяє їм контролюють трафік та викрадати конфіденційну інформацію.
 - Address resolution spoofing – різновид мережевої атаки, що застосовується в мережах з використанням протоколу ARP. Атака основана на можливості створення «фальшивого об’єкта обчислювальної системи». Оскільки протокол ARP містить вразливості, злошкідливий вузол в локальній мережі може оголосити себе легітимним вузлом (наприклад, маршрутизатором), і надалі активно перехоплювати мережевий трафік.
 - mDNS spoofing – одна з форм зламу комп’ютерних мереж. Ось як це працює: клієнт з підтримкою протоколу mDNS (Multicast DNS) виконує запит mDNS на групову адресу (в локальній мережі). Усі клієнти, які прослуховують цю адресу, у відповідь повідомляють їхні імена. Але якщо в мережі є два клієнти з однаковим ім’ям, то «виграє» той, який першим повідомить своє ім’я. Наприклад, якщо ви хочете надрукувати текст через текстовий редактор, шукаючи вузол printer.local, то зловмисники можуть легко відправити відповідь на цей запит DNS з підробленою відповіддю, яка накаже шукати принтер за іншою IP-адресою. Таким чином, кіберзлочинці отримують можливість перехопити інформацію.
 - DNS spoofing зазвичай використовуються для того, щоб змусити інтернет-користувачів підключатися до фальшивих веб-сайтів, створених таким чином, щоб вони виглядали як справжні. Цей метод є загальноприйнятим у випадках онлайн-фроду та інших атак, пов’язаних з викраденням облікового запису.

Що робити?

Захист від атак типу MITM вимагає кількох дій, кожна з них має важливе значення.

1.    Не дозволяйте комп’ютерам або мобільним пристроям автоматично підключатися до Wi-Fi-мереж, переконайтеся, що вони підключаються тільки до відомих та перевірених мереж Wi-Fi.
2.    Переконайтеся, що всі точки доступу, які ви контролюєте, захищені та зашифровані. Зловмисники, які покладаються на фізичну близькість для проведення атак MITM, повинні бути ізольовані від вашої мережі за допомогою надійних засобів безпеки.
3.    Якщо ви підключаєтеся до невідомої або загальнодоступної мережі Wi-Fi, обов’язково використовуйте VPN-канал для захисту вашого трафіку.
4.    Ніколи не надсилайте конфіденційну інформацію на веб-сайт, який не використовує захищений протокол HTTPS (URL-адреса сайту починається з https: //).
5.    Додайте другий спосіб автентифікації до всіх облікових записів, які підтримують таку технологію.
6.    Будьте обережні щодо будь-яких електронних листів, в яких вам пропонується перейти по веб-посиланню на інший сайт. Якщо ви не впевнені в легальності електронного листа, перейдіть до відповідного веб-сайту вручну, не використовуючи посилання, що надійшло до електронної пошти. Також можна спробувати зв’язатися з організацією, якій належить цей сайт, щоб дізнатись, наскільки легітимним був отриманий електронний лист.
7.    Переконайтеся, що операційна система на комп’ютерах своєчасно оновлюється, щоб запобігти нападам MITM, які використовують вразливості ОС.
8.    Встановіть найновішу антивірусну програму та переконайтесь, що вона налаштована на регулярну перевірку комп’ютера.

SQL-ІН’ЄКЦІЇ

SQL-ІН’ЄКЦІЇ

Цей тип атак призначений для ураження веб-сайтів, що працюють на основі баз даних. В основі методу – використання шкідливого SQL коду для маніпуляцій з базою даних на сервері з метою отримати доступ до інформації, яка мала б залишатися прихованою. Успішна SQL-ін’єкційна атака може надати у розпорядження хакерів паролі та особисту інформацію, змінити дані, які зберігаються в базі, виконувати адміністративні операції, відновлювати вміст файлів та, навіть, надавати команди операційній системі.

Що робити?

Уникнути можливості подібних проблем досить просто. Досить просто перевіряти дані розміщені в запитах нескладним оброблювачем. Слід відокремлювати дані від команд і запитів, для цього існує кілька способів:

1.    Використання безпечного API, який виключає застосування інтерпретатора або надає параметризований інтерфейс. Можна використовувати інструменти об'єктно-реляційного відображення (ORM).
2.    Реалізація білих списків на сервері з метою перевірки вхідних даних. Звичайно, даний метод не забезпечить повний захист, оскільки багато програм використовують спецсимволи (наприклад, в текстових областях або API для мобільних додатків).
3.    Слід також запровадити екранування спецсимволов для інших динамічних запитів, використовуючи відповідний інтерпретатору синтаксис. Примітка: елементи SQL структури, такі як назви таблиць або стовпців, не можна екранувати, тому надавані користувачами назви становлять небезпеку. Це часта проблема платформ для створення звітів.
4.    Використовуйте в запитах елементи управління SQL для запобігання витоків даних.

Абсолютно безпечних систем не існує, можна лише знизити ймовірність взлому. Для запобігання ін'єкцій, необхідно ретельно перевіряти отримані параметри від користувача будь-якими доступними способами. Можна навіть спробувати зламати власний сайт, щоб дізнатися, які у нього є вразливості: ввести ін'єкції, змінити тип даних, додати в поля знаки екранування, завантажити на сайт файл .php зі шкідливим кодом тощо. Краще зробити це самостійно і запобігти взлому, поки хтось не спрацював на випередження.

Цей поширений тип атак використовує шкідливий код для запуску певного сценарію у веб-браузері або програмі. Специфіка подібних атак полягає в тому, що замість безпосередньої атаки на сервер зловмисники використовують вразливий сервер для атаки на користувача. Разом із веб-сторінкою, яку завантажує жертва, вона отримує зловмисний код, інтегрований в HTLM. Цей код продовжує виконувати шкідливий сценарій на комп’ютері жертви, наприклад, надсилати хакерам файли cookie з особистими даними користувача.

Що робити?

Серед методів боротьби з XSS можна виділити декілька основних:

1.    Якщо на сайті присутній користувацький вхід, то необхідно виконувати шифрування.
2.    Якщо шифрування виконати не можливо по певним причинам, варто використовувати перевірку введення (валідацію). Вона зазвичай використовує білі списки, а не чорні. Наприклад для того, щоб скласти список усіх шкідливих протоколів необхідно просто внести у список усі безпечні протоколи і заборонити усе що відсутнє у ньому. Це забезпечить захист навіть при появі нових шкідливих протоколів.
3.    Зашифрування HTML на стороні клієнта за допомогою JavaScript. Оскільки JavaScript не має в наявності API для зашифрування HTML необхідно створити його власноруч.
4.    Безпечна обробка даних повинна виконуватися не лише на стороні веб-сервера а й на стороні клієнта
5.    Використання JQuery. Найпоширеніша форма XSS в JQuery - це коли ви передаєте введення користувача селектору JQuery. Веб-розробники часто використовують location.hash і передають його селектору, що спричинить XSS, оскільки JQuery буде представляти HTML. jQuery розпізнав цю проблему і випрацював їх логіку вибору, щоб перевірити, чи починається введення з хеша. Тепер jQuery візуалізує HTML лише у тому випадку, якщо перший символ є <. Якщо ви передаєте недовірені дані селектору JQuery, переконайтесь, що ви правильно вимкніть значення за допомогою функції jsEscape, наведеної вище.
6.    Використання PHP. У PHP є вбудована функція для шифрування сутностей, відомих як htmlentities. Необхідно викликати цю функцію, щоб уникнути введення даних у контексті HTML.
7.    Використання CSP (Content Security Policy). CSP є останньою лінією захисту від міжсайтового скриптингу. Якщо захист від xss не спрацював по певним причинам використовується політика безпеки для пом’якшення xss, обмежевши можливості зловмисника. CSP дозволяє керувати різними речами, наприклад, чи можна завантажувати зовнішні сценарії та чи виконуватимуться вбудовані сценарії. Для розгортання CSP потрібно включити заголовок відповіді HTTP під назвою Content- Security-Policy зі значенням, що містить вашу політику.

ЕКСПЛОЙТ (ЕКСПЛУАТАЦІЯ) НУЛЬОВОГО ДНЯ

ЕКСПЛОЙТ (ЕКСПЛУАТАЦІЯ) НУЛЬОВОГО ДНЯ

Це коли зловмисник використовує вразливість Zero Day для атаки на систему. Ці експлойти особливо небезпечні, оскільки вони мають більше шансів на успіх, ніж звичайні шкідники.

Атаки на паролі методом повного перебору

Атакою методом «грубої сили» (брутфорс, від англ. Brute-force attack) називається злом пароля шляхом перебору всіх можливих варіантів ключа. Будь-який пароль може бути підібраний шляхом повного перебору. Цей метод злому є найбільш універсальним, але також і найбільш повільним. Брутфорс ефективний для нескладних алгоритмів шифрування і ключів довжиною до 64 біт. При збільшенні довжини ключа починаючи з 128 біт, така атака хакерів буде малоефективною і потребуватиме багато ресурсів і часу.

 Що робити?

Способи захисту від брутфорсу

Всі популярні системи управління контентом (CMS) мають в своєму розпорядженні плагіни та модулі, які призначені для захисту вашого сайту. Крім цього є хороші звички, які ви зможете реалізувати самі та бути впевненими, що навіть якщо ви піддаєтеся атакам грубої сили, ви будете в безпеці.

 Не використовуйте «admin» в якості імені користувача

Це може прозвучати тривіально, але про це обов’язково потрібно сказати. Не використовуйте admin в якості імені користувача.

Якщо на вашому сайті вже є адміністратор з таким логіном, змініть це. Чим складнішим буде логін, тим складніше буде підібрати його при спробі злому.

 Використовуйте надійні паролі

Не використовуйте прості паролі: ні password, ні 123456, ні qwerty. І далі, в тому ж дусі. Використовуйте в паролі не менше 12 знаків, включаючи малі та великі англійські букви, цифри, а також спеціальні символи. Природно, що такий пароль складно буде запам’ятати, тому збережіть його в надійному місці.

 Використовуйте на сайті двофакторну аутентифікацію

Двофакторна аутентифікація, або двоетапна верифікація (2FA) в наші дні практично необхідна для дійсно безпечної роботи в Інтернеті. По суті, 2FA зводиться до того, що система перевіряє, що ви маєте право увійти в систему, після введення унікального коду (або перейшовши за унікальним посиланням), які надсилаються тільки вам одному. Код може надсилатися на електронну пошту, мобільний телефон або навіть зберігатися на захищеній флешці.

 Обмежте спроби входу в адміністративну панель сайту

Причина, по якій атаки методом перебору є настільки ефективними, полягає в тому, що спроби входу в систему за замовчуванням не обмежені. В основному, CMS не блокують вас, якщо ви ввели неправильний пароль занадто багато разів. Ось чому метод «грубої сили» є ефективним засобом отримання доступу – якщо хакери будуть «битися головою об стіну» досить багато разів, врешті-решт вони проб’ють в ній дірку. Обмежуючи кількість спроб входу в систему, ви ефективно запобігаєте основному удару атаки. Не всім, але ви зводите до мінімуму ймовірність того, що ваш сайт буде зламаний і заражений шкідливим ПЗ.

 Використовуйте останні версії тем, плагінів і модулів

По мірі розвитку технологій, у хакерів на руках знаходяться дедалі витонченіші інструменти для зламу. Використовуючи кращі практики захисту, які наведені вище, не забувайте використовувати найостанніші версії CMS, шаблонів, плагінів і модулів. Так ви вбережете себе від потенційних вразливостей в системі.

Ризики втрати корпоративної інформації

Ефективність бізнесу в багатьох випадках залежить від збереження конфіденційності, цілісності та доступності інформації. В даний час однією з найбільш актуальних загроз у сфері інформаційної безпеки є витік конфіденційних даних від несанкціонованих дій користувачів.

Це обумовлено тим, що більша частина традиційних засобів захисту, таких як антивіруси, міжмережеві екрани і системи аутентифікації не здатні забезпечити ефективний захист від внутрішніх порушників. Метою такого роду порушників (інсайдерів) є передача інформації за межі Компанії з метою її подальшого несанкціонованого використання - продажу, опублікування її у відкритому доступі і т.д.

Системи DLP це технології, що дозволяють запобігти витоку конфіденційної інформації. У перебігу останніх декількох років використовувалася велика термінологія: Information Leakage Protection (ILP), Information Leak Protection (ILP), Information Leakage Detection & Prevention (ILDP), Content Monitoring and Filtering (CMF), Extrusion Prevention System (EPS) та ін. Але остаточним і найбільш точним терміном прийнято вважати Data Leak Prevention (DLP, запропонований агентством Forrester в 2005 г.).

У DLP-системах зазвичай використовуються три методи ідентифікації: імовірнісний, детерміністський і комбінований. Системи, засновані на першому методі, здебільшого використовують лінгвістичний аналіз контенту і «цифрові відбитки» даних. Такі системи прості в реалізації, але недостатньо ефективні і характеризуються високим рівнем помилкових спрацьовувань. Системи, що використовують детермінований підхід (мітки файлів), дуже надійні, але їм не вистачає гнучкості. Комбінований підхід поєднує обидва методи з аудитом середовища зберігання та обробки даних, що дає можливість досягти оптимального вирішення проблеми захисту конфіденційності інформації.

