А тим часом на Заході

У Штатах проводять перевірки на кібербезпеку не для того, щоб оштрафувати (хоча і не без того), а щоб скласти рекомендаційний огляд, де вказати усе, на що слід звернути увагу об’єктам регуляції та інвесторам для підвищення власної безпеки.
Ще раз, повільно: регулятор провів перевірки, а потім склав огляд (без назв компаній) та вивалив у паблік набір рекомендацій як об’єктам регуляції уникнути кібер-ризиків. Не розіслав фельд’єгерською поштою зі збройною охороною під грифом «ДСК», навіть не продав через мережу «ліцензіатів», а просто опублікував.
У нас навіть над-секторальний загально-національний міжгалактичний CERT-UA не спроможний на щось подібне, а «у них» лише один регулятор лише однієї галузі таке чудить.

Дуже стисло про що звіт:
1) адміністрування та управління ризиками (governance and risk management);
2) права доступу та контроль (access rights and controls);
3) запобігання втратам даних (data loss prevention);
4) мобільна безпека (mobile security);
5) реагування на інциденти та відновлювальноздатність (incident response and resiliency);
6) управління постачальниками (incident response and resiliency);
7) навчання та обізнаність (training and awareness).

Ех, нам так не жити.

P.S.: Дякую Олексю Мервінському (чомусь не тегається) за фанатичну наполегливість у постійному моніторингу світових новин щодо захисту персональних даних. На цей допис надихнуло оце: https://tinyurl.com/vphstxc

P.P.S.: термін «відновлювальноздатність» придумав я (а може, і ще хтось додумався), як найкращий, як на мене, варіант перекладу resilience/resiliency.

https://www.sec.gov/report/ocie-cybersecurity-resiliency-observations?fbclid=IwAR0SYEw0kKHUip3G74gJtFLNw2EyxlkZvTCljDDe1YwUVIvGZ3dg5maM-OE&fbclid=IwAR2PzHoWIvn9o3-7kd8Da7UDAHeiGWI0gOFVgRuRYP3InY974TF0Nac9mg0