CC BY
31
УДК 657.1.011.56:004 JEL: M41; O33
К1БЕРБЕЗПЕКА ТА ЗАХИСТ БУХГАЛТЕРСКИХ ДАНИХ В УМОВАХ ЗАСТОСУВАННЯ НОВ1ТН1Х 1НФОРМАЦ1ЙНИХ ТЕХНОЛОГИЙ
©2019
ПОП1ВНЯК Ю. М.
УДК 657.1.011.56:004 JEL: M41; O33
Пошвняк Ю. М. Ki6ep6e3neKa та захист бухгалтерських даних в умовах застосування HOBiTHix iнфоpмацiйних технологiй
CmpiMU розвиток iнформацiйниx технологй та впровадження ix у практику ведения бухгалтерського облку поставили nid загрозу безпеку обл'шових даних, як! циркулюють у юберсередовищi, та вивели на переднш план проблеми визначення заход'в щодо тдвищення ix юбербезпеки. Мета даноiстаттi - розкриття сучасного стану такоi безпеки, а також ¡дентиф'шащя юберзагроз у сферi використання бухгалтерськоiшфор-мацИ та визначення засоб'в iiзахисту вiд викрадення, пошкодження чи втрати у юберпросторi. ¡'рунтуючись на анал'в1 статистичних даних, опубл'шованих у втчизняних та шоземних дослдженнях, описано стан юбербезпеки у свiтi за рiзними показниками, основш джерела юберзагроз для обл'шово'1 iнформац!iна пiдприeмствi, а також ситуацю з юберзлочинтстю в Укра'т! Систематизовано тдходи вченихдо групування юберза-гроз i сформульовано передумови виникнення цих загроз для бухгалтерськоi iнформац!i як у цлому, так i при впроваджент окремих, перспективна для використання в бухгалтерському облку, технологй. Об(рунтовано побудову системи заxодiв гарантування юбербезпеки бухгалтерськоi iнформацii на тдприемств! яка базуеться на застосуванн загальних i специфiчниx засоб'в захисту оргашзацшного, техн'много, кадрового та юридичного характеру. Перспективами подальших дослджень у даному напрямi визначено пошук критернв та о^нку успшност'> впровадження заход'ю ¡з захисту бухгалтерськоi iнформацii й гарантування ii юбербезпеки.
Ключов'! слова:загроза, захист бухгалтерськоiiнформацii, iнформацiйнi технологи, юбербезпека, юберзахист. DOI:
Рис.: 3. Ббл.: 24.
ПоЫвнякЮл'т Михайл'юна - кандидат економiчниx наук, доцент кафедри облку i аудиту, Льв'вський нацональний унверситет 'шен'1 iвана Франка (вул. Ушверситетська, 1, Льв'ю, 79000, Украна) E-mail: yuliia.popivniak@lnu.edu.ua ORCID: http://orad.org/0000-0001-7458-0587 Researcher ID: http://www.researcherid.com/X-4857-2019 SPIN: http://elibrary.ru/3370-2205
УДК 657.1.011.56:004 JEL: M41; O33
Попивняк Ю. М. Кибербезопасность и защита бухгалтерских
данных в условиях применения современных информационных технологий
Стремительное развитие информационных технологий и их внедрение в практику ведения бухгалтерского учета поставили под угрозу безопасность учетных данных, циркулирующих в киберпространстве, и вывели на передний план проблемы определения мероприятий по повышению их кибербезопасности. Цель данной статьи - раскрытие современного состояния такой безопасности, а также идентификация киберугроз в сфере использования бухгалтерской информации и определение средств её защиты от кражи, повреждения или потери в киберпространстве. Основываясь на анализе статистических данных, опубликованных в отечественных и иностранных исследованиях, описаны состояние кибербезопасности в мире по разным показателям, основные источники киберугроз для учетной информации на предприятии, а также ситуация с киберпреступностью в Украине. Систематизированы подходы ученых к группировке киберугроз и сформулированы предпосылки возникновения этих угроз для бухгалтерской информации как в целом, так и при внедрении отдельных, перспективных для использования в бухгалтерском учете, технологий. Обосновано построение системы мер обеспечения кибербезопас-ности бухгалтерской информации на предприятии, основанной на применении общих и специфических средств защиты организационного, технического, кадрового и юридического характера. Перспективами дальнейших исследований в данном направлении определены поиск критериев и оценка успешности внедрения мероприятий по защите бухгалтерской информации и обеспечения её кибербезопасности. Ключевые слова: угроза, защита бухгалтерской информации, информационные технологии, кибербезопасность, киберзащита. Рис.: 3. Библ.: 24.
Попивняк Юлия Михайловна - кандидат экономических наук, доцент кафедры учета и аудита, Львовский национальный университет имени Ивана Франко (ул. Университетская, 1, Львов, 79000, Украина) E-mail: yuliia.popivniak@lnu.edu.ua ORCID: http://orcid.org/0000-0001-7458-0587 Researcher ID: http://www.researcherid.com/X-4857-2019 SPIN: http://elibrary.ru/3370-2205
UDC 657.1.011.56:004 JEL: M41; O33
Popivniak Yu. M. Cybersecurity and Protection of Accounting Data under Conditions of Modern Information Technology
The rapid development of information technology and its introduction into accounting practices have jeopardized the security of accounting data circulating in cyberspace and brought to the fore the problems of defining measures to increase their cybersecurity. The article is aimed at disclosing the current status of such security, as well as identifying cyberthreats in the sphere of use of accounting information, and defining the means for its protection against theft, damage or loss in cyberspace. Based on an analysis of statistics published in both domestic and foreign studies, the status of cybersecurity in the world is described according to various indicators, the main sources of cyberthreats for accounting information at enterprise, as well as situation with cybercrime in Ukraine are discussed. The approaches of scholars to grouping the cyberthreats are systematized and the preconditions for the emergence of these threats for accounting information both in general and in the introduction of separate technologies that are promising for use in accounting are formulated. The construction of a system of measures to ensure the cybersecurity of accounting information at enterprise, based on the use of common and specific means of protection of organizational, technical, personnel and legal nature, is substantiated. Prospects for further research in this direction are determined as search for criteria plus assessment of the success of implementation of the measures to protect accounting information and ensure its cybersecurity. Keywords: threat, protection of accounting information, information technology, cybersecurity, cyberdefense. Fig.: 3. Bibl.: 24.