Є два основні підходи аналізу контенту. Перший підхід базується на фільтрації контенту, тобто змістовного наповнення інформації. Це означає, наприклад, що при перевірці на секретність стандартних офісних документів у форматі .doc система спочатку переведе їх у текстовий формат, а потім, використовуючи заздалегідь підготовлені дані, винесе по цьому тексту вердикт. Контекстна фільтрація використовує принципово іншу схему: система перевіряє контекст, в якому передається інформація: витягує мітки файлу, дивиться на його розмір або аналізує поведінку користувача.

Існує чотири критерії оцінки продуктів DLP, сформульованих компанією Forrester Research:

Перший критерій - багатоканальність. Рішення DLP не повинно бути зосереджене тільки на одному каналі витоків. Це має бути комплексне рішення, що охоплює максимальну кількість каналів: e-mail, Web і IM, а також моніторинг файлових операцій.

Другий критерій - уніфікований менеджмент. Система повинна мати уніфікованими засобами управління всіх компонентів, які вона в себе включає. Їх, як правило, три: менеджмент-сервер, на якому зберігаються політики груп користувачів; пристрій, який відстежує витік через мережу; агенти для робочих станцій, серверів, файлових-сховищ. Головна вимога другого критерію - можливість управляти цими трьома компонентами з однієї консолі.

Третій критерій - активний захист. Система повинна не тільки фіксувати витік конфіденційної інформації, а й давати можливість її блокувати.

Четвертий критерій - класифікація інформації з урахуванням, як вмісту, так і контексту. Витік конфіденційної інформації повинен базуватися не тільки на вмісті інформації, що пересилається, а й на контексті, в якому вона відбувається: який використовується протокол, який додаток, від якого користувача, куди і т.д.

Ризик у цифровій економіці та їх оцінка

Цифрову економіку можна висвітлювати як глобальний тренд, як необхідну умову, завдяки якій кожна галузь економіки, бізнесу залишається ринково конкурентноздатною. Вважається, що цифрова економіка, її модельна складова є віртуальним середовищем, яке щоразу більше органічно доповнює фізичну реальність, інтегрується з нею. 

Сучасні тенденції розвитку зумовили широке впровадження цифрової економіки і, в цьому зв’язку, переосмислення основних понять, зокрема, поняття ризику. У контексті цифрової економіки доцільно говорити про цифровий ризик. Водночас, коли йдеться про цифрові технології, то згадують про кіберризик. У професійній колах використовують обидва поняття, які, по суті, означають одне й те саме. Можна припустити, що з плином часу буде одне поняття, проте кіберризик залишиться складовою цифрового ризику.

Кіберризик означає відповідний ризик фінансових втрат, втрати ділової репутації організації (підприємства) через деякі вади або несправності, які можуть мати місце в її системі інформаційних технологій (ІТ-системі), та зумовлені різними причинами. Цифровий ризик охоплює процеси впровадження та використання цифрових технологій у діяльності підприємства, зокрема, й прийнятті рішень, які передбачають комп’ютеризацію всіх процесів, застосування робототехніки, розширення аналітичних можливостей завдяки машинному навчанню та штучному інтелекту тощо. По суті, цифровий ризик пов’язаний з узгодженим функціонуванням усіх процесів, генеруванням, передачею та зберіганням даних, аналітикою, ІТ, загальною системою менеджменту, знаннями й уміннями працівників.

Цифровий ризик – це проблема бізнесу, а не лише технологічна проблема. Інакше кажучи, цифровий ризик відображає проблеми бізнесу загалом, а кіберризик – лише ІТ. Окрім того, існує думка, що цифровий ризик-менеджмент, як наступна сходинка еволюції управління ризиком та безпеки підприємства, що широко використовує у своїй діяльності цифрові технології, має стосуватися компетенції топ- менеджменту, а не лише відділу IT.

Цифровий ризик потрібно розглядати як трансформаційний розвиток традиційного поняття ризику. Проте можна припустити, що в цифровій економіці поняття звичайного ризику не зникне, зокрема, завдяки існуванню процесів фізичного світу, в яких використання цифрових технологій буде лише сприяти їхньому функціонуванню, а не заміщати їх, інтегруватися в нові прояви буття.

Цифровий ризик в умовах цифрової економіки – це економічна категорія, яка відображає особливості сприйняття суб’єктами економічних відносин об’єктивно існуючих невизначеності та конфліктності в процесах функціонування та управління компанією (організацією, підприємством тощо), що зумовлені можливими збоями у функціонуванні цифрових засобів і технологій, які використовуються компанією. Об’єкт і суб’єкт цифрового ризику будуть такі самі, як і для звичайного ризику. Джерелами цифрового ризику є цифрові технології, які можна класифікувати так: пристрої та апаратне забезпечення; програмне забезпечення та інноваційні технології генерування, зберігання, передача та обробка інформації; мережі (локальні, глобальні, зокрема Інтернет); штучний інтелект.

Серед ризиків, пов’язаних з розвитком цифрової економіки зазначають такі:

 - загроза «цифровому суверенітету» країни, перегляд ролі держави в транскордонному світі цифрової економіки;

Незважаючи на виявлені ризики, сьогодні цифрова економіка є ефективною основою розвитку системи державного управління, економіки, соціальної сфери і всього суспільства. Щоб зменшити зазначені ризики, необхідно вчасно їх виявляти та проводити кількісне оцінювання під час проектування будь-яких цифрових систем.

Управління цифровим ризиком включає розробку та реалізацію економічно обґрунтованих для підприємства рекомендацій та заходів, спрямованих на зменшення вхідного рівня ризику до прийнятного проектного рівня. Набір цих заходів вбудовується у загальну систему вдосконалення та розвитку бізнесу, роблячи його більш прогнозованим та керованим.

Політика управління ризиком для підприємства – це процес вироблення та реалізації програм, спрямованих на досягнення балансу між очікуваними вигодами від зменшення ризику у досягненні бажаного результату підприємницької діяльності та необхідними для цього витратами. Принципи формування політики управління господарськими ризиками:

 - оптимальне співвідношення вигод та витрат;

Політика включає стратегічні та тактичні рішення щодо реагування на потенційні ризики. Для ефективного управління ризиками у діяльності виробничого підприємства важливо мати повну та достовірну інформацію, вміти правильно проводити аналіз та оцінку всіляких ризиків у діяльності підприємства і лише на основі цих факторів можна буде прийняти вірні рішення та розробити стратегію з управління ризиками. Тож для прийняття рішень необхідно:

 - дослідити ризики;

Значення дослідження ризиків полягає у можливості отримати для себе та зацікавлених у даному бізнесі груп необхідні дані для прийняття рішень про доцільність та характер передбачуваних дій та заходів щодо захисту від можливих втрат.

Дослідження ризиків включає два етапи:

 - ідентифікація ризиків – процедури розпізнавання зовнішніх та внутрішніх для діяльності підприємства ризиків;

Аналіз ризиків можна поділити на два види, які взаємно доповнюють один одного: якісний та кількісний. Якісний аналіз має на меті визначити фактори, галузі та види ризиків. Кількісний аналіз ризиків повинен дати можливість чисельно визначити розміри окремих ризиків та ризику підприємства в цілому. Оцінка за критеріями та пріоритетами — перевірка на прийнятність ситуацій та рівнів ризику для організації. Найчастіше використовувані методи проведення аналізу ризиків:

 - побудова дерева рішень – опис кожного етапу реалізації проекту, з об’єктивною оцінкою ризиків, всіх витрат, а також ймовірних збитків та вигоди;

Критеріїв вибору методів та методик для оцінки ризиків у діяльності підприємства малого бізнесу:

 - метод повинен бути оптимальним за складністю, зрозумілим усім експертам, придатним для регулярного застосування;

Джерела виникнення та форми кіберризиків

Проблема кіберризиків на світовому рівні була офіційно названа однією з п’яти ключових загроз людству, починаючи з 2012 р.

Істотну роль у дослідженні сутності кіберризиків відіграють приватні інституції: консалтингові, страхові компанії та компанії з інформаційного та програмного забезпечення. У різних джерелах кіберризики розглянуто в таких аспектах як:

 - систематичні ризики в діяльності фінансових установ та фінансових ринків;

Виділяють три підходи щодо розуміння визначення кіберризику:

 - причинно-наслідковий (причинно-наслідковий підхід пов’язує наслідки реалізації кіберризиків та джерела їх виникнення. Згідно з ним, кіберризик – це будь-який ризик фінансових втрат, збоїв або шкоди репутації організації внаслідок відмови систем інформаційних технологій) 

Всі підходи дають можливість стверджувати, що кіберризику притаманні ознаки операційного ризику. Слід зауважити, що середовищем виникнення кіберризиків є кіберпростір. Не дивлячись на існування множинності підходів до визначення кіберпростору, можна виділити його ознаки, присутні у всіх підходах. Кіберризик не може існувати без матеріальних елементів, він містить інформацію та є віртуальним. На основі цього можна трактувати кіберризики як ймовірні злочини, здійснені за посередництвом мережі Інтернет.

Поняття кіберризиків можна розглядати у вузькому і широкому значенні. У вузькому значенні кіберризики пов’язані з операційними загрозами інформаційним та технологічним активам, які негативно впливають на конфіденційність, доступність та цілісність інформації або інформаційної системи. Кіберризик – це операційний ризик, який полягає в отриманні прямих чи побічних збитків економічними суб’єктами внаслідок їх функціонування у кіберпросторі. В широкому значенні кіберризики – це ймовірність загрози інтерактивним цифровим мережам, що використовуються для передачі, модифікації та зберігання інформації (кіберпростору).

                                Рис.1. Класифікація джерел кіберризиків

Виділяють чотири класи виникнення операційних кіберризиків: дії людей, бездіяльність системи і технології, помилки у внутрішніх процесах та зовнішніх подіях. Кожен клас поділяється на підкласи, які в своєму складі мають різні елементи-чинники. З точки зору управління ризиками підкреслюється, що найбільше значення для компанії мають перебої (бездіяльність) в системах і технологіях (рис. 1)

Розрізняють наступні форми кіберризиків:

 - кібератака

Під кібератакою розуміється спроба пошкодити, порушити або отримати несанкціонований доступ через кіберпростір до комп’ютера, комп’ютерної системи або електронної мережі зв’язку з метою порушення, виключення, знищення або зловмисного контролю над обчислювальним механізмом чи інфраструктурою; або знищення цілісності даних, або викрадення керованої інформації. Кіберінцидент можна розглядати, як дії через використання комп’ютерних мереж, що призводять до фактичного або потенційно несприятливого впливу на інформаційну систему або інформацію. Третя категорія форм кіберризику – кібертероризм. Особливістю кібертероризму є мотивація, яка полягає у деструктивному впливі на соціально важливу інфраструктуру (наприклад, систему електропостачання, залізничного сполучення). Четвертою категорією, яку варто розглядати як найважчу форму прояву кіберризиків, є кібервійна, характерною особливістю якої є використання інформаційних технологій однією країною з метою руйнації та створення нестабільності в іншій. Ключовий критерій поділу на такі форми – це мотивація кібервтручання та механізм його впливу на інформаційні системи. На практиці такий поділ досить складний, оскільки дуже часто важко визначити основну мотивацію злочинної кібердії.

Види кібер-ризиків

Кіберризики мають свої особливості, певні види подій і можливі збитки та на відміну від традиційних ризиків можуть наздогнати бізнес в будь-якій точці світу і практично в кожному бізнес-процесі. Таким чином кіберризики можна класифікувати та згурпувати за такими ознаками:

 - втрата або крадіжка носіїв інформації та мобільних пристроїв;
 - доступ сторонніх осіб до конфіденційної інформації за допомогою вразливих хмарних сховищ;
 - ненавмисне розголошення співробітниками конфіденційної інформації;
 - навмисні дії співробітників (інсайдерів);
 - неконтрольоване копіювання даних співробітниками.

Такий підхід дозволив виокремити наступні види кібер-ризиків:

 - ризик втрати інформації під час злому паролю доступу або внаслідок DDoS- атаки;
 - ризик фінансових втрат від фішінгових атак;
 - ризик фінансових втрат через порушення роботи комп’ютерних систем;
 - ризик фінансових втрат від кібер-шантажу або вірусного блокування комп’ютерних систем;
 - ризик фінансових втрат через викрадення та розголошення персональних даних та інформації.

Таким чином систематизовано види подій та надано характеристику кіберризиків:

1.    Нецільові атаки :

 -  фішинг (вішинг, фармінг, клікфрода та ін.) – вид інтернет-шахрайства, метою якого є отримання доступу до конфіденційних даних користувачів – логінів і паролів;
 - кардинґ – вид шахрайства, при якому проводиться операція з використанням банківської картки або її реквізитів, яка не ініційована або не підтверджена її власником;
 - смс-шахрайство – вид шахрайства, при якому клієнту банку надсилають смс-повідомлення і/або телефонують з невідомого номера з метою отримання конфіденційної інформації по платіжній картці.

