Управление киберрисками в …PwC Thank you! Tim Clough Partner Risk Assurance...

Управление киберрискамив фармацевтических компаниях

www.pwc.ru/

6 февраля 2018 г.

PwC

It’s not if, it’s when….

PwC

Building trust in the digital age

Confidence in your security

Confidence that systems are secure to protect customerand other data and that identity/privacy issues have been dealt with.

Confidence in your data

Confidence in the integrity of data and the abilityto benefit from what it can reveal about a business.

Confidence in your systems

Confidence that business systems have the right controls and monitoring to ensure that they do what they are supposed to., whether they are in-housesystems or are delivered as cloud based services.

Confidence to take risks

Confidence that technology risks are understood and well managedand that digital platforms will be available when required (24/7).

Confidence in your digital transformation programme

Confidence to embark on and deliver the next complex digital transformationprogramme in a way that delivers the expected benefits, on time and to budget.

Managing risk and building trust underpins the digital agenda as digital platforms become increasingly central to the delivery of business strategy. To build trust you will need confidence in each of these five areas:

PwC

Top Data Protection Issues for Russia Pharma and Life Science Companies

Selling pharma clients databases in shadow part of the Internet

Targeted media campaigns discrediting pharmaceutical companies

Patent and intellectual property violation

Leakage from inside or business partners

Compliance with Russian Personal Data Law

PwC

Current State of Cybersecurity Awareness and Maturity in Russia

4 hoursAverage time of getting access to confidential data/systems

Weak Prevention

Absence of Detection

Poor Awareness

90%of companies did not detect/ respond to the attack

100%of employees disclosed their passwords as a result of phishing attack

PwC

Thank you!

Tim CloughPartnerRisk Assurance Leader

Tel.: +7 (495) [email protected]

This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information

contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness

of the information contained in this publication, and, to the extent permitted by law, companies of PwC network, their members, employees and agents do not accept or

assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this

publication or for any decision based on it.

PwC refers to PwC Legal, or, as the context requires, other member firms of PricewaterhouseCoopers International Limited, each of which is a separate legal entity.

© 2018 PwC. All rights reserved.

GDPR:

Что нужно знать фармацевтическим компаниям в России?

www.pwc.ru

Февраль 2018

PwC

Применение GDPR

• Новые правила вступят в силу 25 мая 2018 г.

• Постепенное внедрение карательных механизмов

• Любые персональные данные (работников, пациентов, участников клинических исследований и т.п.)

• Любые способы обработки включая бумажные картотеки

• Субъекты персональных данных (ПД) – лица в ЕС

• Контролёры и процессоры – экстерриториальное применение

PwC

Применимость GDPR фармацевтическим компаниям в России

Например, российская фармацевтическая компания, которая:

• обрабатывает данные в связи с деятельностью филиала в ЕС• поручила обработку ПД граждан ЕС дочерней компании в ЕС

• имеет завод и\или лабораторию в ЕС

• сотрудничает с партнёром в ЕС, который, например, продвигает продукцию, обрабатывает персональные данные контрагентов

Реальная деятельность в ЕС через постоянную структуру1

Единая система оценки KPI работников в Компании

Единая адресная книга Компании (Outlook, Intranet portal)

CRM/KYC общие базы ПД в Компании, АСУ и т.п.

Тригеры для Компании

Европейские аффилированные компании

Представительства европейских аффилированных компаний

PwC

Направленность деятельности на ЕС2

Мониторинг поведения в ЕС

• Клинические исследования в ЕС;

• Носимые медицинские устройства

• Отслеживание в Интернете

• Создание профиля по активности пользователя

Предложение товаров/услуг в ЕС

• Язык сайта при регистрации\ заказе

• Валюта платежей

• Таргетирование и ссылка на наличие потребителей в ЕС

и/или

Например, российская компания, которая:

• предлагает находящимся в ЕС лицам товары и услуги через сайт или рассылку

• ведёт мониторинг находящихся в ЕС лиц (страхование, «умные» устройства)

• отслеживает запросы пользователей (в том числе из ЕС) с помощью cookie-файлов для таргетированной рекламы

• принимает оплату из ЕС в Евро

Cookie-файлы и IP-адрес

Трекинг сопровождающих груз лиц

Cookie-файлы и IP-адрес

Трекинг сопровождающих груз лиц

Обучение, конференции, форумы с участием лиц из ЕС

Договоры на продвижение сайта для пользователей ЕС



PwC

Возможные ситуации:

• единые IT системы, общие базы данных

• продажа продукции через партнёрскую сеть

• обмен кадрами для профессиональной подготовки и обучения

Совместные контролёры3

Определение цели/способов обработки совместно с компаниями из ЕС (совместные контролёры)

Типизация IT решений и стандартов

Обмен кадрами

CRM / KYC общие базы данных в Компании



PwC

GDPR vs 152-ФЗ: принципы обработки данных

Законность и справедливость, понятность процессов гражданину

Точность и актуальность данных

Обработка только для заявленных целей

Отсутствие избыточных данных

Ограниченный срок сохранения

Сохранность и конфиденциальность

152-ФЗ

соответствует частично соответствует не соответствует

PwC

GDPR vs 152-ФЗ: права субъектов

Доступ к данным и информации об обработке

Получение копии данных (raw data)

Корректировка и дополнение данных

Уничтожение данных (право на забвение)

Блокировка обработки данных

Возражение против обработки данных

Перенос данных (data portability right)