Popivniak Yuliia M. - PhD (Economics), Associate Professor of the Department of Accounting and Auditing, Ivan Franko National University of Lviv (1 Universytetska Str., Lviv, 79000, Ukraine) E-mail: yuliia.popivniak@lnu.edu.ua ORCID: http://orcid.org/0000-0001-7458-0587 Researcher ID: http://www.researcherid.com/X-4857-2019 SPIN: http://elibrary.ru/3370-2205
Cтрiмкий розвиток шформацшних технологiй, який розпочався наприкшщ ХХ - на початку ХХ1 столiть, сприяв !х упровадженню практично в уа сфери людсько! життeдiяльностi та масо-вому (часто навиь неконтрольованому) використан-ню, а також формуванню единого шформацшного й цифрового простору. При цьому швидкими темпами зросла й юльйсть зловживань, правопорушень та iнших юберзагроз, спрямованих на рiзнi аспекти дь яльностi пiдприемств, якi функцiонують у кожному з цих просторiв.
¡нформащя про всi факти господарсько! дшль-ностi пiдприемства, яка формуеться в системi його бухгалтерського облiку, характеризуеться високим ступенем цшносп та е запорукою стшкосп, розвитку та ефективност дiяльностi такого пiдприемства, але лише за умови !! надiйного захисту. Проте тотальна автоматизацiя, яка не оминула й сферу бухгалтерського облку та передбачае впровадження спеща-лiзованих сучасних технологiй i програм для його ведення, попри беззаперечш переваги, ставить шд загрозу витоку шформаци, хакерських атак, зламу ш-формацiйних мереж, рiзного роду шахрайства тощо всi облiковi данi, як обробляються та зберiгаються в цифровому середовищь На перший план за таких умов виходить забезпечення шдприемством особливого виду безпеки шформаци - йбербезпекк.
Аналiз останн1х дослджень i публiкацiй. Рiз-нi аспекти захисту облково! iнформацГi за умови автоматизованого ведення бухгалтерського облку розглянуто у працях таких учених, як С. С. Баванег, К. П. Боримська, Ф. Ф. Бутинець, С. А. Ви^ер, I. Л. Граб-чук, Х. Гров, А. П. Дикий, В. В. бвдокимов, С. В. 1вах-ненков, I. Ю. Кравченко, Г. I. Ляхович, В. В. Мурав-ський, А. С. Марков, Ю. Ю. Мороз, Н. В. Наконечна, В. Ф. Палш, М. С. Пушкар, I. I. Свилишин, В. В. Сторож, В. Л. Цирлов, Н. Л. Шишкова, В. Д. Штр, В. А. Шпак, Ю. С. Цаль-Цалко та ш.
Однак проблеми шбербезпеки ^дентифкацш та групування кiбезрагроз, вжиття заходiв щодо !х мiнiмiзацГi чи лкв^аци, побудова на пiдприемствi адекватно! системи захисту облково! шформаци тощо) на сьогодш досл^жеш мало. Багато iз них, на фонi загострення конкуренци та винайдення щоразу нових шформацшних технологш, залишаються неви-ршеними та потребують пильного розгляду та уваги науковщв, особливо в контекста врахування вггчиз-няних особливостей ведення бухгалтерського облку на шдприемствах.
Мета статт - розкриття стану юбербезпеки та iдентифiкацiя кiберзагроз у сферi використання облко-во! iнформацГ!, формулювання заходiв з мiнiмiзацi! ри-зиюв викрадення, пошкодження чи втрати даних бухгалтерського облку в кiберсередовищi його ведення.
Насамперед зазначимо, що поглиблення автома-тизацГ! облiкових роби1 - невiдворотне i, загалом, по-зитивне явище, адже дозволяе значно зекономити ре-
сурси тдприемства, пiдвищити яшсть обробки шформаци, гнучшсть, моб1льшсть, шновацшшсть та ефек-тивнiсть роботи бухгалтера, пришвидшити !! цифрову трансформацiю, забезпечити доступ до широкого вибору сучасних бухгалтерських програм, хмарних ршень та шших iнструментiв iнформацiйних технологш тощо. Одним i3 негативних моменпв застосування комп'ютерних технологiй е вразлившть облiкових даних до шберзагроз, яку можна мiнiмiзувати за умови застосування правильних способiв захисту.
Загалом склад i обсяг бухгалтерських даних, як вважаються комерцiйною таемницею на шд-приемствi, а також порядок !х захисту, керiвник (власник) цього тдприемства визначае самостшно в межах норм чинного законодавства, адже «саме захист комерцiйно! таемницi е найбкьш важливим питанням у процесi використання тако! iнформацi!» [1, с. 9].
Безпеку визначають як ступiнь захисту вГд злочинно! дiяльностi, небезпеки, пошкодження та/ або втрати [2, с. 1175]. Аналiзуючи доЫдження на-уковщв, поряд з кiбербезпекою зустрiчаемо термш «iнформацiйна безпека». Погоджуемося з шдходом Р. фон Солмса та Дж. ван Нкерка, якi наполягають на рiзницi мiж згаданими поняттями. Причому шбербез-пека виходить за межi просто! iнформацiйно! безпеки та передбачае захищешсть рiзних активiв шдприем-ства (не лише шформаци), як шддаються ризику при застосуваннi таким шдприемством комп'ютерних систем i телекомунiкацiйних мереж [3]. Водночас шформацшна безпека, як процес збереження кон-фiденцiйностi, цшсносп та доступностi iнформацi! [4], поряд з електронною шформащею, включае захист шформацшних ресурав, якi опрацьовуються та збериаються без використання комп'ютерно! техш-ки. У межах нашого дослiдження розглядаемо саме кiбербезпеку, причому лише у сферi захисту бухгал-терсько! iнформацi!, яка не просто збериаеться на окремому комп'ютерi користувача, а циркулюе в кь берпросторi - середовищi, що складаеться з шформацшних систем по всьому свггу, включаючи мереж^ якi поеднують щ системи [5, с. 498; 6].