2.    Цільові атаки:

 - фінансове шахрайство – кримінологічне явище, що являє собою злочинну діяльність та виражається у системі кримінально-караних та легальних дій, які вчиняються шляхом обману або зловживання довірою в процесі формування, розподілу та використання грошових фондів з метою здобуття матеріальної вигоди;
 - розкрадання баз даних – характеризується незаконним обігом чужої сукупності даних, організованої відповідно до концепції, яка описує характеристику цих даних і взаємозв'язки між їх елементами, в своїх корисливих інтересах або з корисливих мотивів в інтересах іншої особи;
 - промислове шпигунство – різновид економічного шпигунства, якому властиве звуження масштабів завдань з одержання інформації, що цікавить, від державного – до масштабу однієї або декількох фірм-конкурентів;
 - DDoS атаки – напад на комп'ютерну систему з наміром зробити комп'ютерні ресурси недоступними користувачам, для яких комп'ютерна система була призначена;
 - кібервимагання (кріптолокери) – вірусна атака, що включає в себе використання шкідливого програмного забезпечення (шкідливих програм), файли в якому зашифровані і робить їх непридатними для використання, до тих пір, поки викуп не буде оплачений.

3.    Атаки зсередини :

 - навмисна шкода та розкрадання інформації – несанкціоноване копіювання інформації, збій ІТ-інфраструктури, втрата переносних пристроїв, відправка «не тих» даних, поширення конференційної інформації за допомогою соціальних мереж, надання неякісних послуг з аутсорсингу (хмарні сервіси, дата-центри, колл-центри тощо);
 - знищення інформації – послідовність операцій, призначених для здійснення програмними або апаратними засобами безповоротного видалення даних, у тому числі залишкової інформації;
 - сприяння цільової атаці – підтримка атак «замовного» характеру, спеціально націленої на один сайт або їх групу, що об'єднані однією ознакою (сайти однієї компанії, відносяться до певної сфери діяльності, або об'єднані рядом ознак).

Робота з ризиками

Існує багато підходів до роботи з кіберзагрозами. Найбільш поширеними сьогодні є: 

 - Avoid (піти від ризику) – це оптимізація бізнес-процесів таким чином, щоб не використовувати дані, втрата яких стане критичною для компанії. Наприклад, збір та збереження персональних даних клієнтів. Якщо компанія може надавати товар, послугу тощо, без отримання таких даних - краще це зробити та убезпечити себе від вірогідності їх викрадення.
 - Except (якщо кібер-ризик має невеликий вплив на бізнес). В такому випадку ви розуміючи це, приймаєте таку вірогідність та продовжує працювати без зміни бізнес-підходів. Оскільки, виключення такого ризику може бути дорожчим, ніж його прийняття.
 - Mitigation (пом'якшення кібер-ризиків та їх впливу на компанію). Проведення аудиту та визначення, наскільки є вразливою ваша IT-архітектура перед хакерами. Після проведення такого тестування, варто оцінити, чи вистачить отриманої інформації та даних для зниження кібер-ризиків. Якщо цього не достатньо, компанії варто застрахуватися. На випадок, якщо компанія зазнає збитків, кошти від страховки допоможуть покрити, наприклад, штрафи та витрати на відновлення певних процесів в компанії.
 - Transfer (передача відповідальності за кібер-ризик). Передача команді або компанії (аутсорсинг) відповідальність за питання кібербезпеки вашого бізнесу.

Крім зазначених вище механізмів, компанія може впровадити розробку додаткових елементів захисту інженерами безпеки. Вони вже на етапі розробки аналізуватимуть моделі загроз, екстрені випадки тощо, та виставлятимуть вимоги, які будуть використовувати розробники. Після цього платформу захисту можна також перевірити, виставивши її на публічний хакінг, для тестування на вразливість незалежними експертами. Для того щоб максимально захистити компанію від кіберзагроз, варто на постійній основі займатись інформаційною безпекою. Для цього можна найняти відповідного співробітника, створити власні відділи/департаменти з кібербезпеки або ж віддати цей напрямок спеціалізованій компанії, яка проведе аудит інформаційної безпеки компанії та на основі отриманих даних збудує стратегію кіберзахисту відповідну даному бізнесу. 

Моніторинг і контроль ризиків – це процес ідентифікації, аналізу, планування нових ризиків, слідкування за ідентифікованими ризиками, а також за тими, які занесено в список для постійного нагляду, перевірки і виконання операцій реагування на ризики та оцінки їх ефективності впродовж життєвого циклу проекту. Після виявлення ризиків та розроблення превентивних заходів по їх подоланню ризик повинен покращити свої параметри. В процесі моніторингу і управління ризиками виконуються різні методики, наприклад аналіз трендів і відхилень, для виконання яких необхідні дані по виконанню, що були зібрані в процесі виконання проєкту.

Моніторинг і управління ризиками, а також інші процеси управління ризиками є безперервним процесом, що триває на протязі всього життєвого циклу проекту. Інші цілі процесу моніторингу і управління ризиками можуть бути визначені, якщо:

 - припущення проекту ще дійсні;
 - аналіз трендів показав, що з моменту первісної оцінки стан ризику змінився;
 - належним чином виконуються правила і процедури управління ризиками;
 - резерви вартості і розпису оновлюються одночасно із змінами ризиків проєкту.

Моніторинг і контроль ризиків може включати в себе вибір альтернативних стратегій, виконання плану на випадок появи непередбачених обставин і запасного плану, виконання дій коригування і оновлення плану управління проектом. Відповідальний за реагування на ризик повинен періодично звітувати менеджеру проекту щодо ефективності виконання плану, щодо всіх непередбачених ефектів і коригувань, які необхідні для належного управління ризиками. Моніторинг і управління ризиками також включає в себе оновлення активів організаційних процесів, включаючи бази даних накопичених знань проекту і шаблони управління ризиками, які знадобляться для майбутніх проектів. Хоча цілком ліквідувати ризики неможливо, багато з них можна буде завчасно попередити шляхом :

 - зменшення ризику;
 - мінімізації ризику;
 - оптимізації ризиків.

                                                Табл. 1 Дії команди проекту по попередженню ризиків

Дослідження ризиків дозволяє чітко визначити ризик, його наслідки та ймовірність, виробити стратегію його попередження. На даному етапі повинен бути вироблений план боротьби з ризиками на основі оцінки ймовірностей (табл. 1). Варто розробити як обов’язкові заходи, так і заходи для тих випадків, коли деякий ризик почав негативно впливати (запасний план). Необхідно передбачити часовий і ресурсний резерв з урахуванням впливу ризиків.

Ухвалення – збереження відповідальності за ризик, готовність і здатність покрити всі можливі збитки за рахунок власних коштів.

Вибір методу зниження ризику здійснюється в результаті порівняння необхідних засобів на зниження ризиків з вигодами від запобігання збитку. Це співвідношення визначається за допомогою коефіцієнта ризику.

Оптимальний коефіціент ризику – 0,3.

Тепер широкого поширення набирає метод перенесення ризиків шляхом передачі управління ризиком третій стороні, що безпосередньо не бере участь в проекті. Прикладами таких випадків є:

 - страхування;
 - найм сторонніх консультантів з великим досвідом роботи;
 - купівля готової компоненти результату (продукту) проекту замість її створення власними силами;
 - залучення зовнішніх субпідрядників. 

При виборі конкретного методу зниження ризику власник проекту повинний виходити з таких принципів:

 - не можна ризикувати більше, ніж це може дозволити власний капітал (включаючи майбутні вигоди по проекту);
 - треба думати про наслідки ризику;
 - не можна ризикувати великим заради малого.

Упраління кібер-ризиками

На шляху розуміння бізнесом важливості кібербезпеки з'явилось поняття «кібер-ризику». Саме «кібер-ризик» означає ризик фінансових втрат (прямих і непрямих), повної або часткової зупинки діяльності, а також шкоди репутації організації або приватної особи.

Саме поняття кібербезпеки набагато ширше інформаційних систем і ресурсів, що включає в себе всі ресурси компанії або організації, в тому числі, співробітників, підрядників і партнерів. Будь-яка сфера діяльності або активності, яка може притягнути загрозу реалізації вищезазначених ризиків, формує повне охоплення вже кібер-ризиків.

Управління кібер-ризиками – це фундамент для будь-якої дії у сфері безпеки, чи то впровадження систем або інструментів, або побудова процесів і впровадження правил і політик. Проєкти з управління ризиками часто недооцінюють і не відокремлюють, хоча саме грамотне визначення та управління кібер-ризиками дозволяє розподілити раціонально бюджет на кібербезпеку і грамотно підготуватися до атак і загроз заздалегідь.

Передумов для формалізації процесів управління кібер-ризиками кілька:

 - оцифровка (або «діджіталізація») сучасного бізнесу (практично не залишилося галузей, які не залучені в кіберпростір, і розмір компаній вже також не має значення);
 - потрапляння самої людини до охоплення застосування кібер-ризиків (людина навіть сама по собі вже є інформаційним активом, який необхідно захищати);
 - зростання залежності областей безпеки одна від одної (наприклад, фізичної безпеки від інтернету речей);
 - потреба топ-менеджерів у простому й зрозумілому інструменті оцінки безпеки та її розвитку.

Аналіз ризиків проводять навіть за умови впроваджених і налагоджених процесів управління, тому що кібер-ризики – субстанція дуже жива і змінюються вони досить часто і сильно. Під час первинної оцінки ризиків необхідно в першу чергу визначити цілі управління кібербезпекою компанії. Після цього необхідно визначити критично важливі елементи, які впливають на ключові бізнес-процеси компанії. Кожен ризик, у класичному розумінні, оцінюється за двома параметрами: ймовірності й потенційного збитку, тому виходячи з цих кількісних показників формується карта ризиків і їхній пріоритет. Таку оцінку необхідно проводити регулярно, розширюючи карту ризиків, щоб охопити якомога більше потенційних ризиків для компанії.

На основі проведеної оцінки кібер-ризиків проводиться їхня пріоритезація для бізнесу (показник фінансовий, який зрозумілий представникам топ-менеджменту і бізнес підрозділам). Після того проводиться робота з ризиками, тобто проводять аналіз кожного з ризику, щоб опрацювати заходи роботи з ним. Класичним набором таких заходів є: мінімізація, прийняття, ухилення, перекладання і диверсифікація. Проте в різних методиках можуть виникати нові терміни або інструменти. Завдання цього етапу робіт полягає у виборі правильного інструменту управління для кожного ризику (інструмент може бути переглянутий згодом та змінений). Наприклад, іноді компанії беруть ризик втрати клієнта, розуміючи, що фінансово їм буде невигідно боротися за нього. Так і в кібербезпеці може виявитися, що захист якогось ресурсу або активу є недоцільним, отже простіше застрахувати його втрату або компрометацію.

Наступним етапом є застосування обраних інструментів та заходів управління кібер-ризиками та перевірка їхньої ефективності. В рамках наступного перегляду карти ризиків може виявитися, що обраний метод управління ризиком не виправдав очікувань, або у ризику змінилися його параметри (ймовірність і збитки), що вимагає більш жорсткого або, навпаки, м’якого та не витратного впливу на нього.

Кінцевим етапом є знову оцінка, а точніше перегляд процесів і карти кібер-ризиків на регулярній основі. Саме такий, циклічний підхід допомагає працювати з актуальною інформацією та актуальними погрозами. Таким чином, компанія підтримує максимальний рівень кіберстійкості, керуючи пріоритетними ризиками на сьогоднішній день і керуючи ними ефективно. Кібер загрози не перестануть з’являтися, атак теж менше не стане, тому превентивна оцінка і підготовка до найбільш небезпечних для компанії подій.

Сервіси пошуку інформації про юридичних та фізичних особам-підприємців України

Державна реєстрація юридичних осіб та фізичних осіб-підприємців здійснюється відповідно до Закону України «Про державну реєстрацію юридичних осіб, фізичних осіб-підприємців та громадських формувань». 

Перелік безкоштовних інтернет – сервісів пошуку інформації про суб’єкти господарської діяльності в Україні

Відомості з реєстру бізнесу

Надання відомостей з Єдиного державного реєстру юридичних осіб, фізичних осіб-підприємців та громадських формувань

Єдиний державний реєстр юридичних осіб, фізичних осіб-підприємців та громадських формувань надає можливість отримати багато інформації, як-от дані про бенефіціарних власників, місцезнаходження і види діяльності, відомості про внесення реєстраційних змін тощо. Ця інформація стане у нагоді для попередження махінацій та шахрайств. Окрім стандартних критеріїв пошуку за назвою юридичної особи або ПІБ фізичної особи-підприємця, витяг можна сформувати за розширеними критеріями пошуку такими як відомості про відокремлений підрозділ і відомості про керівника або засновника юридичної особи. До витягу додатково можна включити відомості про перелік реєстраційних дій по знайденим суб’єктам.