Отзыв согласия

152-ФЗ


PwC

GDPR vs 152-ФЗ: обязанности контролера

Доказать соблюдение принципов обработки (accountability)

Принимать технические и организационные меры (privacy by design / default)

Документировать деятельность по обработке данных (recording)

Оценивать риски (data protection impact assessment)

Обеспечивать безопасность данных

Внедрить политики по обработке данных

Извещать регулятора и граждан о проблемах с данными

Назначать ответственного за защиту данных

152-ФЗ


PwC

GDPR vs 152-ФЗ: ключевые требования к согласию

Свободное, конкретное, информированное, непротиворечивое

Форма согласия и отзыва: заявление или утвердительное действие

Простой и понятный язык

Отдельное от каких-либо других вопросов

Отдельное согласие для каждой цели обработки

Родительское согласие на обработку данных детей до 16 лет для получения онлайн услуг

Отозвать также просто, как и получить

Контролер должен доказать получение согласия

152-ФЗ


PwC

Штрафы

До 10 миллионов Евро или до 2% выручки*

Сферы нарушения обязательств контролёра и обработчика

• Получение согласия на обработку ПД детей

• Обработка, не требующая идентификации

• Privacy by design and by default

• Совместный контроль ПД

• Неназначениепредставителя в ЕС

• Обязанностиобработчика и действия согласно указаниям контролёра

• Документирование обработки ПД

• Сотрудничество с надзорным органом

• Требования к безопасности ПД

• Сообщение об утечке ПД надзорному органу и субъекту ПД

• Предварительная оценка влияния на защиту ПД

• Назначение ответственного за защиту ПД и его задачи

До 20 миллионов Евро или до 4% выручки*

Нарушения основополагающих правил

• Принципы обработки ПД

• Правомерностьобработки ПД

• Правила согласия

• Обработка спец. категорий ПД

Сферы нарушения прав субъектов ПД

• Уведомление субъекта ПД

• Право доступа к ПД

• Корректировка ПД

• Уничтожение ПД

• Перенос данных

• Ограничение обработки

• Право возражать против обработки ПД

• Принятие решений на основе авт. обработки

Нарушения при передаче данных из ЕС

Отказ в доступе к информации, ПД, в помещения/ на территорию, невыполнение предписания,ограничивающего обработку или приостанавливающего передачу ПД, невыполнение требований

*Выручка по всему миру за предшествующий финансовый год

www.pwc.ru

Рекомендуемые шаги

Сформировать детальный план действий, необходимых для приведения процессов в соответствие с требованиями GDPR:

Определить необходимые ресурсы для проведения трансформации, ответственных за трансформацию лиц, а так же осуществить приоритизацию выполнения задач и согласовать сроки выполнения со всеми заинтересованными сторонами.

Проанализировать существующие бизнес-процессы компании и потоки данных. Выявить обработку персональных данных лиц, находящихся в ЕС, проанализировать применяемые для обработки персональных данных технологии.Определить область применения GDPR.

Выявить какие процессы и системы требуют изменения для соответствия к GDPR;

Определить потенциальные риски, связанные с GDPR;

Проанализировать риски и определить их приоритетность.

Разработать общую дорожную карту по приведению деятельности Компании в соответствие с требованиями GDPR.

Проводить регулярные повторные GAP-анализы с заранее определенной периодичностью и комплексностью.

Спроектировать и реализовать внедрение организационных мер, необходимых для соответствия GDPR;

Обеспечить вовлеченность всех заинтересованных сторон в трансформацию процессов.

Применимость

1

GAP Анализ

2

Планирование

3

Исполнение

4

Поддержка

5

www.pwc.ru

Анализ применимости

Процессы и документы

• Анализ бизнес-процессов и документов на предмет наличия признаков применимости GDPR (реальной деятельности на территории ЕС, направленности деятельности на лиц, находящихся в ЕС, предложения им товаров и услуг, мониторинга их поведения, а так же признаков «совместного контроллера»).

Персонал• Интервьюирование работников, вовлеченных в бизнес-

процессы, в которых осуществляется обработка персональных данных лиц, находящихся в ЕС.

Системы

• Выявление автоматизированных систем и приложений, использующихся для обработки персональных данных;

• Выявление удаленных и «облачных» систем, используемых российскими и зарубежными представительствами компании для выявления признаков «совместного контроллера».

Данные

• Определение существующих информационных потоков и мест хранения персональных данных лиц, находящихся в ЕС.

Безопасность

• Анализ существующих процедур обеспечения безопасности с целью определения их применимости к области действия GDPR.

Третьи стороны

• Анализ договоров и соглашений между компаниями группы и третьими сторонами

Лидерство

• Вовлечение руководства компании с целью принятия оперативных решений о необходимости трансформации бизнес процессов, в случае если GDPR окажется применимым для компании.

www.pwc.ru/gdpr

Спасибо!

Дмитрий БирюковМенеджер, отдел анализа и контроля рисков, услуги в области защитыперсональных данных

Тел.: +7(495) 967-6ooo (доб.2732)[email protected]

PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические услуги компаниям разных отраслей. В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Ростове-на-Дону, Краснодаре, Воронеже, Владикавказе и Уфе работают более 2 500 специалистов. Мы используем свои знания, богатый опыт и творческийподход для разработки практических советов и решений, открывающих новые перспективы для бизнеса. Глобальная сеть фирм PwCобъединяет более 236 000 сотрудников в 158 странах.

* Под «PwC» понимается общество с ограниченной ответственностью «ПрайсвотерхаусКуперс Консультирование» или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети является самостоятельным юридическим лицом.