У процеа опитування пращвнишв, якi займа-ються безпекою шформацшних технологш, проведе-ного CyberEdge Group, виявлено, що у 2019 р. у серед-ньому 78% шберзагроз були вдалими (близько 63% уск шдприемств пiддалися таким загрозам [7, р. 12]), причому крашами-л^дерами в цьому контекста висту-пили ¡спанш (93,7%), Саудiвська Арав1я (91,5%) та Ко-лумб1я (87,9%). Джерелами основно! небезпеки нинi е шкiдливi програми, фiшинговi атаки, програми-ви-магачi, зловживання, пов'язаш з облiковими записа-ми користувачiв (у т. ч. крадiжка особистих даних), вiдмовами в обслуговуванш (БоБ-ЮБоБ-атаки), атаки на веб-додатки, спам, ботнети, порушення даних, шсайдерськ загрози, фiзичнi манiпуляцГ! (пошкодження, викрадення, втрата даних), витк шформа-
цй', криптоджекшг (новий вид загроз, який полягае в несанкцiонованому використаннi чужого комп'ютера для добування криптовалюти), шбершпигунство та íh. [8, р. 7, 9; 10, р. 9], а постачальниками засобiв kí-берзахисту станом на другий квартал 2018 р. - Cisco, Palo Alto Networks, Fortinet, Check Point [11].
Найбкьш захищеними в^д шберзагроз на шд-приемствах е веб-сайти та веб-додатки, сервери (фь зичнi й вiртуальнi) та сховища даних, а найменше -ноутбуки та мобiльнi пристро'! [8, р. 9].
Важливим показником захищеносп iнформацii в кiберсередовищi riel чи шшо'! кра'!ни е íh-декс глобально!' кiбербезпеки (англ. - Global Cybersecurity Index; який розраховуеться на основi юридичних, техшчних, оргашзацшних iндикаторiв, а також чиннишв нарощування потенцiалу та коопераций Укра'!на за цим показником в^дстае вiд лiдерiв i займае лише 54 позищю (рис. 1) серед 175 кра'!н, зна-ходячись приблизно на одному рiвнi з Узбекистаном, Молдовою, Азербайджаном тощо.
Зауважимо, що для ефективно! боротьби з й-
берзагрозами, у т. ч. й у сферi захисту даних
бухгалтерского облiку на пiдприемствах, вона мае бути одним iз прiоритетiв державно! полiтики, затверджених на законодавчому рiвнi. Основними вiтчизняними нормативно-правовими актами щодо врегулювання питань, пов'язаних з безпечним функ-цiонуванням учасникiв кiберпростору, е:
1) Закон Укра!ни «Про основш засади забез-печення кiбербезпеки Укра!ни» (вiд 05.10.2017 р. № 2163-УШ);
2) Закон Укра!ни «Про ратифiкацiю КонвенцГ! про кiберзлочиннiсть» (вiд 07.09.2005 р. № 2824-1У);
3) Стратепя кiбербезпеки Укра!ни (рiшення Ради нащонально! безпеки i оборони Укра!ни в1д 27.01.2016 р.);
4) «Про загрози шбербезпещ держави та нев^д-кладш заходи з !х нейтралiзацГi» (ршення Ради нащ-онально! безпеки i оборони Укра!ни вiд 29.12.2016 р.);
5) Загальш вимоги до шберзахисту об'ектiв критично! iнфраструктури (постанова Кабшету МШ-стрiв Укра!ни вiд 19.06.2019 р. № 518).
.а с
га ю о
ЕЕ ^
ф
ф т га
1
s
¡C ф
с
т ф
Ю
а.
ф
ю "sé
0,9 -0,8 0,7 -0,6 0,5 0,4 0,3 0,2 0,1
0
— со
— сл о
1Л
— U!
о
— сл о
— <n
— со о
1°
ó?
с? N ^
KpaiHa
/ ^ # ^ ^ ^ # # #
-V
Рис. 1. Мкце УкраТни в рейтингу краТн за показником шдексу глобально!' мбербезпеки у 2018 р. Джерело: побудовано автором за даними [12, р. 62-68].
Загалом ккьюсть виявлених i зареестрованих шберзлочишв в Укра!нi у 2018 р., порiвняно з по-передшм роком, дещо знизилася (на 28,7%) [13; 14]. В основному, це в1дбулося за рахунок покращення си-туаци у м. Киевi та Кшвськш областi. Натомiсть у таких областях, як Запорiзька, Одеська, Микола!вська, кiлькiсть злочинiв у кiберсферi значно зросла (рис. 2). У цкому, трiйкою областей з найвищим показником кiберзлочинностi в Укра'!нi у 2018 р. стали Микола!в-ська, Одеська i Ки!вська.
За гендерною ознакою 67% вичизняних йберз-лочинщв - чоловiки i, вiдповiдно, 33% шберзлочишв вчинено жiнками. У розрiзi видiв кiберзлочинiв (зпд-но зi статтями Кримiнального кодексу Укра!ни) !х роз-под1л виглядае таким чином: 63% - шахрайство, 35% -несанкщоноване втручання в роботу комп'ютерiв, 2% - порушення авторського права i сумiжних прав [15].
На даний момент укра!нська нормативна база характеризуеться браком системности недосконалк-тю, суперечливктю, розбiжнiстю пiдходiв, фккаль-ною спрямовашстю, моральною застарiлiстю та по-требуе подальшого розвитку й вдосконалення у сферi застосування цифрових технологiй та захисту учас-никiв кiберсередовища.