Відомості з реєстру банкрутства

Отримання відомостей з Єдиного реєстру підприємств, щодо яких порушено провадження у справі про банкрутство

Опис послуги. У Кабінеті електронних сервісів реалізована можливість отримання відомостей з Єдиного реєстру підприємств, щодо яких порушено провадження у справі про банкрутство.   Інформаційна довідка надається за запитом користувача (заявника) та містить інформацію про порушення щодо юридичної особи або фізичної особи–підприємця провадження у справі про банкрутство, визнання його банкрутом, перебування у процедурі банкрутства.  Надання відомостей з Єдиного реєстру підприємств, щодо яких порушено провадження у справі про банкрутство, здійснюється виключно для користувачів, які є зареєстрованими користувачами Кабінету електронних сервісів (mail.gov.ua).

Єдиний державний реєстр юридичних осіб, фізичних осіб-підприємців та громадських формувань (ЄДР) – публічний реєстр юридичних осіб в Україні, виконує роль державного контролю та захисту прав юридичних осіб, громадських формувань та підприємців України, а також захисту прав третіх осіб у правовідносинах з ними.

Єдина державна інформаційна система, що забезпечує збирання, накопичення, обробку, захист, облік та надання інформації про юридичних осіб, фізичних осіб – підприємців та громадські формування, що не мають статусу юридичної особи.

Єдиний державний реєстр підприємств та організацій України (ЄДРПОУ) — статистичний реєстр підприємств в Україні, автоматизована система збирання, накопичення та обробки даних про підприємства та організації усіх форм власності, а також їх відокремлені підрозділи — філії, відділення, представництва тощо. Правовий статус реєстру регулюється «Положенням про Єдиний державний реєстр підприємств та організацій України», затвердженим постановою Кабінету Міністрів в редакції від 22 червня 2005 р. (постанова № 499). Метою реєстру є забезпечення єдиного державного обліку підприємств та організацій усіх форм власності. ЄДРПОУ існує поруч із Єдиним державним реєстром юридичних осіб та фізичних осіб-підприємців, метою якого є забезпечення прав кредиторів і інших осіб шляхом розкриття інформації про юридичну особу або підприємця.

Єдиний реєстр ліцензій – один з найбільш затребуваних джерел відкритих даних в Україні. Він дійсно є дуже корисним, тому що дозволяє переконатися в наявності ліцензії у компанії, з якою ви плануєте співпрацювати. Або навпаки – дізнатися про відсутність дозвільних документів. У будь-якому випадку, дані з реєстру ліцензій необхідні для перевірки контрагентів перед укладенням договору і прийняттям правильного рішення, щоб уникнути ризиків (фінансових, репутаційних та інших).

Єдиний державний реєстр судових рішень (Реєстр) - автоматизована система збирання, зберігання, захисту, обліку, пошуку та надання електронних копій судових рішень. До Реєстру вносяться судові рішення Верховного Суду України, вищих спеціалізованих, апеляційних та місцевих судів - вироки, рішення, постанови, накази, ухвали, окремі ухвали (постанови) суду, що ухвалені (постановлені) судами у кримінальних, цивільних, господарських справах, у справах адміністративної юрисдикції, у справах про адміністративні правопорушення, крім судових рішень, які містять інформацію, що є державною таємницею.

База даних Реєстру (БД) містить інформацію довідкового характеру. Будь-яка текстова, графічна або інша (аудіо та відео) інформація, представлена на офіційному веб-порталі судової влади України (крім текстів офіційних документів), захищена авторським правом. Цей захист розповсюджується на програмне забезпечення, пошукові алгоритми, оформлення та структуру сторінок, а також БД.

YouControl - аналітична онлайн-система, що з понад 180 джерел формує повне досьє на кожну компанію і ФОП України на основі відкритих даних, відстежує зміни та візуалізує зв’язки. Містить дані для перевірки іноземних компаній. Технологія дозволяє за декілька секунд отримати актуальну на час запиту інформацію про фізичну особу з офіційних джерел.

YouControl містить реєстраційні та історичні дані всіх підприємств та ФОПів України (більше 6 млн досьє). В системі зберігається близько 100 млн судових документів (деякі з документів з різних причин іноді зникають з державних судових реєстрів, але система їх надійно зберігає). YouControl на платній основі надає доступ до досьє кожної компанії України.

Опендатабот (opendatabot.ua) – це українська компанія, що надає доступ до державних даних з основних публічних реєстрів для громадян та бізнесу. Для громадян доступні сервіси сповіщень про борги та суди, перевірка даних для захисту від шахраїв, перевірка транспорту та нерухомості. На базі Опендатабот створюються різноманітні ІТ-сервіси, які дозволяють захистити компанії від рейдерських захоплень, контролювати контрагентів та турбуватися про співробітників. Дані платформи доступні через API в будь-яких CRM/ERP системах.

Сервіси перевірки інформації про контрагентів

В практиці нерідко виникають ситуації, коли контрагенти, для укладення вигідного контракту, намагаються, так би мовити, «не афішувати» проблеми, що здатні істотно вплинути на їх платоспроможність. Як наслідок, вимога часу полягає у тому, що до укладення контракту та в ході його виконання (якщо йдеться про довготривалі відносини) є потреба опрацювати значні масиви інформації про контрагента, отримані як від нього самого, так і із незалежних, публічних джерел. В обов`язковому порядку порівнюються відомості, внесені сторонами у преамбулу та реквізити договору, із публічними даними у Єдиному державному реєстрі юридичних осіб, фізичних осіб-підприємців та громадських формувань (ЄДР).

Досвідчені користувачі, зазвичай цим не обмежуються. Перевіряється наявність і реквізити спеціальних дозволів, ліцензій, реєстраційні дані особи як платника податків; наявність заборгованості за податками і зборами, суми та строки здійснення виконавчих проваджень що до особи, факти порушення наразі і в минулому справ про банкрутство чи відкриття ліквідаційної процедури за її власним рішенням. Ці чинники несуть в собі зрозумілі загрози: негативні наслідки можуть наступити негайно, а строки, наприклад, подачі тих же вимог до боржника у процедурі банкрутства, вкрай обмежені.

Наступний рівень аналізу, зустрічається значно рідше і передбачає моніторинг відомостей Єдиного державного реєстру судових рішень на сайті «Судова влада», на предмет чинних судових рішень, винесених що до контрагента, порушених проти нього проваджень і оцінки їх потенційного впливу на майбутні відносини. Навіть така проста і доступна річ, як безкоштовна перевірка паспортних даних керівника чи засновника маловідомої юридичної особи (доступна на порталі Державної міграційної служби, https://nd.dmsu.gov.ua/, розділ «Перевірка недійсних документів»), дають часом несподівані наслідки. Безсумнівно, подібні перевірки вимагають, крім часу та ресурсів, певної фахової підготовки. Систематична перевірка десятків підприємств – надзвичайно кропіткий і рутинний процес. Та й «людський» фактор може звести все нанівець: перевантажений, недосвідчений працівник може просто не помітити або не оцінити вкрай важливу інформацію.

Найбільший портал відкритих даних data.gov.ua являє нагромадження так званих «наборів даних» (файли в спеціальному форматі), які рядовий користувач навряд чи може оперативно опрацювати. Адже для їх обробки як мінімум потрібно мати відповідні технічні навички (знання формату JSON, як приклад) та спеціальне програмне забезпечення. Труднощі, пов’язані з обробкою та упорядкуванням великої кількості інформації розрізнених державних реєстрів, призвели до появи цілого ряду приватних сервісів – платформ, які мають за мету консолідувати важливі для бізнесу набори даних, та організувати роботу з ними в зручний для звичайного користувача спосіб.

Сервіси, за допомогою яких можна отримувати інформацію про контрагентів за мінімальний проміжок часу, буквально за хвилини попереджуючи про можливі ризики при співпраці.

 «CONTR AGENT» та «VERDICTUM» від ЛІГА:ЗАКОН

«CONTRAGENT» являє собою WEB-платформу, яка дозволяє отримати повну і актуальну інформацію про будь-яке підприємство України за кодом ЄДРПОУ, назвою, кінцевими бенефіціарами чи П.І.Б керівника. Окрім основних реєстраційних даних (ОПФ, юридична адреса, керівник) сервіс надає відомості відносно судових рішень по підприємству чи введених відносно нього санкцій. Також користувачам є доступна інформація відносно статусу платника ПДВ, наявності заборгованостей за податками, дані про проведення перевірок на підприємстві та аналітична інформація відносно використання публічних коштів, статистика ЗЕД і аналітика фінансової діяльності підприємства. Юридична адреса підприємства перевіряється на належність до адрес масової реєстрації, що дозволяє додатково оцінити надійність компанії. В особистому кабінеті реалізована можливість переглянути зв’язки підприємства з іншими організаціями по керівнику та засновникам в зручному графічному форматі. Система моніторингу даного сервісу дозволяє одночасно відстежувати до 1500 підприємств, вчасно повідомляючи користувачів про будь-які зміни, які відбуваються з їх контрагентами. Також є можливість інтеграції сервісу до будь-якої облікової системи, яка має доступ до мережі Інтернет.

Окремої уваги заслуговує інший продукт ЛІГА:ЗАКОН: VERDICTUM – система аналізу судових рішень, яка дозволяє відстежити етапи проходження справи з посиланнями на нормативно-правові акти. Платформа має користувацький інтерфейс, який дозволяє зберігати та групувати в довільному форматі знайдену інформацію, а 10 вбудованих аналітичних фільтрів дозволяють з максимальною точністю знайти необхідні для ознайомлення матеріали.

YOUCONTROL

Дана платформа позиціонується як аналітичний сервіс для ділової розвідки та перевірки контрагентів. Розробниками заявлено про формування інформацію із 50 публічних державних реєстрів України, що дозволяє сформувати найповніше досьє про компанію. Робота з сервісом побудована на системі вкладок за видами інформації – податки, фінанси, судові справи, тощо. Система ж зв’язків компанії, що перевіряється, з іншими організаціями реалізована у вигляді графічної схеми. «YOUCONTROL» дозволяє отримати інформацію про тендери, в яких підприємство брало учать та інформацію відносно ЗЕД. Окремо варто виділити аналіз ринків – можливість сформувати ТОП компаній за видами діяльності, регіоном та фінансовими результатами.

Розробниками «YOUCONTROL» також реалізовано систему моніторингу, яка дозволяє відстежувати зміни по обраним контрагентам через інформування на електронну пошту користувача. Є також можливість перегляду історичних змін, які відбувались з підприємством з моменту його створення.

OPENDATABOT

Сервіс «OPENDATABOT» призначений для оперативного отримання інформації про будь-яку організацію чи підприємство України. Його зручність полягає в тому, що взаємодія з платформою відбувається через знайомі месенджери – Viber, Skype, Telegram чи Facebook. Для початку роботи з сервісом необхідно додати в контакти його «бота» (публічний канал) та розпочати з ним діалог, надіславши в повідомленні код ЄДРПОУ/ІПН контрагента. У відповідь надійде повідомлення, яке буде містити основні реєстраційні дані підприємства, його керівника та засновників. Додатково вказується інформація про можливі проблеми – судові справи, борги за податками, банкрутство та ліквідацію. Окремо можна перевірити керівника на предмет зв’язків з іншими організаціями. Для цього необхідно надіслати в діалозі П.І.Б. директора – і «бот» відразу надсилає перелік організацій, де в якості керівника згадується вказана особа. Користувачам також доступна і функція моніторингу, яка є обмеженою в безкоштовній версії – дані оновлюються лише раз на тиждень.

Захист інформації

Словосполучення "інформаційна безпека" у різних контекстах може мати різне значення.

У даному курсі наша увага буде зосереджена на зберіганні, обробці та передачі інформації незалежно від того, якою мовою (російською чи якою-небудь іншою) вона закодована, хто або що є її джерелом та який психологічний вплив вона має на людей. Тому термін "інформаційна безпека" використовується у вузькому змісті, так, як це прийнято, наприклад, в англомовній літературі.

Під інформаційною безпекою ми будемо розуміти захищеність інформації й інфраструктурою, яка її підтримує від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятної шкоди суб'єктам інформаційних відносин, у тому числі власникам і користувачам інформації й підтримуючої інфраструктури. ( Далі ми пояснимо,що варто розуміти під підтримуючою інфраструктурою.)

Захист інформації - це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.

Таким чином, правильний з методологічної точки зору підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин й інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційної безпеки - це зворотний бік використання інформаційних технологій.

Із цього положення можна вивести два важливі висновки:

1 Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може істотно розрізнятися. Для ілюстрації досить зіставити режимні державні організації й навчальні інститути. У першому випадку "нехай краще все зламається, ніж ворог довідається хоч один секретний біт", у другому - "так немає в нас ніяких секретів, аби тільки все працювало".

2 Інформаційна безпека не зводиться винятково до захисту від несанкціонованого доступу до інформації, це принципово більш широке поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитків й/або одержати моральний збиток) не тільки від несанкціонованого доступу,але й від поломки системи, що викликала перерву в роботі. Більше того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть по важливості аж ніяк не на першому  місці.