© Общество с ограниченной ответственностью «ПрайсвотерхаусКуперс Консультирование». 2018. Все права защищены.

Управление кибербезопасностью и киберрисками в фармацевтической индустрииВасилий ШкильСтарший менеджер, PwC

www.pwc.ru/cybersecurity

Февраль 2018

PwC

Ведение единого реестра третьих сторон и его регулярно обновление, оценка рисков и периодический аудит ваших партнеров, являются основополагающими факторами для эффективного управления рисками при работе с третьими сторонами, включая аспекты информационной безопасности. Количество сервисов, отданных на аутсорсинг третьим сторонам растет, а значит потенциально растет количество случаев нарушения систем безопасности, соответствия требованиям организации, перерывов в предоставлении сервисов.

Кибербезопасность в фармацевтической индустрии. На что обратить внимание

Управление кибербезопасностью и киберрисками в фармацевтической индустрии

Компании, которые применяют стратегический подход к управлению рисками, вооружают себя знаниями, позволяющими им принимать эффективные и обоснованные решения, предугадывать и снижать риски, использовать открывающиеся возможности, а также в целом добиваться более высоких результатов деятельности.

Злоумышленники, как правило, охотятся за наиболее ценной информацией. Чтобы защитить такую информацию, сначала нужно понять что именно необходимо защищать. Информация о формуле препарата, о технологии производства, о клинических испытания, о производственных мощностях? Определить к каких приложениях эта информация храниться и как обрабатывается и применить адекватные меры защиты.

В 56% всех кибер инцидентов были вовлечены действующие и бывшие сотрудники компаний.

Взламывается любая информационная система, необходимо лишь время. Вопрос в том, может ли Ваша организация своевременно определить факт вторжения кибер злоумышленников и сконцентрировать все силы на защите наиболее критичных систем, даже если потребуется «принести в жертву» менее критичные.

Кибер безопасность

Управление рисками ИБ

Деловые связи

Классифика-ция и защита информации

Человеческий фактор

Кибер Атаки

PwC

Процесс управления рисками кибербезопасности


Непрерывная оценка рисков

Обработка (снижение) риска

Идентификация уязвимостей, угроз и оценка рисков

Решение руководства

Идентификация информационных активов

Оценка критичности активов

6 2

35

1

4

PwC

Управление корпоративными рисками в российских компаниях


• Отсутствует системный риск-менеджмент.

• Ответственность за риски не закреплена.

• Процесс и процедуры управления рисками не регламентированы,документация практически отсутствует.

• Решения по управлению рисками принимаются «по ситуации», качество решений зависит от компетенции отдельных менеджеров на местах.

• Существуют разрозненные документы и процедуры, касающиеся управления рисками по отдельным процессам.

• Осуществляется управление отдельно взятыми рисками, например часть рисков страхуется или хеджируется.

• Ведется отчетность по отдельным рискам, по которым определена ответственность.

• Определена функция и роль службы управления рисками

• Формализованы подходы к комплексному управлению рисками.

• На регулярной основе осуществляется выявление и оценка рисков, разрабатываются и проводятся мероприятия по управлению рисками.

• Информация по наиболее важным рискам выносится на уровень Правления и Совета директоров.

• Определена ответственность за процесс управления рисками.

• Разрабатываются меры по развитию системы управления рисками.

• Определена концепция допустимогоуровня риска.

• Детальная проработка рисков по направлениям : киберриски, риски непрерывности, казначейские и т.д.

• Руководство организации задает тон и несет ответственность за риск-менеджмент.

• Осуществляется координация процесса управления рисками по всей компании.

• Развита отчетность по риск-менеджменту для всех заинтересованных сторон.

• Проводится периодическая оценка эффективности системы управления рисками.

• Определены и каскадированы допустимые уровни риска.

• Автоматизация процесса управления рисками

• Процессы управления рисками интегрированы в ключевые процессы менеджмента компании (планирование, бюджетирование, контроль,оценка деятельности и т. д.)

• Процедуры оценки рисков изменений интегрированы во все ключевые бизнес-процессы.

• Осуществляется своевременнаякоррекция планов компании с учётом информации о рисках.

• Процессы управления рисками автоматизированы.

• Наличие процедур реагирования на резкие и существенные изменения в ландшафте и уровне рисков.

• Ключевые управленческие решения принимаются с учётом допустимого уровня риска и управления рисками.

Отсутствие процесса управления рисками

Начальный уровень, есть фрагменты процесса

РазвивающийсяИзмеримый

и управляемый

Комплексная СУР, внедренная

в организации

Большинство российских компаний находятся на начальных стадиях зрелости системы управления корпоративными рисками

Управление киберрисками существует в компаниях как отдельная функция (например, выделены ресурсы, готовится отчетность), но процесс не интегрирован в основные бизнес процессы организации.

Большинство крупных российских компаний

Ведущие глобальные компании

PwC

Глобальные тренды в области киберрисков


Риски от использования новых технологий (как их понимают руководители организаций)

Прерывание производства или основного бизнес-

процесса компании

40%

Деградация качества

продукции или сервисов

32%

Порча имущества

29% 22%

Причинение вреда жизни

Потеря или компрометация

важной информации

39%

* По результатам Глобального исследования тенденций информационной безопасности PwC на 2018 год

Общие тренды риск-менеджмента

1Расширение штата и функций подразделения управления рисками

2Создание компетенций для анализа рисков в отдельных направлениях деятельности/процессах, таких как ИБ и технологии

3Автоматизация и управление рисками в режиме реального времени

Ключевые процессы, которые выявляют киберриски в бизнес системах:

42%

45%

45%

48%

Пентест

Анализ угроз

Анализ уязвимостей

Активный мониторинг и применение сведений от Threat Intelligence

PwC

Уровень зрелости информационной безопасности в компаниях фарм сектора по данным опроса. Апрель 2017.