В^пов^дно до результатiв дослiдження, отри-маних Ernst&Young, середнi втрати вiд порушення цшсносп даних у свiтi у 2017 р. склали 3,62 млн дол. США. При цьому бухгалтерська та фшансова шфор-мацiя за ступенем привабливосп для кiберзлочинцiв сто!ть на другому мiсцi пiсля шформаци про ^ен-тiв (12% уах кiберзагроз) [16, р. 5, 9]. Помилковою е думка, що сказане стосуеться лише великих i серед-шх пiдприемств - кiберзагрозам тддаються данi всiх без винятку суб'екйв господарювання, б1льше того,
Область
Запсрзька Одеська МикслаТвська Вшницька Тернсптьська Херсснська Житсмирська Сумська Р1вненська Черкаська ЧернИвська Льв1вська Закарпатська Днтрспетрсвська Хмельницька Пслтавська Харк1вська Мрсвсградська Луганська Дснецька Черывецька Вслинська КиТвська (у т. ч. м. КиТв) 1ванс-Франк1вська
-2,6% -5,5% -11,7% -20,0% -22,5% -44,8% М -61,4% -62,8% -76,6% -86,3%
+250,0% +244,1%
+ 195,3%
■ +81,8% +78,6% +78,0%
+60,9% +57,9% +51,7% +49,6%
Н +34,4%
■ +25,9%
■ +21,1% +2,4%
Рис. 2. Темпи зростання заресстрованих мберзлочишв в Укра'|'ш (у розрiзi областей) у 2018 р. порiвняно з 2017 р. Джерело: розроблено автором за даними [13; 14].
близько 80% усiх злочин1в у цш сфер1 стосуеться саме малих п1дприемств [2, р. 1182].
Зазначимо, що для формування ефективно! сис-теми заход1в з мш1м1заци к1берзагроз 1 адекватного захисту бухгалтерсько!' шформаци сл1д, передус1м, визначитися 1з розумшням поняття «за-гроза». У досл1дженнях М. М. Алан1 знаходимо таке трактування загрози: «потенцшне посягання на без-пеку, яке 1снуе за наявносй обставин, можливостей, дш або подш, що можуть Г! порушити 1 заподiяти шкоду» [17, р. 15-16]. О. А. бвтушевська визначае цей термш як «потенц1йн1 або реально можлив1 дГГ сто-совно шформацшних ресурс1в, що призводять до не-правом1рного оволод1ння 1нформац1ею» [18, с. 159]. Пох1дною в1д загрози е тберзагроза, гад якою (роз-глянувши п1дходи в економ1чн1й л1тератур1 та у зако-нодавств1) в контекст1 нашого досл1дження розуш-емо наявну чи потенцшну подт, яка несе небезпеку учасникам тберпростору у сферi функщонування тформацшног системи бухгалтерского облжу, при-зводить до втрати, пошкодження, знищення чи не-санкщонованого використання облжовоI шформаци.
Обгрунтоване групування юберзагроз - на-ступний крок для побудови комплексно!' системи йбербезпеки облшово! шформаци на шдприемствь Так, О. А. бвтушевська подляе загрози на зовшшш, джерелами яких е конкуренти, злочинш групи ха-кер1в 1 терористичн1 угруповання, полггичш струк-тури тощо, та внутршш, уособлен1 адм1н1страц1ею
1 персоналом шдприемства [18, с. 159]. Своею чертою, внутршш загрози досл1дники подкяють на: 1) комп'ютерне шахрайство, комп'ютерну шдробку, на-дання конф1денц1йноГ' шформаци конкурентам [19, с. 232]; 2) техшчш загрози, загрози отримання неправдиво!' шформаци, розголошення, шш1 загрози недо-сконало'Г оргашзаци [20].
В. А. Нехай та В. В. Нехай слушно доповнюють наведений перелк видом загроз, як1 пов'язан1 з на-вмисними помилками, що виникають за межами б1з-несу [21, с. 140]. Джерелом загрози в цьому випадку може виступити, наприклад, б1знес-партнер чи роз-робник спещал1зованого програмного забезпечення.
Окр1м класифкаци загроз бухгалтерськш ш-формаци за джерелом (мкцем, природою) !х виникнення, яка зустр1чаеться у працях на-уковщв найчаст1ше, вчен1 виокремлюють ще й таи ознаки групування небезпек: за проявом та насл1дка-ми; за типом; за метою; за характером виникнення; за шформацшними технолопями; за об'ектом впли-ву; за причиною виникнення [21, с. 140]; за часом; за ймов1ршстю [20].
Паралельно з означенням 1 класифкащею юбер-загроз, а також кентифкащею способ1в, якими може бути порушена безпека даних на шдприемств1, важли-во також окреслити основш передумови виникнення таких загроз для бухгалтерсько!' шформаци:
1) використання нелщензшного або неперевь реного програмного забезпечення для ведення обль
ку та подання звгтностг, нехтування його вразливими мкцями;
2) застосування слабких шструменйв аутенти-фiкацi! користувачiв бухгалтерсько! iнформацi!;
3) нехтування правилами захисту робочих комп'ютерiв чи iнших пристро!в, з яких вiдбуваються доступ i робота з облiковими даними;
4) застосування робочих пристро!в у неробочих цГлях;
5) брак у бухгалтерiв елементарних знань з основ кГбербезпеки;
6) неправильна розстановка прiоритетiв i вгд-сутнiсть належно! пiдтримки з боку системи менеджменту шдприемства;
7) нехтування правилами збереження бухгалтерских даних i !х перюдичного резервування;
8) iгнорування наявних ризиюв i негативного досвiду iнших учаснишв ринку;
9) вiдсутнiсть на пiдприемствi вiдповiдного спе-цiалiста iз захисту бухгалтерсько! шформаци;
10) довгий перелк осiб, якi мають доступ до даних, вгдсутшсть розмежування прав користувачiв;
11) складне податкове та бiзнес-оточення шд-приемства та ш.
