Зростання кіберзагроз і посилення регуляторних вимог, як-от NIS2, змушують організації переглядати підходи до захисту електронних даних. Електронний документообіг, що є основою будь-якого підприємства чи державної установи, стає однією з найвразливіших точок, якщо не інтегрований із сучасними стандартами кібербезпеки та технологіями.
Цього року й у наступні спостерігається зростання потреби в надійному захисті електронних даних. Впровадження нових регуляторних вимог до кібербезпеки, зокрема NIS2, безпосередньо впливає на бізнес-процеси та архітектуру інформаційних систем. Інтеграція штучного інтелекту (AI) для оптимізації та безпеки електронного документообігу стає необхідністю.
Виклики документообігу: від застарілих платформ до нових регуляторних вимог
Багато організацій, особливо в державному секторі, досі використовують застарілі системи електронного документообігу (ЕДО) або їхні гібридні форми, що не відповідають сучасним вимогам кібербезпеки. Такі системи можуть мати обмежені можливості для інтеграції, не підтримувати сучасні стандарти шифрування або не забезпечувати належного управління доступом. Наслідком є підвищений ризик витоку даних, несанкціонованого доступу та порушення цілісності інформації.
Водночас в Україні Закон №2155-VIII є базовим нормативним джерелом для кваліфікованого електронного підпису (КЕП) та електронних довірчих послуг. Цей закон пов’язує вибір засобів електронної ідентифікації для державних і публічних інформаційних систем з оцінкою ризиків і наслідків підміни ідентифікаційних даних, як зазначено в самому Законі України «Про електронну ідентифікацію та електронні довірчі послуги». Це означає, що системи ЕДО повинні не просто підтримувати КЕП, а й бути інтегровані в ширшу архітектуру управління ризиками.
NIS2 та AI: нові вимоги до кібербезпеки електронних документів
Директива NIS2 (Network and Information Systems Directive 2) є регуляторним актом, що посилює вимоги до кібербезпеки для операторів критичної інфраструктури та важливих суб’єктів у Європейському Союзі. Хоча Україна ще не імплементувала NIS2 у повному обсязі, її принципи вже є орієнтиром для побудови стійких систем. NIS2 вимагає від організацій впровадження комплексних заходів безпеки, включно з управлінням ризиками, реагуванням на інциденти, забезпеченням безперервності бізнесу та безпекою ланцюгів постачання. Для електронного документообігу це означає необхідність забезпечити захист документів на всіх етапах їхнього життєвого циклу: від створення та зберігання до передачі та архівування.
Американська агенція CISA (Cybersecurity and Infrastructure Security Agency) описує Cross-Sector Cybersecurity Performance Goals (CPG) як базові практики кібербезпеки для критичної інфраструктури. Згідно з їхнім звітом, CPG позиціонується як бенчмарк для операторів критичної інфраструктури для оцінки та підвищення їхньої кіберзрілості. Ці цілі корелюють з вимогами NIS2 і надають практичні рекомендації для зміцнення захисту ЕДО.
Штучний інтелект відіграє дедалі більшу роль у підвищенні безпеки та ефективності ЕДО. Системи інтелектуальної обробки документів (IDP) на базі AI дозволяють автоматизувати вилучення даних, класифікацію та маршрутизацію документів, зменшуючи людський фактор і підвищуючи точність. Розумний пошук, керований AI, забезпечує швидкий доступ до потрібної інформації, тоді як AI-моделі можуть виявляти аномалії в поведінці користувачів або документах, сигналізуючи про потенційні загрози. Галузевий тренд, за даними Gartner, показує, що до 2028 року більшість підприємств використовуватимуть AI-платформи для безпеки.
Для AI у критичній інфраструктурі NIST у своєму Artificial Intelligence Risk Management Framework (AI RMF 1.0) підкреслює потребу оцінювати контекст використання, шкоду, надійність, безпеку й підзвітність, а не тільки точність моделі. NIST AI RMF 1.0 структурує управління AI-ризиками навколо функцій Govern, Map, Measure і Manage. Це означає, що впровадження AI в ЕДО має супроводжуватися чіткими політиками управління ризиками та відповідальністю.