Повертаючись до питань термінології, відзначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) видається нам занадто вузьким. Комп'ютери - тільки одна зі складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, що зберігається,обробляється й передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових й, у першу чергу, найслабшою ланкою, якою в переважній більшості випадків є людина, яка (написала, наприклад, свій парольна "гірчичнику", наклеєному на монітор).

Відповідно до визначення інформаційної безпеки, вона залежить не тільки від комп'ютерів, але й від інфраструктури, яка її підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавити не лише те, як вона впливає на виконання інформаційною системою запропонованих їй функцій.

Звернемо увагу, що у визначенні ІБ перед іменником "збиток" стоїть прикметник "неприйнятний". Вочевидь, застрахуватися від усіх видів збитків неможливо, тим більше неможливо зробити це економічно доцільним чином, коли вартість захисних засобів і заходів не перевищує розмір очікуваного збитку. Виходить, із чимось доводиться миритися й захищатися потрібно тільки від того, з чим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесення шкоди здоров'ю людей або стану навколишнього середовища, але частіше поріг неприйнятності має матеріальне (грошове) вираження, а метою захисту інформації стає зменшення розмірів збитків до припустимих значень.

Складові інформаційної безпеки

Інформаційна безпека - багатогранна, можна навіть сказати, багатомірна область діяльності, у якій успіх може принести лише систематичний,комплексний підхід.

Спектр інтересів суб'єктів, пов'язаних з використанням інформаційних систем, можна розділити на наступні категорії: забезпечення доступності,цілісності й конфіденційності інформаційних ресурсів і підтримуючої інфраструктури.

Іноді в сукупність основних складових ІБ включають захист від несанкціонованого копіювання інформації, але, на наш погляд, це занадто специфічний аспект із сумнівними шансами на успіх, тому ми не будемо його виділяти.

Пояснимо поняття доступності, цілісності й конфіденційності.

Доступність - це можливість за прийнятний час одержати необхідну інформаційну послугу.

Під цілісністю мається на увазі актуальність і несуперечність інформації, її захищеність від руйнування й несанкціонованої зміни.

Нарешті, конфіденційність - це захист від несанкціонованого доступу до інформації.

Інформаційні системи створюються (купуються) для одержання певних інформаційних послуг. Якщо з тих або інших причин надати ці послуги користувачам стає неможливо, це, мабуть, завдає шкоди всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність іншим аспектам, ми виділяємо її як найважливіший елемент інформаційної безпеки.

Особливо яскраво провідна роль доступності виявляється в різного роду системах керування - виробництвом, транспортом і т.п. Зовні менш драматичні, але також досить неприємні наслідки - і матеріальні, і моральні -може бути тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги й т.п.).

Цілісність можна підрозділити на статичну (що розуміється як незмінність інформаційних об'єктів) і динамічну (яка стосується коректного виконання складних дій (транзакцій)). Засоби контролю динамічної цілісності застосовуються, зокрема, при аналізі потоку фінансових повідомлень із метою виявлення крадіжки, перевпорядкування або дублювання окремих повідомлень.

Цілісність виявляється є найважливішим аспектом ІБ у тих випадках, коли інформація слугує "керівництвом до дії". Рецептура ліків, запропоновані медичні процедури, набір і характеристики комплектуючих виробів, хід технологічного процесу - все це приклади інформації, порушення цілісності якої може виявитися в буквальному значенні смертельним. Неприємно й перекручування офіційної інформації, будь-то текст закону або сторінка Web-сервера якої-небудь урядової організації.

Конфіденційність - найпроблемніший у нас у країні аспект інформаційної безпеки. На жаль, практична реалізація засобів по забезпеченню конфіденційності сучасних інформаційних систем натрапляє в Україні на серйозні труднощі. По-перше, відомості про технічні канали витоку інформації є закритими, так що більшість користувачів позбавлені можливості скласти уявлення про потенційні ризики. По-друге, на шляху використовуваної криптографії як основного засобу забезпечення конфіденційності стоять численні законодавчі перепони й технічні проблеми.

Якщо повернутися до аналізу інтересів різних категорій суб'єктів інформаційних відносин, то майже для всіх, хто реально використовує ІС, на першому місці стоїть доступність. Практично не поступається їй по важливості цілісність - який сенс в інформаційній послузі, якщо вона містить перекручені відомості?

Нарешті, конфіденційні моменти є також у багатьох організацій (навіть у згадуваних вище навчальних інститутах намагаються не розголошувати відомості про зарплату співробітників) і окремих користувачів (наприклад,паролі)

Об’єктно-орієнтований підхід інформаційної безпеки

У теперішній час ІБ є відносно замкнутою дисципліною, розвиток якої не завжди синхронізований із змінами в інших галузях інформаційних технологій. Зокрема, в ІБ поки не знайшли віддзеркалення основні положення об’єктно-орієнтованого підходу, що став основою для побудови сучасних інформаційних систем.

Спроби створення великих систем ще в 60-х роках минулого століття розкрили численні проблеми програмування, головна з яких є складність створюваних і супроводжуваних систем. Результатами досліджень у галузі технології програмування стали спочатку структуроване програмування, потім об’єктно-орієнтований підхід.

Об’єктно-орієнтований підхід є основою сучасної технології програмування, випробуваним методом боротьби зі складністю систем.

Складність має двояку природу. По-перше, складні не тільки апаратно-програмні системи, які необхідно захищати, але і самі засоби безпеки. По-друге, швидко зростає складність сімейства нормативних документів, таких, наприклад, як профілі захисту на основі “Загальних критеріїв”, мова про які попереду. Ця складність менш очевидна, але нею також не можна нехтувати – необхідно спочатку будувати сімейства документів за об’єктним принципом.

Будь-який розумний метод боротьби зі складністю спирається на принцип “Divide et impera” – “розділяй і володарюй”. У даному контексті цей принцип означає, що складна система інформаційної безпеки на верхньому рівні повинна складатися з невеликої кількості відносно незалежних компонентів. Потім декомпозиції піддаються виділені на першому етапі компоненти, і так далі – до заданого рівня деталізації. Результатом є система у вигляді ієрархії з декількома рівнями абстракції.

Об’єктно-орієнтований підхід використовує об’єктну декомпозицію, тобто, поведінка системи описується в термінах взаємодії об’єктів.

Об’єкти реального світу володіють, як правило, декількома відносно незалежними характеристиками. Стосовно об’єктної моделі такі характеристики називаються гранями. Ми вже стикалися з трьома основними гранями ІБ – доступністю, цілісністю і конфіденційністю.

Поняття рівня деталізації важливе не тільки для візуалізації об’єктів, але і для систематичного розгляду складних систем, представлених в ієрархічному вигляді. Саме по собі воно дуже просте: якщо черговий рівень ієрархії розглядається з рівнем деталізаціїn>0, то наступний – з рівнем (n-1). Об’єкт з рівнем деталізації 0 вважається атомарним.

Поняття рівня деталізації показу дозволяє розглядати ієрархії потенційно нескінченні заввишки, варіювати деталізацію як об’єктів у цілому, так і їх граней.

Покажемо яким чином можна застосувати об’єктно-орієнтований підхід до питань інформаційної безпеки.

Фактично три грані ІБ вже було введено: це доступність, цілісність і конфіденційність. Їх можна розглядати відносно незалежно, і вважається, що якщо всі вони забезпечені, то забезпечена і ІБ у цілому.

Таким чином, ми структурували нашу мету. Тепер потрібно структурувати засоби її досягнення. Введемо такі грані:

·         законодавчі заходи забезпечення інформаційної безпеки;

·         адміністративні заходи(накази та інші дії керівництва організацій, пов’язаних з інформаційними системами, що захищаються);

·         організаційні (процедурні) заходи(заходи безпеки, орієнтовані на людей);

·         інженерно-технічні заходи.

Виходячи з цього, маємо таке поняття.

Захист інформації – це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.

Далі кожна з виділених граней буде розглядатися детальніше. Тут же відзначимо, що, в принципі, їх можна розглядати і як результат варіювання рівня деталізації. Тому в подальшому будуть вживатися словосполучення “законодавчий рівень”, “адміністративний рівень” і т.п.).

Закони і нормативні акти орієнтовані на всіх суб’єктів інформаційних відносин незалежно від їх організаційної приналежності (це можуть бути як юридичні, так і фізичні особи) в межах країни, адміністративні заходи – на всіх суб‘єктів у межах організації, процедурні – на окремих людей (або невеликі категорії суб’єктів), інженерно-технічні – на устаткування і програмне забезпечення.

Продемонструємо тепер, як можна розглядати систему захисту ІС, варіюючи рівень деталізації.

Нехай інтереси суб’єктів інформаційних відносин концентруються навколо ІС певної організації, яка має у своєму розпорядженні два територіально рознесені виробничі майданчики, на кожному з яких є сервери, що обслуговують своїх і зовнішніх користувачів. Один з майданчиків обладнаний зовнішнім підключенням (тобто має вихід в Internet).

Нульовому рівню деталізації відповідає інформаційна система в цілому. Вже тут необхідно врахувати закони, застосовні до організацій, що мають в своєму розпорядженні інформаційні системи. Можливо, яку-небудь інформацію не можна зберігати і обробляти на комп’ютерах, якщо ІС не була атестована на відповідність певним вимогам.

На адміністративному рівні можуть декларуватися цілі, заради яких створювалася ІС, загальні правила закупівель, впровадження нових компонентів, експлуатації і т.п.

На процедурному рівні потрібно визначити вимоги до фізичної безпеки ІС і шляхи їх виконання, правила протипожежної безпеки тощо.

На інженерно-технічному рівні можуть бути визначені переважні апаратно-програмні платформи тощо.

На першому рівні деталізації визначаються сервіси і користувачі, або, інакше кажучи, здійснюється поділ на клієнтську і серверну частину (рис. 1.1).

Рисунок 1.1 – ІС при розгляді з рівнем деталізації 1

На цьому рівні потрібно сформулювати вимоги до сервісів (до їх наявності, до доступності, цілісності і конфіденційності інформаційних послуг, що надаються), викласти способи виконання цих вимог, визначити загальні правила поведінки користувачів, необхідний рівень їх попередньої підготовки, методи контролю їх поведінки, порядок заохочення і покарання тощо. Можуть бути сформульовані вимоги і переваги щодо серверних і клієнтських платформ.

На другому рівні деталізації (рис.1.2) ще не описується внутрішня структура ІС організації і деталі Internet. Констатується тільки існування зв’язку між цими мережами, наявність в них користувачів, а також внутрішніх та зовнішніх сервісів без опису їхнього змісту.

Рисунок 1.2 – ІС при розгляді з рівнем деталізації 2

+Для рівня деталізації 2, повинні враховуватися закони, застосовні до організацій, ІС яких забезпечені зовнішніми підключеннями. Мова йде про допустимість такого підключення, про його захист, про відповідальність користувачів, що звертаються до зовнішніх сервісів, і про відповідальність організацій, що відкривають свої сервіси для зовнішнього доступу. Конкретизація аналогічної спрямованості, з урахуванням наявності зовнішнього підключення, повинна бути виконана на адміністративному, процедурному і інженерно-технічному рівнях.

Система захисту інформації

Існуючий на теперішній час значний практичний досвід у сфері захисту інформації показує, що потрібна прозора і цілеспрямована організація процесу захисту інформаційних ресурсів. Причому в цьому повинні активно брати участь професійні фахівці, адміністрація, співробітники і користувачі, що і визначає підвищену значимість організаційної сторони питання.

Відповідно до цього захист будується на основі системного підходу до інформаційної безпеки.

Система захисту інформації – це організована сукупність спеціальних установ, засобів, методів і заходів, що забезпечують захист інформації від внутрішніх і зовнішніх загроз.

Досвід показує, що забезпечення безпеки інформації не може бути одноразовим актом. Це неперервний процес, який полягає в обґрунтуванні і реалізації найбільш раціональних методів, способів і шляхів удосконалення та розвитку системи захисту, неперервному контролі її стану, виявленні її вузьких і слабких місць, а також протиправних дій.

Безпека інформації може бути забезпечена лише при комплексному використанні всього арсеналу наявних засобів захисту в усіх структурних елементах виробничої системи і на всіх етапах технологічного циклу обробки інформації. Найбільший ефект досягається тоді, коли всі використовувані засоби, методи і заходи поєднуються в єдиний цілісний механізм – систему захисту інформації (СЗІ). При цьому функціонування системи повинно контролюватися, обновлятися і доповнюватися залежно від зміни зовнішніх і внутрішніх умов.

Ніяка СЗІ не може забезпечити необхідного рівня безпеки інформації без належної підготовки користувачів і дотримання ними всіх установлених правил, спрямованих на її захист.