Hаслiдуючи свiтовi тенденцГ!, бухгалтер ський облш все бкьшо! ккькосп вГтчизняних шд-приемств пiддаеться автоматизаци та дгджи-талiзацГ! з використанням таких сучасних шструмен-тГв г технологiй, як блокчейн, хмарш й туманнi технолог:!, штучний штелект, 1нтернет речей, мобгльш об-числення, машинне навчання тощо. Кожна зГ згаданих технологш, крГм загального перелГку загроз, наведе-ного вище, характеризуеться специфГчними ризиками для облково! ГнформацГ!, якГ е наслгдком сутностГ та особливостей функцюнування тГе! чи Гншо! техноло-гГ!. Наприклад, при використаннГ моб1льних пристро-!в для ведення облГку специфГчними ризиками будуть: погана обГзнашсть г культура використання пристро-!в, !х втрата г викрадення; нездатнГсть мережевих ш-женерГв швидко лГквГдувати вразливосп; придбання мобГльного пристрою зГ заздалепдь встановленим шкГдливим програмним забезпеченням (кожен 36-й мобкьний пристрГй пГддаеться такш загрозГ [9, р. 41]); проблеми взаемодГ! з Гншими програмами тощо. Якщо мова йде про 1нтернет речей, то тут проблемами ста-нуть ГдентифГкац1я пГдозр1лого трафГку, забезпечення вГдповгдностГ контролю безпеки вимогам сьогодення, оновлення велико! к1лькостГ пГдключених до 1нтерне-ту речей пристро!в, брак кадрГв належно! квалГфГкацГ!, вГдстеження доступу до даних та ш.
Хмарш технологи ведення бухгалтерского облГку г подання звкносп теж не щлком безпечнГ. СпецифГчними загрозами для облково! ГнформацГ! тут можуть стати неможливкть використання по-переднГх версГй програмного забезпечення, висока залежшсть вГд якостГ надання послуг провайдерами,
непевнгсть стосовно приватностг та права власностг на дан у хмарГ (брак вгдповГдного законодавчого захисту прав на шформацш у хмарному середовищГ), складнощГ ГдентифГкацГ! джерела загроз тощо.
Говорячи про технологш блокчейн, якш про-рокують велике майбутне в бухгалтерскому облГку й аудитГ, специфГчними загрозами для ГнформацГ!, зу-мовленими особливостями ще! технологи, е низький рГвень приватностГ та конфГденцГйностГ даних про дшльшсть пГдприемства, вГдсутнГсть законодавчо затверджено! вГдповГдально! особи за ведення роз-подГлено! бази даних про операци, перевантаження пристро!в зберГгання ГнформацГею як наслгдок невгд-воротного зростання Г! обсяпв тощо.
СвГтовий досвГд свГдчить, що найбГльшими проблемами використання ефективних за-собГв боротьби з шберзагрозами сьогоднГ е складнощГ !х впровадження й штеграци, брак вгдпо-вГдних фахГвцГв (низький рГвень усвгдомлення ними проблем кГбербезпеки), фГнансових ресурав, ефек-тивних рГшень на ринку, тдтримки з боку системи менеджменту пГдприемства, постшне вдосконалення способГв виконання зловмисних дш тощо [8, р. 11, 16]. До перелГчених додамо ще обмеження, характерш для вГтчизняного середовища господарювання: не-досконалГсть законодавства у сфер! кГбербезпеки, полГтичнГ ризики, корупщя та протекцГонГзм. Зазна-чимо, що найбГльше коштГв на шбербезпеку сьогоднГ видГляють компанГ! Мексики (15,9% вГд 1Т-бюджету), БразилГ! (15,9%) Г Швденно! Африки (14,9%) [8, р. 20].
Л. Колобов та I. Колеснкова подГляють заходи Гз захисту конфГденцшно! ГнформацГ! на юридичнГ, фГзичш, технГчнГ та психологГчнГ [1, с. 11], О. А. 6в-тушевська - на фГзичш, апаратнГ, програмш й крип-тографГчнГ [18, с. 160], А. П. Дикий видкяе оргашза-цГйно-технГчнГ, органГзацГйно-режимнГ заходи з орга-нГзацГ! захисту та безпеки облкових даних Г кадрову роботу [22, с. 211]. Схожого до останнього шдходу дотримуються С. А. Втер та I. I. Свилишин, як ви-окремлюють органГзацГйнГ заходи, техшчш заходи та кадрову роботу. На думку цих авторГв, система перелГчених заходГв мае вгдповГдати критерГям шдтрим-ки програмного забезпечення, охорони конфГденцГйностГ ГнформацГ!, персонально! вГдповГдально стГ, секретности комплексности ефективного контролю доступу до облкових даних [5, с. 500-501].
В. А. Шпак до елементГв захисту облково! ГнформацГ! вгдносить правовГ, технГчнГ, програмш та органГзацГйнГ. При цьому «сшввгдношення елементГв та !х змГст забезпечують шдивгдуальшсть системи захисту ГнформацГ! пГдприемства та гарантують !! на-дГйнГсть» [23, с. 182]. Дещо шший погляд - у I. Л. Граб-чук, яка серед засобГв захисту облГково! ГнформацГ! в електронному виглядГ виокремлюе засоби лопчно! та фГзично! безпеки [24, с. 23].
Система кгберзахисту бухгалтерсько! гнформа-ц11 - це комплекс заходiв на державному piBHi й на ргвнг окремого пiдприeмства, покликаних гаранту-вати безпеку та захист тако! шформаци, як i автома-тизовано! системи ведення бухгалтерского облiку на шдприемствг в цiлому, вiд кiберзагроз. Наведемо сукупнгсть таких засобiв захисту на шдприемствг в розрiзi !х видгв на рис. 3.
Як бачимо з рис. 3, за аналоггею 3i загальними та специфiчними загрозами, виокремлюемо засоби захисту вiд них загального та специфiчного характеру. При цьому всю !х множину подгляемо на органгза-цiйнi, технгчнг, кадровi й юридичнi заходи. Ключове значення тут мае наявнiсть коштгв для реалiзацГi зга-даних заходгв - чим бгльший бюджет, тим вищг шанси мгнгмгзувати кгберризики (за умови вдалого викорис-тання фгнансових ресурсгв).