26%

29%30%

16%

Уровень 1.

Я не знаю о существовании функции ИБ в моей компании.

Уровень 2.

Я слышал(а), что в нашей компании есть функция ИБ. Когда-то при приеме на работу я подписывался (лась), что ознакомлен (а) с положениями политики ИБ, но после того момента никогда этот документ не видел (а). Я не знаю, оценивает ли кто-то риски ИБ в нашей компании

Уровень 4.

Я лично знаком(а) с сотрудником, отвечающим за ИБ. Ни один из крупных бизнес проектов в нашей компании не начинается без участия специалиста по ИБ. Тренинги по ИБ проводятся по нескольку раз в год. Я периодически получаю информационные письма по ИБ. Ознакомление с положениями политик/процедур по ИБ происходит раз в год. У нас есть процесс оценки рисков ИБ и я (или мои коллеги) принимают в нем непосредственное участие.

Уровень 3.

Я лично знаком(а) с сотрудником, отвечающим за ИБ. У нас к компании разработаны политики и процедуры по ИБ, у нас есть процесс по ознакомлению с положениями этих политик (раз в год). У нас был тренинг на ИБ в прошлом году. Я слышал(а), что риски ИБ как-то оцениваются у нас в компании.

www.pwc.ru

PwC в России (www.pwc.ru) предоставляет услуги в области аудита и бизнес-консультирования, а также налоговые и юридические

услуги компаниям разных отраслей. В офисах PwC в Москве, Санкт-Петербурге, Екатеринбурге, Казани, Новосибирске, Ростове-на-

Дону, Краснодаре, Воронеже, Владикавказе и Уфе работают более 2 500 специалистов. Мы используем свои знания, богатый опыт и

творческий подход для разработки практических советов и решений, открывающих новые перспективы для бизнеса. Глобальная сеть

фирм PwC объединяет более 236 000 сотрудников в 158 странах.

* Под «PwC» понимается общество с ограниченной ответственностью «ПрайсвотерхаусКуперс Консультирование» или, в зависимости

от контекста, другие фирмы, входящие в глобальную сеть PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма сети

является самостоятельным юридическим лицом.

© ООО «ПрайсвотерхаусКуперс Консультирование», 2018. Все права защищены.

Василий ШкильСтарший менеджерОтдел анализа и контроля рисков, кибербезопасность

Тел.: +7 (495) [email protected]

Информационная безопасностьНужны ли границы бизнесу без границ?

Роман ЧаплыгинДиректор, PwC


Февраль 2018

PwC

Направления развития бизнеса

Информационная безопасность | Нужны ли границы бизнесу без границ?

Предвидя дальнейшее обострение конкуренции на внутреннем рынке, главы российских корпораций делают ставку на новые технологии, улучшение обслуживания клиентов и внедрение инноваций.

При этом представители фармацевтического сектора отмечают недостаток компетентных специалистов (63%), устаревшие технологии (59%) и низкую интеграцию новых и имеющихся технологий и данных (57%) в качестве основных барьеров для внедрения цифровых технологий 1 Источник: PwC, 20-й опрос руководителей крупнейших компаний мира за 2017 год

2 Источник: PwC, Всемирное исследование Digital IQ® за 2017 год

PwC

Технологии и бизнесКакое воздействие окажут технологии на конкурентную среду?


Подавляющее число российских бизнес-лидеров считают, что технологии окажут существенное воздействие на конкурентную среду в ближайшие 5 лет. Полученные данные свидетельствуют о повышении актуальности внедрения нового подхода в том числе и к построению и управлению архитектурой информационной безопасности.

Источник: PwC, 20-й опрос руководителей крупнейших компаний мира за 2017 год

Полностью изменят

Существенное воздействие

Умеренное воздействие

Никакого воздействия

В мире

В России

PwC

Технологии и бизнесКакое пользу принесут инвестиции в технологии?


Большинство респондентов из сектора здравоохранения ожидают, что их инвестиции в цифровые технологии принесут непосредственную финансовую выгоду

Это отражает растущее всеобщее ожидание быстрого возврата от инвестиций в ИТ и как следствие фокус на это направление, нежели вклад в долгосрочные проекты связанные с инновациями, талантами и укреплением бренда.


57 % Увеличение выручки

14 % Улучшение удовлетворенности клиентов

11 % Увеличение прибыли

6 % Снижение расходов / Оптимизация затрат

3 % Создание инновационных продуктов

PwC

Основные направления и риски цифровой трансформации бизнеса


PwC

Технологические мега трендыДинамика инвестиций


Интернет вещей

Искусственный интеллект

Роботы

3D-принтеры

Дополненная реальность

Виртуальная реальность

Дроны

Блокчейн

63%

54 %

63%

15%

31%

12%

17%

10%

24%

7%

15%

5%

14%

3%

11%

73%

В мире

Сегодня

Через три года

59%

39%

74%

12%

29%

15%

29%

15%

12%

9 %

6%

12%

12 %

3%

24%

65 %

В России

Сегодня

Через три года

Источник: PwC, Всемирное исследование Digital IQ® за 2017 год

Индустрия здравоохранения преимущественно нацелена на инвестиции в:

• Искусственный интеллект (74%)

• Интернет вещей (70%)

• Роботы (34%)

• 3D - принтеры (29%)

PwC

Риски цифровой трансформации бизнеса


Две трети отечественных руководителей компаний (67%) констатируют: в условиях активного внедрения цифровых технологий бизнесу сложнее завоевать и сохранить доверие к себе, 83% согласны с тем, что взлом систем кибербезопасности негативно скажется на доверии к бизнесу, а три четверти усматривают эту угрозу в использовании социальных сетей.