Типова помилка: ризики монолітної заміни ECM-систем
Однією з поширених помилок при модернізації ЕДО є спроба монолітної заміни наявної ECM-системи (системи управління корпоративним контентом) на нову. Такий підхід часто призводить до тривалих проєктів, високих витрат, порушення бізнес-процесів і втрати даних. Особливо це стосується великих організацій з багаторічною історією документообігу та значним обсягом архівних даних. Монолітна міграція може створити технологічну залежність від одного постачальника, що суперечить принципам гнучкості та стійкості, які пропагує NIS2.
Натомість рекомендовано застосовувати стратегію поетапної міграції (phased migration). Це дозволяє поступово переводити функціонал та дані, мінімізуючи ризики та забезпечуючи безперервність роботи. Такий підхід дає можливість інтегрувати нові рішення, як-от Scriptum.DMS (система управління документами від InBase), з наявними системами, зберігаючи доступ до історичних даних і поступово модернізуючи архітектуру.
Архітектурний приклад: цифровізація центрального органу виконавчої влади з урахуванням NIS2 та AI
Розглянемо типовий сценарій модернізації ЕДО для центрального органу виконавчої влади. Метою є не лише цифровізація, а й забезпечення відповідності вимогам кібербезпеки NIS2 та використання потенціалу AI.
В основі архітектури лежить сучасна система ЕДО, як-от Scriptum.DMS, що забезпечує юридично значущий документообіг з використанням КЕП. Ця система інтегрується з державними сервісами, наприклад, через API до підсистеми «Електронний суд». Як зазначається на порталі «Електронний суд», ця підсистема працює через електронний кабінет і використовує електронну ідентифікацію та підпис для юридично значущих дій. Така інтеграція дозволяє обмінюватися документами з судовими органами в електронному вигляді, забезпечуючи їхню юридичну силу та конфіденційність.
Для підвищення рівня захисту та ефективності архітектура включає модулі AI. Наприклад, модуль IDP (інтелектуальна обробка документів) на базі AI автоматизує розпізнавання та класифікацію вхідних документів, вилучаючи ключові дані та направляючи їх за відповідними маршрутами погодження. Це зменшує час обробки та мінімізує помилки. AI також може використовуватися для розумного пошуку в архіві документів, дозволяючи швидко знаходити потрібну інформацію за змістом, а не лише за метаданими.
Кібербезпека забезпечується на кількох рівнях: впровадження політик управління доступом на основі ролей (RBAC), шифрування даних у стані спокою та під час передачі, моніторинг активності користувачів і виявлення аномалій за допомогою AI-інструментів. Усі ці заходи відповідають принципам NIS2, забезпечуючи стійкість системи до кібератак та швидке реагування на інциденти.
Scriptum.DMS, як частина екосистеми InBase, розроблений з урахуванням сучасних вимог до кібербезпеки та інтеграції. Система підтримує використання КЕП, забезпечує версіонування документів та гнучке управління маршрутами погодження. Це дозволяє організаціям створювати уніфікований документообіг, який відповідає юридичним вимогам та внутрішнім регламентам.
Архітектура Scriptum.DMS є відкритою та дозволяє інтеграцію з різними державними сервісами та іншими корпоративними системами (ERP, CRM) через стандартизовані API. Це критично важливо для уникнення технологічної залежності та забезпечення гнучкості в умовах постійних змін регуляторного середовища та технологій. Інтеграція з еСуд є типовим сценарієм для державних установ, що забезпечує безперешкодний обмін юридично значущими документами.
InBase також впроваджує AI-рішення для підвищення ефективності та безпеки ЕДО. Це включає модулі IDP для автоматичної обробки документів, системи розумного пошуку та аналізу даних, що допомагають виявляти потенційні ризики та оптимізувати бізнес-процеси. Такий підхід дозволяє досягти нового рівня захисту даних та ефективності бізнес-процесів, особливо в державному секторі, де вимоги до безпеки та прозорості є найвищими.
Чекліст готовності до впровадження захищеного ЕДО
- Проведено оцінку ризиків для електронних даних згідно з вимогами NIS2 (або аналогічними стандартами).
- Визначено конкретні AI-функції (IDP, класифікація, розумний пошук) для оптимізації документообігу.
- Існує план поетапної міграції (phased migration) з наявної ECM-системи.
- Передбачено інтеграцію з державними сервісами (через API, КЕП).
- Розроблено політику управління AI-ризиками, що включає підзвітність та безпеку, відповідно до NIST AI RMF.
- Забезпечено механізми для юридично значущих дій з електронними документами (використання КЕП).