Насамкгнець зазначимо, що однгею гз основних складностей при боротьбг з кгберзагрозами е те, що, за даними Telstra, 78% компангй сьогоднг не мають чгткого плану реагування на можливг небезпеки [7, р. 9]. Для захисту вгд кгберзагроз пгдприемства найчас-тгше використовують мережевг антивгруси (63,9%), контроль доступу до мережг (59,8%), SSL/TLS при-стро!' (платформи) для дешифрування (59,4%) та системи виявлення (запобггання) вторгнень [8, р. 24]. Як варгант розглядаеться також передача окремих функ-цгй захисту шформаци (тестування проникнень, ана-лгз загроз, мониторинг мережево! безпеки в режимг реального часу та гн.) на аутсорсинг.
ВИСНОВКИ
У сучасному свгтг розвинутих технологгй впро-вадженням останн1х у процес ведення бухгалтерского облгку вже нгкого не здивуеш. При цьому бухгал-терська шформащя, яка формуеться у такому проце-сг, - особливий ресурс, що потребуе ретельного захисту, адже вгд безпечного ii використання залежить шформацшна безпека всього пгдприемства.
Результати проведеного дослгдження свгдчать, що нинг у свгтг кгберберзагрозам пгддаеться значна частина пгдприемств, причому незалежно вгд '!х роз-мгру та виду дгяльностг. Останнгми роками в Укра'нг також почастгшали кгбератаки, якг, серед гншого, зу-мовленг нацгональними особливостями господарю-вання, такими як брак належно!' законодавчо! бази, велика питома вага пгдприемств, що використовують нелщензшнг бухгалтерськг програмнг продукти, не-хтування правилами захисту автоматизованих ро-бочих мгсць, брак у спецгалгстгв з бухгалтерського облгку знань з основ кгбербезпеки тощо. Для мгнгмг-заци негативного впливу кгберзагроз пропонуеться комплексна система загальних г специфгчних заходгв органгзацгйного, технгчного, кадрового та юридично-го характеру. При цьому критери оцгнки успгшностг впровадження цих заходгв - напрям наших подаль-ших дослгджень. ■
Л1ТЕРАТУРА
1. Колобов Л., Колесшкова I. Комерцiйна таемниця та питання захисту комерцмноТ таемницк Цившьне право i процес. 2016. № 5. С. 8-13.
2. Bawaneh S. S. Information security for organizations and accounting information systems. A Jordan banking sector case. International Review of Management and Business Research. 2014. Vol. 3. Issue 2. P. 1174-1188.
3. Von Solms R., van Niekerk J. From information security to cyber security. Computers & Security. 2013. Vol. 38. P. 97-102 URL: https://www.sciencedirect.com/science/article/ pii/S0167404813000801?via%3Dihub
4. ISO/IEC 27001:2013. Информационные технологии. Методы защиты. Системы менеджмента информационной безопасности. Требования / пер. с англ. А. Горбунов. URL: https://pqm-online.com/assets/files/pubs/translations/std/iso-mek-27001-2013(rus).pdf
5. BiTep С. А., Св^лишин I. I. Захист обл^овоТ шформаци' та мбербезпека пщприемства. Економка i суспльство. 2017. Вип. 11. С. 497-502.
6. National cyber security strategy and 2013-2014 action plan / Ministry of Transport, Maritime Affairs and Communications; Republic of Turkey. URL: https://sherloc.unodc. org/res/cld/lessons-learned/national_cyber_security_strate-gy_and_2013-2014_action_plan_html/National_Cyber_Secu-rity_Strategy_and_2013-2014_Action_Plan.pdf
7. Summary Report / Telstra Security Report 2019. Pad-dington : Telstra Corporation Limited, 2019. 19 p.
8. 2019 Cyberthreat Defense Report / CyberEdge Group. Annapolis: CyberEdge Group, 2019. 50 p.
9. Internet Security Threat Report / Symantec. Mountain View: Symantec Corporation, 2019. 61 p.
10. 15 Top Cyberthreats and Trends / ENISA Threat Landscape Report 2018. Heraklion: European Union Agency For Network and Information Security, 2018. 138 p.
11. Feldman S. No clear leader in cybersecurity market. URL: https://www.statista.com/chart/16651/cybersecurity-global-market/
12. Global Cybersecurity Index (GCI) 2018 / International Telecommunication Union. Geneva : ITUPublications, 2019. 86 p.
13. Вщомост про зареестроваш упродовж ачня -грудня 2018 року злочини у сферi використання елек-тронно-обчислювальних машин (комп'ютерiв) та результати ïx розслщування / Генеральна прокуратура УкраТ-ни. URL: https://dostup.pravda.com.ua/request/statistika_ kibierzlochinnosti_v_4
14. Вщомост про зареестроваш упродовж 2017 року злочини у сферi використання електронно-обчислюваль-них машин (комп'ютерiв) та результати Тх розслщування / Генеральна прокуратура Укра'ши. URL: https://dostup.pravda. com.ua/request/statistika_kibierzlochinnosti_v_3
15. Пщсумки 2018 року в цифрах / Департамент №бер-полщп НацюнальноТ полщй' УкраТни. URL: https://cyberpolice. gov.ua/results/2018/
16. Is cybersecurity about more than protection? / EY Global Information Security Survey 2018-19. London : EYGM Limited, 2018. 35 p.
17. Alani M. M. Elements of Cloud Computing Security. A Survey of Key Practicalities. Switzerland : Springer, 2016. 55 p.
18. €втушевська О. А. 1нформацмна безпека як еле-мент пщвищення ефективност комплексного контролю пщ-приемств водного транспорту. Зовнiшня торгiвля: економь ка, фiнанси, право. 2015. № 5-6. С. 157-162.