PwC

Современные архитектурные модели ИБ


PwC

Современные архитектурные модели ИБСравнение архитектур информационной безопасности


Классическая архитектура Borderless enterprise IT-security

Общее описание Периметр корпоративной сети четко определен.Используются преимущественно собственные программные и аппаратные ресурсы.

Отсутствие явного периметра и границ корпоративной сети.Использование облачных ресурсов и сервисов.Меры безопасности и контроля передвинуты вплотную к данным.

Область применения

Компании, в которых сотрудники преимущественно размещены на корпоративных площадях, например в офисных зданиях.

Компании, использующие мобильных и работающих удаленно сотрудников без какой-либо территориальной привязанности.

Предоставлениедоступа

Предоставление доступа в сеть только доверенным устройствам, преимущественно находящимся в рамках периметра.

Предоставление доступа к корпоративным данным на основе учетных данных пользователя. Не связано с типом устройства и месторасположением пользователя.

Безопасность Основное внимание уделяется защите периметра и обеспечению доверительных отношений между устройствами внутри корпоративной сети.

Повышенная защита любых конечных узлов и централизованных сервисов, а также подключений между ними.Фокус на безопасности данных.

PwC

Структурирование активов IT-security


ПриложенияApplication

security scanningSource code

securityWeb application firewall (WAF)

Activity monitoring

Data Diode(unidirectional

network)

КонтентMalware

& APT preventionEmail

encryptionData Loss

Prevention (DLP)Web

filteringEmail

filteringActivity

monitoring

СерверыMalware

& APT prevention

Data Loss Prevention

(DLP)

Malwaresecurity analytics

Host FW & HIPS

Activity monitoring

Integrity monitoring

White Listening

Конечные устройства

Malware & APT prevention

Endpoint encryption

Data Loss Prevention (DLP)

Endpoint visibility & malware analytics

Host FW & HIPS

Activity monitoring

Базы данныхDatabase

activity monitoringDatabase

encryption

Мобильные устройства

Malware & APT prevention

Mobile device management

Secure storage

Сетевая инфраструктура

Network Access Control

Network layer encryption

Enterprise FirewallRemote Access

IDS/IPS Anti-DDoSWiFi

monitoringNetwork traffic

monitoring

Облачная инфраструктура

Cloud Security Gateway / API

Gateway

Общие сервисы

Identity and Access Management

Strong authentication

Privileged Access Management

Asset management

Incident handling

PKI/Certificate management

Infrastructure vulnerability assessment/

scanning

Vulnerability management

Threat Intelligence

SIEMUser behavior

analyticsGRC

Data discovery & classification

Enterprise rights management

Forensic SDLC

Основной рубеж безопасности 2 рубеж безопасности Рекомендуемые решения

PwC

Top-5 шагов к «бизнесу без границ»


PwC

Top-5 шагов к «бизнесу без границ»


Top-5

Трансформировать культуру и сформировать необходимые модели поведения персонала.

2

Определить целевую ИТ и ИБ архитектуру и поэтапный план

перехода

4

Верифицировать и структурировать по критичности данные

и средства их обработки и защиты

5Обеспечить непрерывное

развитие и обучение

1Определить свою

концепцию современной бизнес модели

3











Join usCyberSecurity Clubon Facebookhttps://www.facebook.com/cyberpwc/

Роман ЧаплыгинPwC, Директор, Отдел анализа и контроля рисков, информационная безопасность и непрерывность бизнесаMob.: +7 (903) 272 1620E-mail: [email protected]

Режим коммерческой тайны:

Вишенка на торте или второй замок на киберсейфе?

www.pwclegal.ru

6 февраля 2018 г.

Утечки информации в фармацевтике

Режим коммерческой тайны: вишенка на торте или второй замок на киберсейфе?

2010 год

Арест в США сотрудника Bristol-Myers Squibb по подозрению в краже секретов с целью создания своего фармбизнеса в Индии.

2011год

Сотрудница Sanofi в 2008-2011 годах скачала информацию о химических соединениях из базы данных Sanofi, а в 2011 году разместила её для продажи на сайте своей компании.

2016год

В США предъявлены обвинения в попытке кражи коммерческой тайны в сфере разработки биопрепаратов пятерым подозреваемым, двое из которых работали в исследовательском центре GlaxoSmithKline, а трое открыли фармкомпанию в Китае для перепродажи украденных секретов.

2018год

Исполнительный директор канадской компании Apotex ушел в отставку на фоне обвинений в краже коммерческих секретов Teva.

Зачем вводить режим коммерческой тайны?