Вимоги до захисту інформації

З позицій системного підходу до захисту інформації висуваються певні вимоги. Захист інформації повинен бути:

• неперервним.Ця вимога виникає з того, що зловмисники тільки і шукають можливість, як би обійти захист інформації, що цікавить їх;

• плановим. Планування здійснюється шляхом розробки кожною службою детальних планів захисту інформації у сфері її компетенції з урахуванням загальної мети підприємства (організації);

• цілеспрямованим. Захищається тільки те, що повинно захищатися в інтересах конкретної мети, а не все підряд;

• конкретним. Захисту підлягають конкретні дані, що об’єктивно вимагають охорони, втрата яких може заподіяти організації певний збиток;

• активним. Захищати інформацію необхідно з достатнім ступенем наполегливості;

• надійним. Методи і форми захисту повинні надійно перекривати можливі шляхи неправомірного доступу до охоронюваних секретів, незалежно від форми їхнього представлення, мови вираження і виду фізичного носія, на якому вони закріплені;

• універсальним. Вважається, що залежно від виду каналу витоку або способу несанкціонованого доступу його необхідно перекривати, де б він не проявився, розумними і достатніми засобами, незалежно від характеру, форми і виду інформації;

• комплексним. Для захисту інформації повинні застосовуватися всі види і форми захисту в повному обсязі. Неприпустимо застосовувати лише окремі форми чи технічні засоби. Комплексний характер захисту виникає з того, що захист – це специфічне явище, що є складною системою нерозривно взаємопов’язаних і взаємозалежних процесів, кожний з яких, у свою чергу, має безліч різних сторін, властивостей, тенденцій.

• охоплювати весь технологічний комплекс інформаційної діяльності;
• бути різноманітною за використовуваними засобами, багаторівневою з ієрархічною послідовністю доступу;
  
• бути відкритою для зміни і доповнення заходів забезпечення безпеки інформації;
  
• бути нестандартною, різноманітною. Вибираючи засоби захисту не можна розраховувати на непоінформованість зловмисників щодо її можливостей;
  
• бути простою для технічного обслуговування і зручною для експлуатації користувачами;
  
• бути надійною. Будь-які несправності технічних засобів є причиною появи неконтрольованих каналів витоку інформації;
  
• бути комплексною, мати цілісність, що означає, що жодна її частина не може бути вилучена без втрат для всієїсистеми.
  

До системи безпеки інформації висуваються також певні вимоги:

• чіткість визначення повноважень і прав користувачів на доступ до певних видів інформації;
• надання користувачу мінімальних повноважень, необхідних йому для виконання дорученої роботи;
  
• зведення до мінімуму кількості спільних для декількох користувачів засобів захисту;
  
• облік випадків і спроб несанкціонованого доступу до конфіденційної інформації;
  
• забезпечення оцінювання ступеня конфіденційної інформації;
  
• забезпечення контролю цілісності засобів захисту і негайне реагування на вихід їх з ладу.
  

Система захисту інформації

Система захисту інформації як будь-яка система повинна мати певні види власного забезпечення, спираючись на які вона буде виконувати свою цільову функцію. Враховуючи це, СЗІ повинна мати:

• правове забезпечення. Сюди входять нормативні документи, положення, інструкції, посібники, вимоги яких є обов'язковими врамкахсфери їх дій;

• організаційне забезпечення. Мається на увазі, що реалізація захисту інформації здійснюється певними структурними одиницями – такими, як служба захисту документів; служба режиму, допуску, охорони; служба захисту інформації технічними засобами; інформаційно-аналітична діяльність і ін.;

• апаратне забезпечення. Передбачається широке використання технічних засобів як для захисту інформації, так і для забезпечення діяльності власне СЗІ;

• інформаційне забезпечення. Воно містить у собі відомості, дані, показники, параметри, які лежать в основі розв’язання задач, що забезпечують функціонування системи. Сюди можуть входити як показники доступу, обліку, зберігання, так і системи інформаційного забезпечення розрахункових задач різного характеру, пов’язаних з діяльністю служби забезпечення безпеки;

• програмне забезпечення. До нього належать різні інформаційні, облікові, статистичні і розрахункові програми, що забезпечують оцінювання наявності і небезпеки різнихканаліввитоку і шляхів несанкціонованого проникнення до джерел конфіденційної інформації;

• математичне забезпечення. Припускає використання математичних методів для різних розрахунків, пов’язаних з оцінюванням небезпеки технічних засобів зловмисників, зон і норм необхідного захисту;

• лінгвістичне забезпечення. Сукупність спеціальних мовних засобів спілкування фахівців і користувачів у сфері захисту інформації;

• нормативно-методичне забезпечення. Сюди входять норми і регламенти діяльності органів, служб, засобів, які реалізують функції захисту інформації, різного роду методики, що забезпечують діяльність користувачів при виконанні своєї роботи в умовах жорстких вимог захисту інформації.

Задовольнити сучасні вимоги до забезпечення безпеки підприємства може тільки система безпеки.

Система безпеки – це організована сукупність спеціальних установ, служб, засобів, методів і заходів, що забезпечують захист життєво важливих інтересів особистості, підприємства і держави від внутрішніх і зовнішніх загроз.

Як і будь-яка система, система інформаційної безпеки має свої мету, задачі, методи і засоби діяльності, що узгоджуються за місцем і часом, залежно від умов.

Найпоширеніші способи зараження ваших пристроїв зловмисними програмам

Авторське право

«Авторське право — це юридична концепція, яка надає авторам і виконавцям контроль над деякими видами використання їхніх творів протягом певного періоду часу, обмежуючи коло осіб, які можуть копіювати, змінювати, виконувати їхні твори, або використовувати їх у складі інших творів». 

Завданням авторського права є створення найсприятливіших правових умов для творчої діяльності, забезпечення доступності результатів цієї діяльності для всього суспільства.

Основним його принципом є поєднання інтересів автора та інтересів усього суспільства. Так, Закон України «Про авторське право і суміжні права» дозволяє вільне використання випущених у світ творів без дозволу автора, але в межах закону (статті 15–19).

Авторське право проголошує і забезпечує широкий захист особистих немайнових і майнових прав авторів. 

Економічна мета авторського права та суміжних прав полягає у забезпеченні: — авторам та артистам-виконавцям — винагороди; — виробникам продукції культури — задовільний дохід від їхніх капіталовкладень, тобто окупність. 

«У Директиві Європарламенту (травень, 2001 р.) «О гармонизации некоторых аспектов авторского права и смежных прав в информационном обществе» йдеться про те, що захист об’єктів авторського права та суміжних прав має велике значення з погляду культури. Щоб автори та актори-виконавці могли здійснювати творчу діяльність, вони повинні отримувати винагороду за використання їх творів, а виробники за рахунок доходів матимуть можливість фінансувати подальше виробництво. Дохід, що відповідає капіталовкладенням, може бути забезпечений лише за належного рівня охорони авторських та суміжних прав». 

Отже, авторське право захищає не самі ідеї, а форму їх вираження. Правова охорона набуває чинності лише тоді, коли ці ідеї реалізуються на матеріальному носії. З об’єктивного погляду авторське право — це сукупність цивільно-правових норм, які регулюють відносини, що виникають під час створення та використання творів мистецтва, науки та літератури, а з суб’єктивного — особисті немайнові та майнові права, що виникають у зв’язку зі створенням творів науки, літератури та мистецтва особами, яким вони належать та охороняються законом. Набуття певних знань у сфері авторського права дасть змогу навчитися враз знаходити у своїх працях, розробках та продукції об’єкти ІВ, які при цьому створюються, отримати право охорони ІВ як у нашій країні, так і за кордоном, а також дає можливість обернути її на абсолютно конкурентоспроможний на ринку товар, який за раціонального та правильного використання може стати рентабельним, високоприбутковим та вагомим. За допомоги інтелектуальної та творчої діяльності можна досягти високого соціально-економічного рівня добробуту суспільства. Україна не відстає від світових лідерів і має доволі потужний інтелектуальний потенціал та велику кількість досягнень саме світового рівня, але здебільшого вони не були належним чином скеровані на користь нашого народу

Об’єкти авторського права

Для зручності всі об'єкти поділені на три групи:
об'єкти промислової власності, нетрадиційні об'єкти інтелектуальної власності, об'єкти авторського права і суміжних прав.

Відповідно до статті 8 Закону України «Про авторські права і суміжні права»: 

1. Об’єктами авторського права є твори в галузі науки, літератури і мистецтва, а саме: 

1) літературні письмові твори белетристичного, публіцистичного, наукового, технічного або іншого характеру (книги, брошури, статті тощо); 

2) виступи, лекції, промови, проповіді та інші усні твори; 

3) комп’ютерні програми; 

4) бази даних; 

5) музичні твори з текстом і без тексту; 

6) драматичні, музично-драматичні твори, пантоміми, хореографічні та інші твори, створені для сценічного показу, та їх постановки;

7) аудіовізуальні твори; 

8) твори образотворчого мистецтва; 

9) твори архітектури, містобудування і садово-паркового мистецтва; 

10) фотографічні твори, у тому числі твори, виконані способами, подібними до фотографії; 

11) твори ужиткового мистецтва, у тому числі твори декоративного ткацтва, кераміки, різьблення, ливарства, з художнього скла, ювелірні вироби тощо;

12) ілюстрації, карти, плани, креслення, ескізи, пластичні твори, що стосуються географії, геології, топографії, техніки, архітектури та інших сфер діяльності; 

13) сценічні обробки творів, зазначених у п. 1 цієї частини, і обробки фольклору, придатні для сценічного показу; 

14) похідні твори; 

15) збірники творів, збірники обробок фольклору, енциклопедії та антології, збірники звичайних даних, інші складені твори за умови, що вони є результатом творчої праці за добором, координацією або упорядкуванням змісту без порушення авторських прав на твори, що входять до них як складові; 

16) тексти перекладів для дублювання, озвучування, субтитрування українською та іншими мовами іноземних аудіовізуальних творів; 

17) інші твори

Охороняється також і частина твору, яка може використовуватися самостійно, зокрема, оригінальна назва. 

Приклад: у 1999 р. спадкоємці О. Толстого погрожували Московській кондитерській фабриці «Красный октябрь» судовим позовом за незаконне використання назви найвідомішої казки письменника «Золотой ключик или Приключения Буратино» як назву ірисок «Золотой ключик». До судового процесу не дійшло: було підписано угоду про авторську винагороду. 

«Основні критерії захисту творів (для захисту прав у суді): 

1) новизна (іноді оригінальність, це не синонім новизни, може забезпечити охорону схожих творів), тобто мається на увазі те, щоб твір не був плагіатом. Новизна може стосуватися як змісту, так і форми. Приклад. Стендаль використовував для своїх новел італійські середньовічні хроніки; Шекспір — сюжети античних авторів; живописці — біблійні сюжети, часто одні й ті самі, але форма цих творів була іншою; 2) вираження у матеріальній формі. Трактується згідно з національними законодавствами. Приклади. США: будь-яка матеріальна форма, яка існує зараз чи буде винайдена пізніше, за допомогою якої твори можуть сприйматися, відтворюватися, сповіщатися безпосередньо або за допомогою машини чи пристрою. Ця форма повинна бути стабільною значний період. Результат: усні, драматичні, хореографічні твори, не зняті на плівку, не охороняються. Не охороняються твори у Мережі, якщо одночасно вони не записані у режимі реального часу. Континентальна Європа: форма не обов’язково «матеріальна», а «об’єктивна», тобто така, що дозволяє сприймати твір органами відчуття, тобто твори, розміщенні у Мережі, охороняються, незалежно від запису на носій інформації». 

Не визнаються об’єктами авторського права певні категорії творів, а саме: — видані органами державної влади в межах їх повноважень офіційні документи політичного, законодавчого, адміністративного характеру (закони, судові рішення, державні стандарти тощо) та їх офіційні переклади. Однак слід мати на увазі, що автори проєктів зазначених офіційних документів мають право авторства; — офіційні символи і знаки (прапори, герби, ордени, грошові знаки тощо); 

— повідомлення про новини дня або повідомлення про поточні події, що мають характер звичайної прес-конференції; 

— твори народної творчості; 

— результати, одержані з допомогою технічних засобів, призначених для виробництва певного роду 

— без здійснення творчої діяльності, безпосередньо спрямованої на створення індивідуального твору. 

Правова охорона поширюється лише на форму вираження твору і не поширюється на ідеї, теорії, методи, процедури, процеси, системи, способи, концепції, принципи, відкриття або просто факти, навіть якщо вони виражені, описані, пояснені, проілюстровані у творі.

Суб’єкти авторського права

Суб’єкти авторського права — фізичні та юридичні особи, які є носіями суб’єктивних майнових та немайнових прав та обов’язків. 

Суб’єктами авторського права є: 

1) автори творів науки, літератури і мистецтва; 

2) спадкоємці авторів; 

3) особи, яким автори чи їхні спадкоємці передали свої авторські майнові права (правонаступники).

З урахуванням статті 435 ЦК, первинним суб’єктом авторського права є автор твору, творець — тільки фізична особа, незалежно від віку та громадянства. За відсутності доказів іншого автором твору вважається фізична особа, зазначена звичайним способом як автор на оригіналі або примірнику твору (презумпція авторства). 

Право на твір належить його дійсному творцеві, справжньому автору — тому, хто написав книгу, картину, створив музику, виліпив скульптуру. 

Первісним називається авторське право автора, похідним — авторське право правонаступників. 

Відповідно до статті 13 Закону України «Про авторські права і суміжні права» співавторами є особи, спільною творчою працею яких створено твір. Авторське право на твір, створений у співавторстві, належить всім співавторам незалежно від того, чи утворює такий твір одне нерозривне ціле або складається із частин, кожна з яких має самостійне значення. 