£ ю
А то ГО
>'.1
X
1-
• Регулярне резервне коЫювання бухгалтерськоТ ¡нформацп на непщключеному до основного пристрою носи
• Уникнення користування на робочих комп'ютерах програмами, не потрЮними для роботи
• Розроблення чггкоТ системи аутентиф¡кац¡í ос¡б, як¡ мають доступ до обл^овоТ ¡нформацп, причому не лише за допомогою надшних пароле, а й таких сучасних засобт, як в¡дбиток пальця, розпвнавання обличчя, токени, БМБ-пов¡домлення, УиЫ Кеу смарт-картка, Р!У/СДС картка то що
• Створення в¡дд¡лу кЮербезпеки, регламентац¡я його д¡яльност¡
• Формування ч¡ткого перел¡ку ос¡б з правами доступу ¡нформацп, механвму п¡дзв¡тност¡ цих оаб
• Ефективна орган¡зац¡я системи зберкання бухгалтерськоТ ¡нформацп
• Ретельна переврка над¡йност¡ та репутацГТ надавача послуг при передач¡ бухгалтерських функцм на аутсорсинг
• Налагодження ефективносп системи менеджменту та ризик-анал¡зу
• Заборона прив¡лейованого запуску бухгалтерських програм, внесення Тх оновлень до «бшого списку» системи захисту комп'ютера
• Вимкнення функцГТ автоматичного оновлення програмного забезпечення
• Використання сучасних технтних ¡нструмент¡в захисту ¡нформацп, антив¡русних програм, в^туальноТ приватноТ мереж¡ (УРИ), захищених розширень браузера, брандмауерт, ¡нших засобт захисту середовища функц¡онування сервера, робочого комп'ютера
• Обов'язкова перев¡рка на в^уси вс¡eТ вхщноТ електронноТ робочоТ кореспонденцГí
• Регулярн¡ оновлення операцмноТ системи та антив¡русних програм
• Ретельний вибр бухгалтерського програмного забезпечення з урахуванням вбудованих у нього засобв захисту обл¡ковоТ ¡нформац¡Т
• Регулярн тестування ¡нформац¡йноí' системи на виявлення можливих загроз
• Наявнкть техн¡чних засоб¡в захисту прим¡щень вщ несанкц¡онованого проникнення, використання карток доступу, журналт в¡дв¡дувач¡в, бейдж¡в
• Впровадження лише лщензшних програмних продукт¡в, Тх оновлення з офщшних джерел
• Застосування надшних техык шифрування даних при Тх пересиланн
• Використання захищених пристроТв та канал¡в доступу при вщдаленому веденн¡ бухгалтерського облТку
• Забезпечення пер¡одичноТ зм¡ни Т покращення систем та ¡нструмент¡в кйерзахисту, фокусування на запоб¡ганн¡, а не виявленн к¡берзагроз
• Ведення бухгалтерського обл^у на в¡ддалених серверах
• Навчання прац^ниш основам к¡бербезпеки та правилам безпечноТ роботи з ¡нформацкю в к¡берсередовищ¡
• П¡дб¡р працтниш з в¡дпов¡дними моральними якостями та позитивними характеристиками з попередых мкць роботи
• Проведення пост¡йних треншпв для прац¡вник¡в системи безпеки щодо нових видгё загроз ¡ кращих практик Тх подолання
• Пщвищення ргёня глибокого усв¡домлення та в^пов^альносп прац¡вник¡в бухгалтерГí щодо ¡снування кЮерзагроз ¡ проблем захисту ¡нформацп вщ них
• П¡дписання з працвниками документ¡в про належне збер¡гання
та нерозголошення ¡нформацп, яка становить комерцшну таемницю
• Розробка внутр¡шн¡х стандарта, положень, ¡нструкц¡й, наказ¡в тощо
про нерозголошення даних, органва^ю безпеки та захист обл^овоТ ¡нформацп
• Наявнкть у засновницьких документах пщпришства положень щодо захисту бухгалтерських даних
• Розроблення правил роботи з обл^овою ¡нформацкю при автоматизованому його ведены, визначення в^пов^альносп працтниш за Тх порушення
• Використання форм, бланш та репорт обл¡ку конф¡денц¡йноí' ¡нформацп
• Придбання полку габерстрахування
• Документальне затвердження перел¡ку даних, ям становлять комерц¡йну таемницю на п^ришс^
Вид¡лення ф¡нансування (бюджету) на заходи з к¡бербезпеки
Рис. 3. Комплексна система заходiв гарантування мбербезпеки бухгалтерськоТ шформацп на пiдприcмствi Джерело: авторська розробка.
19. Муравський В. Забезпечення iнформацiйноT безпеки в автоматизованих системах бухгалтерського обл^. Економiчний аналiз. 2013. Вип. 12. Ч. 4. С. 232-235.
20. Рожелюк В. М. Заходи забезпечення захисту об-лiковоT шформацп. Китв: ПП «Рута», 2013 URL: ИНрУ^Брасе. ^еи^и.иа/ЬКБиеат/316497/190б2/Шаходи%20забезпе-чення%20захисту%20облiковоT%20iнформацiT.pdf
21. Нехай В. А., Нехай В. В. 1нформацмна безпека як складова економiчноT безпеки пщприемств. Науковий всник Мiжнародного гумантарного унiверситету. Серiя «Економiка iменеджмент». 2017. Вип. 24 (2). С. 137-140.
22. Дикий А. П. Порядок забезпечення безпеки бух-галтерсько'|' шформацп в умовах застосування сучасних комп'ютерних технолога. Проблеми теорИ та методоло-
г'и бухгалтерського облку, контролю i анал\зу. 2008. № 3. С. 208-214.
23. Шпак В. А. Оргашзафя захисту обл^овоТ шформаци'. Бухгалтерський облк, аналiз та аудит: проблеми теорЦ методологи, органiзацíí. 2015. № 2. С. 181-187.
24. Грабчук I. Л. Оргашза^я захисту обл^овоТ шформаци' в умовах пбридноТ вмни. Проблеми теорп та методологи бухгалтерського облiку, контролю iаналiзу. 2018. Вип. 3. С. 20-24.
REFERENCES
Alani, M. M. Elements of Cloud Computing Security. A Survey of Key Practicalities. Switzerland: Springer, 2016.