PwC Legal


Режим коммерческой тайны запускает юридические механизмы защиты

Дисциплинарная и материальная ответственность работников

• Увольнение за разглашение коммерческой тайны (ст. 81 Трудового Кодекса РФ);

• Возмещение работником ущерба от разглашения коммерческой тайны (ст. 238 и 243 Трудового Кодекса РФ и ст. 11 Федерального закона «О коммерческой тайне»);

• Возмещение руководителем причиненных виновными действиями убытков (статья 277 Трудового кодекса РФ, п.7. ст.11 Федерального закона «О коммерческой тайне»)

Гражданско-правовая ответственность

Возмещение причинённых убытков в полном объёме

контрагентами и иными лицами

Уголовная ответственность

Штраф до 1 500 000 рублей или в размере зарплаты за период до 3-х лет, принудительные работы до 5 лет или лишение свободы до 7 лет – за незаконное разглашение или использование сведений, составляющих коммерческую тайну (cтатья 183 Уголовного Кодекса РФ)

Административная ответственность

Штраф для граждан до 1000 рублей и для должностных лиц до 5000 рублей за разглашение информации, полученной в связи с исполнением служебных или профессиональных обязанностей (ст.13.14 Кодекса об административных правонарушениях)

Для чего режим коммерческой тайны нужен фармацевтическим компаниям в России?

PwC Legal


1 2 3 4

Защита собственных разработок и коммерческой информации

Защита тайны, передаваемой контрагентам и получаемой от контрагентов

Закрепление статуса полученного или предоставляемого ноу-хау

Защита информации, передаваемой госорганам

Нужно ли защищать информацию, передаваемую в Минздрав?

PwC Legal


Документы, передаваемые в Минздрав для регистрации лекарственного препарата и формирования регистрационного досье:

• документы, содержащие информацию о фармацевтической субстанции и лекарственном препарате, процессе его производства и методах контроля качества;

• отчеты о результатах доклинических исследований лекарственного средства.

Может ли постороннее лицо получить доступ к информации в Минздраве?

PwC Legal


1. Федеральный закон от 09.02.2009 № 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления»

• государственный орган обязан предоставить запрашиваемую информацию о его деятельности, за исключением информации ограниченного доступа;

• информация о деятельности – информация, созданная государственным органом либо поступившая в него;

• доступ к информации ограничивается, если она отнесена в установленном федеральным законом порядке к сведениям, составляющим государственную или иную охраняемую законом тайну.

2. Не допускается использование без согласия заявителя в коммерческих целях информации доклинических и клинических исследований, представленной для регистрации лекарства, в течение шести лет с даты регистрации референтного лекарства в РФ (п.18 ст.18 Федерального закона «Об обращении лекарственных средств»).

Меры кибербезопасности неэффективны, если не работает режим коммерческой тайны

PwC Legal


• Компания потребовала возмещения убытков от потери клиентов от бывшего работника, который имел доступ к базе данных клиентов, а затем стал сотрудничать с ними как индивидуальный предприниматель. В иске отказано, так как компания не доказала принятие в отношении клиентской базы мер по охране конфиденциальности информации, предусмотренных Федеральным законом «О коммерческой тайне» (Постановление ФАС Поволжского округа от 10 июля 2012 г. по делу № А57-11021/2011)

• Сотрудник работал в группе разработки фронт-офисных систем по автострахованию и был уволен за создание информационных систем для конкурентов с использованием В2В системы. Увольнение признано незаконным, т.к. работодатель не смог доказать, что В2В система содержит коммерческую тайну и в отношении неё приняты меры защиты информации, предусмотренные Федеральным законом «О коммерческой тайне» (Определение Московского городского суда от 12.08.2011 по делу № 33-2311)

Меры кибербезопасности неэффективны, если не работает режим коммерческой тайны

PwC Legal


• Компания требовала запретить бывшим работникам использовать сведения, составляющие коммерческую тайну (технические задания на ОКР и НИР, конструкторскую документацию, акты и протоколы испытаний изделий, сведения по работе научно-технического совета предприятия и др.), которые содержались в папке на её сервере.

В иске отказано, поскольку компания не доказала, что в этой папке находились относящиеся к коммерческой тайне сведения и не предоставила доказательств учёта имевших доступ к серверу лиц, а также идентификации информации на сервере в качестве коммерческой тайны (Апелляционное определение Санкт-Петербургского городского суда от 14.04.2015 № 33-6578/2015 по делу № 2-450/2015)

Невыполнение формальных требований не позволит применить ответственность

PwC Legal


• Увольнение за копирование содержащих коммерческую тайну документов незаконно, поскольку на них не было грифа «коммерческая тайна» (Апелляционное определение Самарского областного суда от 01.04.2015 по делу № 33-3459/2015)

• Компании отказано в иске к бывшему работнику о возмещении убытков от разглашения секрета производства - чертежей пароконденсатных систем - поскольку они не имеют грифа «коммерческая тайна» и передавались контрагентам компании без такого грифа (Апелляционное определение Санкт-Петербургского городского суда от 27.09.2016 № 33-17808/2016)

• Грифы «конфиденциально» или «интеллектуальная собственность компании Х» недостаточны и не свидетельствуют о введении режима коммерческой тайны (Апелляционное определение Санкт-Петербургского городского суда от 10.06.2015 № 33-8963/2015 по делу № 2-493/2015, Постановление Суда по интеллектуальным правам от 16.11.2017 года по делу № А33-28905/2016)

• Увольнение незаконно, т.к. работодатель не доказал, что отправленной работником на внешний электронный адрес информации был присвоен гриф «коммерческая тайна» (Апелляционное определение Свердловского областного суда от 11.03.2016 по делу № 33-3646/2016)

Что необходимо сделать?