Відповідно до статті 14 Закону України «Про авторські права і суміжні права» автору належать такі особисті немайнові права: 

1) вимагати визнання свого авторства шляхом зазначення належним чином імені автора на творі і його примірниках і за будь-якого публічного використання твору, якщо це практично можливо; 

2) забороняти під час публічного використання твору згадування свого імені, якщо він як автор твору бажає залишитись анонімом; 

3) вибирати псевдонім, зазначати і вимагати зазначення псевдоніма замість справжнього імені автора на творі і його примірниках і під час будь-якого його публічного використання; 

4) вимагати збереження цілісності твору і протидіяти будь-якому перекрученню, спотворенню чи іншій зміні твору або будь-якому іншому посяганню на твір, що може зашкодити честі і репутації автора. 

Відповідно до статті 15 Закону України «Про авторські права і суміжні права» до майнових прав автора (чи іншої особи, яка має авторське право) належать:

а) виключне право на використання твору; 

б) виключне право на дозвіл або заборону використання твору іншими особами. 

Майнові права автора (чи іншої особи, яка має авторське право) можуть бути передані (відчужені) іншій особі згідно з положеннями статті 31 цього Закону, після чого ця особа стає суб’єктом авторського права. Виключне право на використання твору автором (чи іншою особою, яка має авторське право) дозволяє йому використовувати твір у будь-якій формі і будь-яким способом. Виключне право автора (чи іншої особи, яка має авторське право) на дозвіл чи заборону використання твору іншими особами дає йому право дозволяти або забороняти: 

1) відтворення творів; 

2) публічне виконання і публічне сповіщення творів; 

3) публічну демонстрацію і публічний показ; 

4) будь-яке повторне оприлюднення творів, якщо воно здійснюється іншою організацією, ніж та, що здійснила перше оприлюднення; 

5) переклади творів; 

6) переробки, адаптації, аранжування та інші подібні зміни творів; 

7) включення творів як складових до збірників, антологій, енциклопедій тощо; 

8) розповсюдження творів шляхом першого продажу, відчуження іншим способом або шляхом здавання в майновий найм чи у прокат та шляхом іншої передачі до першого продажу примірників твору; 

9) подання своїх творів до загального відома публіки так, що її представники можуть здійснити доступ до творів з будь-якого місця і у будь-який час за їх власним вибором; 

10) здавання в майновий найм і (або) комерційний прокат після першого продажу, відчуження іншим способом оригіналу або примірників аудіовізуальних творів, комп’ютерних програм, баз даних, музичних творів у нотній формі, а також творів, зафіксованих у фонограмі чи відеограмі або у формі, яку зчитує комп’ютер; 

11) імпорт примірників творів. 

Цей перелік не є вичерпним

Міжнародні та національні стандарти свободи слова в інтернеті

Провідним міжнародним документом, в кому викладено основні принципи поширення інформації, є Європейська Конвенція про захист прав людини та основоположних свобод (далі по тексту – Європейська Конвенція, ЄКПЛ). Стаття 10 ЄКПЛ гарантує право на свободу вираження, яке однаковою мірою поширюється на будь-яку особу: журналіста, засіб масової інформації, митця, науковця, та й зрештою, на будь-яку особу, яка хоче повідомити чи отримати інформацію. Ця свобода застосовується як до традиційних каналів передачі повідомлень (преса, радіо, телебачення тощо), так і до поширення інформації в мережі Інтернет.

 Право на свободу слова включає:

• — право дотримуватись своїх поглядів;
• — право одержувати та передавати інформацію та ідеї без втручання органів державної влади і незалежно від кордонів.

 Водночас, зазначене право не є абсолютним. Інколи, для його реалізації необхідно отримати дозвіл. Так, дозволяється вводити ліцензування щодо діяльності радіомовних, телевізійних або кінематографічних підприємств.

 Право на свободу вираження пов’язане із обов’язками та відповідальністю. А тому воно може обмежуватись за умови дотримання низки вимог, встановлених частиною 2 статті 10 ЄКПЛ. Такі обмеження повинні бути:

• вводитись лише для досягнення легітимної мети, яка визначена § 2 статті 10 Конвенції.  З іншою метою вводити обмеження заборонено.

• — для їх введення повинна існувати нагальна суспільна потреба (оцінюються контекст, суспільний інтерес, статус особи та її вплив тощо);
• — обмеження повинно бути пропорційним законній меті (необхідно знайти відповідний баланс між правом, на захист якого спрямоване обмеження, та правом на свободу вираження);
• — мотиви введення обмежень повинні бути відповідними і достатніми.

 Краще зрозуміти значення наведених стандартів можна шляхом вивчення практики Європейського Суду з прав людини. Поширення повідомлень в Інтернеті було предметом розгляду, зокрема, у справі «Редакція газети «Правое дело» і Штекель проти України». В ній піднімались питання стосовно того, чи може Інтернет слугувати джерелом інформації для журналістів, чи мають держави позитивні обов’язки створити законодавчу базу, яка б захищала свободу вираження поглядів у цій мережі. Суттєвий вплив на свободу слова в Інтернеті мали рішення ЄСПЛ у справах «Ahmet Yildirim проти Туреччини» (питання доступу до Інтернету); «Delfi AS v. Estonia» (оприлюднення коментарів під статтею на сайті), «Węgrzynowski and Smolczewski проти Польщі» (доступ до публічних Інтернет-архівів) та інші.

 Важливе значення для розуміння стандартів поширення інформації у Всесвітній мережі мають і документи, прийняті ООН, Радою Європи, ОБСЄ та іншими міжнародними організаціями.

 Зокрема, в резолюції Ради ООН з прав людини «Про сприяння, захист та здійснення прав людини в Інтернеті» від 5 липня 2012 року сформульовано дуже важливий принцип, відповідно до якого «права, які людина має офлайн, мають однаковою мірою бути захищені онлайн, зокрема, свобода вираження поглядів, яка застосовується незалежно від кордонів та щодо будь-яких обраних особою ЗМІ, відповідно до статті 19 Загальної декларації прав людини та Міжнародного пакту про громадянські і політичні права».

 В цій резолюції визнається відкритий і глобальний характер Інтернету і міститься заклик до держав сприяти та полегшувати доступ до мережі.

 16 квітня 2014 року Комітетом Міністрів Ради Європи ухвалено рекомендацію CM/Rec(2014)6 щодо посібника з прав людини для Інтернет-користувачів. В ньому даються пояснення щодо прав користувачів в Інтернеті, їх можливих обмежень та доступних засобів правового захисту. Основоположним принципом є положення про те, що права людини та основоположні свободи повинні однаковою мірою забезпечуватися в офлайні та онлайні.

 Коротко основні міжнародні стандарти поширення інформації в мережі Інтернет можна викласти наступним чином:

•  Доступ і недискримінація;
• Свобода вираження поглядів і інформації;
• Зібрання, об’єднання та участь;
• Приватне життя, право на анонімність, захист даних;
• Освіта і грамотність, свобода науки;
• Діти і молодь;
• Ефективні засоби правового захисту.

Які стандарти поширення інформації в мережі Інтернет існують в законодавстві України?

В Україні Інтернет не має окремого правового регулювання (спеціального закону).

 Поширення інформації у «Всесвітній павутині» регулюється загальними правовими актами, серед яких можна виділити відповідні норми Конституції України, Цивільного кодексу України, Законів України «Про телекомунікації», «Про авторське право і суміжні права», «Про інформацію», «Про друковані засоби масової інформації (пресу) в України, «Про телебачення і радіомовлення», «Про інформаційні агентства», «Про захист персональних даних», «Про доступ до публічної інформації» та інші.

 Стаття 15 Конституції України забороняє цензуру,50-та – забезпечує право кожного на вільний доступ до інформації про стан довкілля, якість харчових продуктів і предметів побуту, а 34 – гарантує кожному право на свободу думки і слова, вільне вираження своїх поглядів і переконань.

 Важливим є те, що стаття 34 Основного закону надає право кожному (а не тільки журналісту чи іншому працівникові ЗМІ) вільно збирати, зберігати, використовувати і поширювати інформацію. Вона також забезпечує вільний вибір форми отримання інформації: усно, письмово або в інший спосіб — на свій вибір.

 Водночас, Конституція України передбачає і можливість обмеження права на свободу слова на підставі закону в інтересах національної безпеки, територіальної цілісності або громадського порядку з метою запобігання заворушенням чи злочинам, для охорони здоров’я населення, для захисту репутації або прав інших людей, для запобігання розголошенню інформації, одержаної конфіденційно, або для підтримання авторитету і неупередженості правосуддя. На відміну від статті 10 ЄКПЛ вона не містить такої підстави для обмеження права на свободу висловлювання, як необхідність в демократичному суспільстві. Проте, цей недолік компенсується тим, що в Україні норми Європейської Конвенції з прав людини та основоположних свобод вважаються частиною національного законодавства України (див. статтю 9 Конституції України) та діє Закон України «Про виконання рішень та застосування практики Європейського суду з прав людини», стаття 17 якого передбачає, що національні суди при розгляді справ застосовують ЄКПЛ як джерело права.

Стаття 302 Цивільного кодексу України також надає право кожній фізичній особі вільно збирати, зберігати, використовувати і поширювати інформацію. Таке ж право за законодавством України мають і юридичні особи (див. статтю 94 ЦК України).

 Низку важливих гарантів права на свободу слова містить і Закон України  «Про інформацію». Зокрема, частина 1 статті 5 цього нормативно-правового акту крім права на вільне одержання, використання та поширення інформації, гарантує право на її зберігання та захист, а стаття 7 – забезпечує рівні права та можливості доступу до інформації і забороняє обмежувати право особи на обрання форми і джерел інформації, за винятком випадків, передбачених законом.

 Закон «Про доступ до публічної інформації» передбачає, що публічна інформація є відкритою, крім випадків встановлених законом (див. статтю 1 Закону), а право на доступ до публічної інформації гарантується обов’язком розпорядників інформації надавати та оприлюднювати інформацію, крім випадків, передбачених законом (див. статтю 3 Закону). Крім того, він встановлює обов’язок органів влади та інших розпорядників оприлюднювати публічну інформацію в мережі Інтернет (див. частину 2 статті 15 Закону).

 Про застосування наведених приписів законів та про гарантії, які містяться в низці інших нормативно-правових актів України, ми поговоримо в інших розділах цього посібника.

Управління правами інтелектуальної власності

Інтелектуальна власність у широкому розумінні означає закріплені законом права на результати інтелектуальної діяльності у виробничій, науковій, літературній і художній областях.

Інтелектуальна діяльність - це творча діяльність, а творчість - це цілеспрямована розумова робота людини, результатом якої є щось якісно нове, що відрізняється неповторністю, оригінальністю, унікальністю. Чим вищий інтелектуальний потенціал індивідуума, тим цінніші результати його творчої діяльності - інтелектуальна власність.

Для людини характерні два види творчості - художня і технічна. Результатом художньої творчості є літературні і художні твори. Результатом технічної творчості - винаходи, торговельні марки, комерційні таємниці тощо.

Результати художньої творчості використовуються в гуманітарній сфері для збагачення внутрішнього світу людини, формування його світогляду. Результати ж технічної творчості застосовуються переважно у сфері виробництва товарів і надання послуг. Вони сприяють підвищенню технічного рівня суспільного виробництва, його ефективності, забезпечують конкурентоспроможність вироблених товарів і послуг.

За сформованою історичною традицією результати технічної творчості називають об'єктами права промислової власності, або "промисловою власністю". Поняття "промислова власність" іноді помилково ототожнюється з матеріальними об'єктами промисловості - будинками, спорудами, устаткуванням. Однак це не так. Промислова власність - це вид інтелектуальної власності. Слово "промислова" у цьому словосполученні закріпилося, очевидно, у результаті того, що вона застосовується, головним чином, у промисловості, що є сектором економіки, зацікавленим в ній.

Підкреслимо, що під інтелектуальною власністю розуміють не результат інтелектуальної діяльності людини як такий, а право на цей результат. На відміну від матеріальних об'єктів, тобто таких, що можна відчути на дотик, наприклад, книги, автомобіль, право не можна відчути на дотик. Отже, інтелектуальна власність є нематеріальним об'єктом.

З цього випливає низка важливих наслідків. Наприклад, на відміну від матеріальних об'єктів, інтелектуальною власністю, у багатьох випадках, заволодіти набагато легше. Так, якщо у процесі бесіди ви розкриєте комерційну таємницю, то ця інформація перекочує до мозку вашого співрозмовника і повернути її назад, на відміну від матеріального об'єкта, неможливо. Відтепер обидві сторони володіють одним і тим об'єктом. Відмінності спостерігаються також під час обміну. Так, якщо ви обмінялися з партнером комп'ютерами, то після такого обміну кожна зі сторін буде мати по одному комп'ютеру. Але якщо ви обмінялися ідеями як результатами творчої діяльності, то кожна зі сторін буде мати по дві ідеї.