Bawaneh, S. S. "Information security for organizations and accounting information systems. A Jordan banking sector case". International Review of Management and Business Research, vol. 3, no. 2 (2014): 1174-1188.
"2019 Cyberthreat Defense Report". In CyberEdge Group. Annapolis: CyberEdge Group, 2019.
Dykyi, A. P. "Poriadok zabezpechennia bezpeky bukhhal-terskoi informatsii v umovakh zastosuvannia suchasnykh kom-piuternykh tekhnolohii" [Procedure for ensuring the security of accounting information in the conditions of application of modern computer technologies]. Problemy teorii ta metodolohii bukhhalterskoho obliku, kontroliu i analizu, no. 3 (2008): 208-214.
Feldman, S. "No clear leader in cybersecurity market". https://www.statista.com/chart/16651/cybersecurity-global-market/
"Global Cybersecurity Index (GCI) 2018". In International Telecommunication Union. Geneva: ITUPublications, 2019.
Hrabchuk, I. L. "Orhanizatsiia zakhystu oblikovoi informatsii v umovakh hibrydnoi viiny" [Organization of protection of accounting information in the conditions of hybrid war]. Problemy teorii ta metodolohii bukhhalterskoho obliku, kontroliu i analizu, no. 3 (2018): 20-24.
"Internet Security Threat Report". In Symantec. Mountain View: Symantec Corporation, 2019.
"Is cybersecurity about more than protection?" In EY Global Information Security Survey 2018-19. London: EYGM Limited, 2018.
"I SO/I EC 27001:2013. Informatsionnyye tekhnologii. Metody zashchity. Sistemy menedzhmenta informatsionnoy bezopasnosti. Trebovaniya" [ISO / IEC 27001: 2013. Information Technology. Methods of protection. Information Security Management Systems. Requirements]. https://pqm-online.com/as-sets/files/pubs/translations/std/iso-mek-27001-2013(rus).pdf
Kolobov, L., and Kolesnikova, I. "Komertsiina taiemnytsia ta pytannia zakhystu komertsiinoi taiemnytsi" [Trade secrets and trade secrets]. Tsyvilnepravo iprotses, no. 5 (2016): 8-13.
Muravskyi, V. "Zabezpechennia informatsiinoi bezpeky v avtomatyzovanykh systemakh bukhhalterskoho obliku" [Providing information security in automated accounting systems]. Ekonomichnyi analiz, vol. 4, no. 12 (2013): 232-235.
"National cyber security strategy and 2013-2014 action plan / Ministry of Transport, Maritime Affairs and Communications; Republic of Turkey". https://sherloc.unodc.org/res/cld/ lessons-learned/national_cyber_security_strategy_and_2013-2014_action_plan_html/National_Cyber_Security_Strategy_ and_2013-2014_Action_Plan.pdf
Nekhai, V. A., and Nekhai, V. V. "Informatsiina bezpeka yak skladova ekonomichnoi bezpeky pidpryiemstv" [Information security as a component of economic security of enterprises].
Naukovyi visnyk Mizhnarodnoho humanitarnoho universytetu. Seriia «Ekonomika i menedzhment», no. 24 (2) (2017): 137-140.
"Pidsumky 2018 roku v tsyfrakh" [2018 results in numbers]. Departament Kiberpolitsii Natsionalnoi politsii Ukrainy. https://cyberpolice.gov.ua/results/2018/
Rozheliuk, V. M. "Zakhody zabezpechennia zakhystu oblikovoi informatsii" [Security measures for accounting information]. http://dspace.tneu.edu.ua/bitstream/316497/19062/1/ Заходи%20забезпечення%20захисту%20облково'|'%20 ^opMa^ï.pdf
"15 Top Cyberthreats and Trends". In ENISA Threat Landscape Report 2018. Heraklion: European Union Agency For Network and Information Security, 2018.
"Summary Report". In Telstra Security Report 2019. Pad-dington: Telstra Corporation Limited, 2019.
Shpak, V. A. "Orhanizatsiia zakhystu oblikovoi informatsii" [Organization of protection of accounting information]. Bukh-halterskyi oblik, analiz ta audyt: problemy teorii, metodolohii, orhanizatsii, no. 2 (2015): 181-187.
"Vidomosti pro zareiestrovani uprodovzh 2017 roku zlochyny u sferi vykorystannia elektronno-obchysliuvalnykh mashyn (kompiuteriv) ta rezultaty yikh rozsliduvannia" [Information on crimes recorded in 2017 concerning the use of electronic computers (computers) and the results of their investigation]. Heneralna prokuratura Ukrainy. https://dostup.pravda. com.ua/request/statistika_kibierzlochinnosti_v_3
"Vidomosti pro zareiestrovani uprodovzh sichnia - hrud-nia 2018 roku zlochyny u sferi vykorystannia elektronno-ob-chysliuvalnykh mashyn (kompiuteriv) ta rezultaty yikh rozslidu-vannia" [Information on crimes recorded in the period from January to December 2018 concerning the use of electronic computers (computers) and the results of their investigation]. Heneralna prokuratura Ukrainy. https://dostup.pravda.com.ua/ request/statistika_kibierzlochinnosti_v_4
Viter, S. A., and Svitlyshyn, I. I. "Zakhyst oblikovoi informatsii ta kiberbezpeka pidpryiemstva" [Protection of accounting information and cybersecurity of the enterprise]. Ekonomika i suspilstvo, no. 11 (2017): 497-502.
Von Solms, R., and van Niekerk, J. "From information security to cyber security". Computers & Security. 2013. https://www.sciencedirect.com/science/article/pii/ S0167404813000801?via%3Dihub
Yevtushevska, O. A. "Informatsiina bezpeka yak element pidvyshchennia efektyvnosti kompleksnoho kontroliu pidpryiemstv vodnoho transportu" [Information security as an element of increasing the efficiency of integrated control of water transport enterprises]. Zovnishnia torhivlia: ekonomika, finansy, pravo, no. 5-6 (2015): 157-162.
Б1ЗНЕС1НФОРМ № 8 '2019
www.business-inform.net