PwC Legal


Включить условия о неразглашении в трудовые и гражданско-правовые договоры

Определить перечень информации, составляющей коммерческую тайну

Гриф «Коммерческая тайна» в документах и на материальных носителях

Ограничить доступ к информации и контролировать соблюдение ограничений

Ознакомить работников под роспись с режимом коммерческой тайны, перечнем составляющей коммерческую тайну информации и мерами ответственности

Создать условия для соблюдения работниками режима коммерческой тайны

Вести учёт лиц, получающих доступ к информации

При передаче информации в государственные органы указывать на её охрану в режиме коммерческой тайны

1

2

3

4

5

6

7

8

Чем мы можем помочь?

PwC Legal


Подготовка Внедрение

Помощь во введении режима коммерческой тайны

Проверка соблюдения режима коммерческой тайны и достаточности принятых мер

Расследование инцидентов и утечек

Привлечение к ответственности и возмещение убытков

Аудит РасследованияНаказание и компенсации

Разработка документов, необходимых для введения режима коммерческой тайны

www.pwclegal.ru

PwC Legal

успешной работы в России

Цель данной презентации – дать общее представление о рассматриваемых в нём вопросах, презентация не является профессиональной консультацией. Не следует предпринимать каких-либо

действий на основании информации, содержащейся в этой презентации, без предварительного обращения к профессиональным консультантам. В отношении точности или полноты информации,

содержащейся в настоящей презентации, не дается никаких заверений или ручательств (явно выраженных или подразумеваемых), и в той степени, в какой это допустимо законодательством,

фирма PwC, её участники, сотрудники и представители не берут на себя никакой ответственности и снимают с себя всякую ответственность за последствия ваших или чьих бы то ни было действий

или бездействия исходя из достоверности содержащейся в настоящей презентации информации и за любое основывающееся на ней решение.

PwC Legal (www.pwclegal.ru) – международная юридическая фирма, объединяющая более 2 500 юристов в 85 странах мира. В российских офисах фирмы – в Москве и Санкт-Петербурге –

работают более 80 квалифицированных юристов, прошедших обучение в России и за рубежом. PwC Legal в России рекомендована ведущими рейтингами: Legal 500, Chambers&Partners, Best

Lawyers International, «Право.Ru» и «Коммерсант».

© 2017 Общество с ограниченной ответственностью «ПрайсвотерхаусКуперс Юридические Услуги». Все права защищены. Под «PwC» понимается Общество с ограниченной ответственностью

«ПрайсвотерхаусКуперс Юридические Услуги» или, в зависимости от контекста, другие фирмы, входящие в глобальную сеть PricewaterhouseCoopers International Limited (PwCIL). Каждая фирма

сети является самостоятельным юридическим лицом.

Евгений ГукРуководитель практики по интеллектуальной собственности, технологиям и защите данных

+7 (495) 967-6000, доб. [email protected]

20лет

Предотвращение киберугроз с помощью центров мониторинга информационной безопасности (SOC)

Михаил КурзинСтарший менеджер, PwC


Февраль 2018

PwC

Инциденты ИБ влияют на бизнес


Общий объем потерь в мире от этих кибератак составил

более $1 млрд.

В 2017 году вирусы ‘WannaCry’ и ‘Petya’ поразили более 200 000 организаций в 150+ странах мира

12 мая была нарушена работа 34% медицинских учреждений, входящих в сеть UK National Health Service (NHS)

27 июня в одной из крупнейшей международной фармацевтической компании кибератака парализовала производство, R&D центр и продажи

PwC

Количество значимых инцидентов ИБ (%)

Статистика опроса GSISS PwC 2018по фармацевтической индустрии


15

14,2

22,8

14,2

17,3

16,5

Нет информации

0

от 1 до 2

от 3 до 9

от 10 до 49

от 50 и более компаний понесли финансовые потери по итогам инцидентов ИБ в размере более 100,000$

32%

из опрошенных компаний не смогли определить источник инцидента ИБ

17%

PwC

Что такое SOC?


Центр Мониторинга

ИБ

Forensics

Защита ПК

Защита ИС

SIEM

Процессы ИБ и ИТ

Compliance

Защита данных

Awareness

Источники репутации

Инциденты ИБ

!

Непрерывное выявление

кибератак и инцидентов ИБ

это выделенное структурное подразделение, которое с помощью набора технологий, процессов и обученного персонала осуществляет мониторинг и реагирование на инциденты информационной безопасности.

Упреждающая реакция на новые

уязвимости и угрозы ИБ

Быстрое устранение

последствий инцидентов ИБ

Центр мониторинга информационной безопасности (SOC) –

Основные задачи SOC:

PwC

Для чего нужен SOC?

Компания подвергласькибератаке

Обнаружили и отразили кибератаку

c SOC

Обнаружили кибератаку

без SOC

Минимизация негативного воздействия на ИТ-инфраструктуру и информационные активы


PwC

Основные причины создания SOC


Ожидается, что рост потерь компаний и граждан от киберпреступлений в ближайшие два года вырастет в четыре раза по сравнению с прошлыми периодами, при сохранении текущей динамики.

Рост угроз ИБ

Сложность ИТ-инфраструк-

туры

Автоматизация бизнес-

процессов

Переход на аутсорсинг

ИТ

Повышение эффективности

инвестиций в ИБ

Требования регуляторов и

стандартов

Наличие большой, сложной и разнотипной ИТ инфраструктуры требует дополнительных усилий по ее контролю. Современный SOC позволяет организовать централизованный мониторинг инцидентов ИБ из единой точки.