Інтелектуальна власність, як і будь-який інший вид власності, часто є об'єктом протиправних дій з боку третіх осіб і відповідно потребує правового захисту. 

Згідно із законодавством України, право інтелектуальної власності включає в себе особисті немайнові права (право на визнання людини творцем об'єкта інтелектуальної власності та ін.). 

І майнові права (право на використання об'єкта інтелектуальної власності, право дозволяти або перешкоджати неправомірному використанню та ін.). 

Обсяг прав на об'єкт інтелектуальної власності визначено нормативно-правовими актами, зокрема, Цивільним кодексом України та відповідними законами. При проведенні досліджень проблем інтелектуальної власності з економічної точки зору, традиційно приділяють увагу питанню про те, як стимулювати створення результатів інтелектуальної діяльності, доступ до яких обмежений завдяки наявності виняткових прав на об'єкти інтелектуальної власності - таким чином, надаючи їм «статус власності», в результаті чого правовласнику надається можливість встановлювати ціну на доступ до результатів інтелектуальної діяльності, яка перевищує їх маргінальну вартість. 

Багато економістів звикли вважати, що використання, наприклад, торгових марок направлено проти конкуренції, так як товари під торговими марками будь-якого бренду продаються за вищою ціною, ніж інші рівноцінні товари. Але істина криється у відмінності між номінальною вартістю товару і повною вартістю споживаного товару. Повна вартість складається з номінальної вартості і витрат на пошук споживачів, і ці витрати нижче для брендових товарів, тому повна вартість таких товарів повинна бути не вище повної вартості товарів-замінників. Відповідно торгова марка перестає охоронятися, якщо виробник не підтримує якість свого товару на певному рівні, отже, в даному випадку така марка більше не несе в собі корисну для споживача інформацію.

Хоча сама торгова марка не є правом на інтелектуальну власність, вона може використовуватися в якості методу, що стимулює створення або поширення таких прав. Наприклад, ціни на брендові лікарські препарати зазвичай залишаються високими навіть після закінчення терміну дії патенту і появи на ринку ідентичних за своїм хімічним складом препаратів-замінників, які коштують набагато дешевше. Якщо існування такого бренду було досить успішним, особливо коли на ринку були відсутні товари-замінники до того часу як термін дії патенту закінчився, споживачі цілком можуть звикнути до цього торговому позначенню. І навіть якщо ця торгова марка не увійшла до загального вжитку для позначення товарів певного роду, споживачі будуть скептично ставитися до того, що товар-замінник, що має іншу назву, хоча і ідентичний за своїми властивостями тому товару, який споживач купував раніше, дійсно хорошої якості. Таке ставлення споживачів може бути абсолютно раціональним: деякі споживачі будуть продовжувати купувати брендовий товар навіть в тому випадку, коли на ринку є більш дешеві товаризамінники, і навіть тоді, коли вони платять за товар більше, ніж раніше (виробник брендових товарів, втративши споживачів , гнучких щодо ціни товару, може зіткнутися з проблемою зниження попиту серед залишився частини споживачів). Через великих інвестицій в торгову марку виникає ситуація, що нагадує захоплення заручників, в якому виробник (заручник) сильно зацікавлений в збереженні якості товару на колишньому рівні (що залежить не від хімічної формули, а від терміну дії товару, контролю якості та упаковки), щоб не втратити своїх споживачів.

З огляду на існування секретних винаходів, навчання, торгових марок та інших засобів, за допомогою яких можна покрити фіксовані витрати понесені при розробці винаходу, виникає питання, чи впливає наявність патенту, що обмежує подальшу конкуренцію, на отримання будь-яких соціальних переваг. Одна з причин по якій в якійсь мірі захист надається патентним правом, вигідна з соціальної точки зору, це великі суспільні витрати на збереження результату інтелектуальної діяльності в таємниці. Причому метод інтерналізації вигод, отриманих від винаходу, отримав би більшого поширення, якби патентів взагалі не було. Такі витрати частково є обов'язковими: ліцензування секретів виробництва - це складний і вартісний процес, тому що в ході ліцензійних переговорів секрет може бути випадково розкритий. При цьому втрати, які несе власник секрету в зв'язку з низькою продуктивністю секрету виробництва у власній галузі - це суспільні витрати секрету виробництва

Етапи патентування

ОСОБЛИВОСТІ ПОДАЧІ ЗАЯВКИ НА РЕЄСТРАЦІЮ ПАТЕНТУ В УКРАЇНІ

Заявку на надання патенту в Україні приймають українською мовою. Вона має на увазі наступну структуру:

1. заявник складає заяву на видачу документа, згідно прав на винахід або корисну модель;
2. ретельно описує ОІВ;
3. вказує формулу об’єкта інтелектуальної власності;
4. надає схеми і креслення.

Якщо заявка на оформлення патентних прав подана стосовно корисної моделі, до прийняття рішення експертами дозволяється перетворити запит на реєстрацію винаходу.

ЯК ПРАВИЛЬНО СКЛАСТИ ФОРМУЛУ ЗА ПАТЕНТОМ

Члени експертної комісії особливо уважно вивчають формулу об’єкта інтелектуальної власності. Адже саме формула визначає суть рішення задачі. Вона може бути виражена у вигляді словесних виразів, цифр і математичних формулювань. У формулі винаходу закладені ознаки, необхідні для досягнення певного заявником технічного результату. Формула найбільш повно розкриває обсяг захисту корисної моделі. При появі спірних ситуацій вона фіксує порушення прав автора.

ВИДАЧА ПАТЕНТУ НА ВИНАХІД В УКРАЇНІ: ПОКРОКОВЕ ОФОРМЛЕННЯ ЗАЯВКИ

Процедура оформлення заявки на отримання патенту в Україні складається з послідовних кроків.

1. Заявник заповнює анкету самостійно. Передати її патентного повіреного можна одним із способів: особисто звернувшись в спеціальну організацію, переславши поштою або скориставшись e-mail.
2. Патентний повірений займається реєстрацією запиту. Він розраховує витрати на процедуру і встановлює наочний кошторис витрат, а також текст угоди. Так виглядає професійна допомога в отриманні патенту.
3. Заявник надає повіреному договір з особистим підписом, кошторис і довіреність на представлення своїх інтересів. Всі матеріали покликані підтвердити новизну промислового зразка і його придатність в життя.
4. Для продовження реєстрації автор вносить 50% оплату від зафіксованої в угоді суми. Не отримавши аванс, повірений не стане виконувати дослідницьку роботу.
5. Спеціаліст оформляє документи на реєстрацію патенту. Експерт аналізує винахід, шукає аналоги і визначає прототип, орієнтуючись на національний реєстр Укрпатенту. В кінцевому підсумку повірений подає заявку до Укрпатенту і оплачує внесок за оформлення заявки і експертизу. На цей етап йде не менше 1 місяця.
6. Заявник вносить ще 30% грошей за договором, з яких фахівець передає частину грошей за держреєстрацію запиту. Йому називають орієнтовну дату видачі патенту.
7. Після передачі заявником ще 20% коштів фахівець курирує формальну експертизу. Етап налічує 5 місяців.
8. Нове технічне рішення публікується Укрпатентом в бюлетені «Промислова власність». Законодавці визначили максимальний термін реєстрації – 18 місяців від дати подання заявки. Заявник отримує тимчасовий захист прав на об’єкт інтелектуальної власності в Україні.
9. Результатом експертизи стає видача патенту на корисну модель. Якщо експертиза не увінчалася успіхом, повірений подає оскарження до Апеляційної палати Державного департаменту.
10. Забрати патент дозволяється після внесення грошей за державні послуги та видачу документа.
11. Реєстрація підходить до логічного завершення. Повірений передає патент заявнику. Офіційний папір діє протягом 20 років. У фахівця також можна замовити додаткові патентні послуги – довгостроковий правовий супровід.

ЧИМ ВІДРІЗНЯЄТЬСЯ РЕЄСТРАЦІЯ ПАТЕНТУ НА ВИНАХІД В УКРАЇНІ ТА ЗА КОРДОНОМ

Патентування винаходів і корисних моделей за кордоном здійснюється через інші держ інстанції. Наприклад, у Франції заявку приймають і розглядають експерти Національного інституту промислової власності. Також запит дозволяється подати до Європейського патенту, розташованого в конкретному регіоні, або в ЄПВ. Якщо заявник планує захистити свої права виключно у Франції, підійде варіант звернення в Національний інститут. Процедура займає не менше 2,5 років. Реєстрація патенту вартість у Франції визначається відповідно до сукупних за кількістю складових формули. Заявник може скористатися знижкою в розмірі 50% від суми офіційного тарифу. Але для цього заявку повинен подати підприємець, зайнятий в малому бізнесі, або представник організації некомерційного формату.

Патентування здійснюється за заявкою, складеної на французькій мові. В ході експертизи у фахівців можуть виникнути додаткові питання. Заявнику необхідно відповідати на них аргументовано, і тільки тоді можлива видача документа на корисну модель. Буває так, що патент на винахід за кордоном бажає отримати нерезидент іноземної держави. Тоді заявку замість нього подає довірена особа. Краще звернутися в спеціалізовану компанію. Досвідчений повірений швидко оформить документи і запит, з урахуванням особливостей і нюансів процедури. Спочатку заявник подає мінімальний пакет документів. Потім за отриманою заявкою відомство ініціює формальну експертизу, займається пошуком аналогічних винаходів. Якщо ідентична корисна модель не знайдена, на заявку відповідають позитивно і готують патент до видачі. На внесення державного мита законодавці Франції виділили 2 місяці. Дія патенту, виданого на підтвердження заявки, дозволяється продовжити на півроку.

Ліцензії відкритого доступу

Ліцензії Creative Commons на використання об'єктів авторського права, розроблені організацією Creative Commons, з метою надати авторам можливість дозволити широкому колу людей безоплатно поширювати власні твори при дотриманні ряду умов.

Кожна з ліцензій Creative Commons містить ряд свобод, які автор бажає надати іншим, а також ряд умов, яких потрібно дотримуватись. Різні комбінації цих компонентів утворюють набір ліцензій Creative Commons. Кожна з базових умов ліцензії має своє графічне зображення, що дає можливість візуально позначати ліцензію, на умовах якої автор дозволяє поширювати свій твір.

Усі без винятку ліцензії Creative Commons потребують вказування інформації про автора твору при його використанні й розповсюдженні.

Кожна ліцензія Creative Commons складається з трьох «шарів»:

• юридичного тексту ліцензії;
• спрощеного, короткого викладу основних умов ліцензії, легше зрозумілого не-юристам;
• умов ліцензії у цифровій формі для взаємодії з пошуковими системами та іншими комп'ютерними програмами.

Окрім ліцензій Creative Commons існує також інструмент CC0, який дозволяє автору відмовитись від усіх прав на твір, та передати його в суспільне надбання.

Тексти самих ліцензії не захищені авторським правом (надаються на умовах суспільного надбання) — їх можна вільно використовувати, поширювати і застосовувати до власних творів. При тому тільки Creative Commons має право позначити той чи інший текст ліцензії як офіційний: таким чином будь-хто може створити власний варіант ліцензії Creative Commons, але не може видавати свій текст ліцензії за оригінальний текст від Creative Commons

Особливості ліцензій:

1. Ліцензія відкритого доступу – це дозвіл правовласника користувачу здійснювати використання твору переліком способів, визначених ліцензією. 

2. Ліцензії Creative Commons є невиключними. Правовласник може дозволити використання свого твору за ліцензією Creative Commons і після цього укласти інший договір про надання невиключної ліцензії, в тому числі оплатний. 

3. Ліцензії діють протягом дії авторського права, що в багатьох країнах (ЄС, Україна) становить строк життя автора та 70 років з моменту його смерті. 

4. Ліцензію неможливо відкликати чи анулювати. Особа, що має авторське право, може припинити розповсюдження творів за ліцензіями Creative Commons у певний час, проте наявні копії будуть розповсюджуватися саме за ліцензією Creative Commons. 

5. Як правило, вільні ліцензії надаються невизначеному колу осіб, є всесвітніми (з дією у всіх країнах світу). 

6. Вільна ліцензія може включати надання права на всі або деякі зі способів використання твору: • використовувати твір у будь-яких цілях, • вивчати його (у разі програмного забезпечення надається доступ до початкових кодів), • створювати і поширювати копії твору, • вносити у твір зміни, • публікувати і поширювати такі змінені похідні твори (у тому числі зміни до початкових кодів програмного забезпечення) тощо.

При цьому користувач для більшості видів ліцензій має вказувати авторів твору, захищати репутацію авторів та їхнє право на захист твору від спотворень. 

7. Кожна ліцензія вимагає від користувачів творів: 

• одержувати дозвіл автора на будь-яку з дій, які автор вирішить обме жити;
• зберігати будь-яке повідомлення про авторські права на копіях творів;
• ставити посилання на ліцензію з копій твору;
• не змінювати умови ліцензії;
• не використовувати технологію, щоб обмежити законні використання твору іншими отримувачами ліцензії.

Центр безпеки Windows 10: настройка безкоштовного антивіруса Захисник Windows (Defender)