Рост автоматизации бизнес-процессов приводит к возникновению новых рисков ИБ. Создание современного центра мониторинга позволяет снизить риски потерь к минимуму.

Современный SOC позволяет наиболее эффективно использовать имеющиеся

ресурсы в компаниях с распределенной географией для координации действий при

инцидентах ИБ, а также сократить время реагирования на инциденты ИБ.

Увеличение доли внутренних ИТ-систем, передаваемых на аутсорсинг и внешние

технические поддержки, приводит к необходимости наличия современных

средств по их контролю.

Согласно 187-ФЗ «О безопасности критической информационной инфраструктуры РФ» требуется создание корпоративного центра

ГосСОПКА и современный SOC является основой для выполнения данных требований.

PwC

Функции современного SOC (модель PwC)


TVM Security Strategy & Planning

Threat and Vulnerability Evaluation

ОбеспечениеИБ

24x7

1-Реагирование на инциденты ИБ

4-Защита бренда

Мониторинг инсайдерских угроз

Внутренние расследования

Выявление мошеннических действий

Криминалистическая экспертиза

Сканирование на уязвимости

Тестирование на проникновение

Контроль соответствия стандартам

Защита внешнего сетевого периметра

Анализ внешних источников угроз

Подготовка аналитических отчетов

Обогащение средств защиты внешними данными

Администрирование средств защиты

Координация принимаемых контрмер

Управление изменениями и гибкая настройка

Мониторинг неправомерного использования бренда

Анализ фишинговых

атак

Внешние контрмеры

Анализ вирусов и зловредного ПО

Анализ внешних

вторженийРеагирование и сдерживание

PwC

А нужен ли моей компании SOC?


Опрошенных фармацевтических компаний в мире обладают собственными SOC

PwC GSISS 2018

55%

Подвергалась ли моя компания серьезной кибератаке в последнее время?

Можно ли повысить эффективность ИБ за счет централизации этой функции?

Может ли повышение кибербезопасности дать конкурентное преимущество?

1

2

3

PwC

Наши услуги по направлению SOC

• Анализ используемых средств мониторинга и других систем ИТ-безопасности

• Анализ бизнес-требований, связанных с мониторингом ИТ-безопасности

• Разработка требований к SIEM и SOC

• Создание стратегии и «дорожной карты» внедрения SOC

• Определение оргструктуры• Оценка/ выбор поставщиков SIEM-

систем• Проектирование архитектуры SIEM-

систем

• Внедрение под ключ систем SIEM и Log management

• Разработка сценариев атак (Use Case) и интеграция с источниками событий

• Контроль работы интеграторов и оценка качества на этапе внедрения

• Внедрение процессов SOC– Операционные – Аналитические– Технологические– Поддерживающие

• Подбор и обучение специалистов SOC

• Оценка зрелости существующего SOC• Оценка сценариев атак (Use Case) • Расширение списка контролируемых систем • Сравнение с подобными организациями в мире• Внедрение метрик и KPI SOC

Наши услуги

Анализ и подготовка требований

Внедрение технических решений

Повышение эффективности

Выстраивание процессов

Подготовка Стратегии и архитек-туры












Михаил КурзинСтарший менеджерОтдел анализа и контроля рисков, кибербезопасность

+7 (495) [email protected]

Антикризисные коммуникации

Наталья БарановаФинансовый директор ИНВИТРО

Москва 2018

Invitro vs. Petya


Главный принцип антикризисной политики – она обязательно должна быть

• В Инвитро определен список потенциальных кризисных ситуаций и есть антикризисная политика

• Система риск-менеджмента в компании включает в себя антикризисные ситуации

• Каждый солдат знает свой маневр»

• Когда пришел Petya мы знали что делать


Мгновенная Реакция.

• 14:15 – Совершена кибер-атака

• 15:30 – Собранная информация позволяет адекватно оценить масштабы хакерской атаки. Создан антикризисный штаб. Даны необходимые поручения департаментам и службам Компании в пяти странах

• 16:30 – Опубликован пост в на официальных страницах в социальных сетях, разослан пресс-релиз, опубликована позиция в разделе Пресс-центр на сайте

• 16:40 – Все партнёры и франчайзи оповещены о ситуации


Режим работы 24/7

• За острую фазу кризиса (28 июня- 5 июля) сотрудники компании во всех регионах работали посменно.

• В лабораторные комплексы добровольно приходили сотрудники для помощи в обработке биоматериала


Кризис на время – репутация навсегда

• Медицинские офисы продолжали работать и во время приостановки приема биоматериала – сотрудники работали с обращениями, жалобами и претензиями

• Сотрудники были проинструктированы по возможностям и порядку возврата денежных средств и компенсаций

• Были включены все возможные канали информирования корпоративных клиентов, франчайзи, партнеров, врачебного сообщества

• По итогам кризиса запущена коммуникационная компания «Спасибо, что вы с нами», включающая специальные предложения для клиентов.


Завершаем кризис

• Итогом антикризисной компании стала программа «Спасибо, что вы с нами»:

• Лендинг с информацией о поощрении клиентов, обращавшихся в ИНВИТРО в кризисный период

• Реклама на уличных рекламных носителях с акцентом на лендинг «Спасибо»

• Рассылка с информацией о спецпредложениях


Спасибо за внимание и будьте здоровы!

3

Управление киберрисками в …PwC Thank you! Tim Clough Partner Risk Assurance...

Documents

Transcript of Управление киберрисками в …PwC Thank you! Tim Clough Partner Risk Assurance...