Вызов консультанта
Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Закон о кибербезопасности и стратегия кибербезопасности Украины
Анатолий Грабовый, адвокат, старший юрист, GOLAW

26 мая 2017 года наши парламентарии отправили на повторное второе чтение законопроект № 2126а "Об основных принципах обеспечения кибербезопасности Украины".

Проанализировав поданный законопроект, можно согласиться с тем, что вопросы обеспечения кибербезопасности чрезвычайно актуальны для Украины, а меры по противодействию вызовам и угрозам в указанной сфере находятся на начальном этапе и не имеют комплексного характера.

В полной мере мы все смогли это ощутить ровно через месяц – 27 июня 2017 года, в день, ставший "черным вторником" для кибербезопасности нашей страны.

В течение одного дня компьютерный вирус "Ransom:Win32/Petya" атаковал частный и государственный секторы экономики Украины, в частности банки, аэропорты, государственную железнодорожную компанию, телекомпании, телекоммуникационные компании, крупные сетевые супермаркеты, энергетические компании, государственные фискальные службы, органы государственной власти и местного самоуправления и т. п.

Вирусом были поражены также частные и государственные субъекты других государств, но специалисты в этой области сходятся в том, что больше всего пострадала Украина.

Наше государство оказалось не в состоянии противостоять такой атаке, которая, в свою очередь, проявила незащищенность жизненно важных интересов человека и гражданина, общества и государства при использовании киберпространства и отсутствие возможности своевременного выявления, предупреждения и нейтрализации реальных и потенциальных угроз национальной безопасности в киберпространстве.

Но сможет ли внедрение законодательного регулирования вопроса кибербезопасности, в контексте предложенного законопроекта, в дальнейшем защитить наше киберпространство и предотвратить массовые кибератаки – это еще остается под вопросом.

Попробуем рассмотреть текущую версию законопроекта, его положительные моменты и проблемы, а также возможное его улучшение, опираясь на международный опыт.

Текущая версия законопроекта вводит важные базовые понятия в области киберзащиты и кибербезопасности и определяет права и обязанности государственных органов относительно кибербезопасности.

Но анализ текста законопроекта свидетельствует о том, что много положений имеют декларативный характер, он перегружен положениями, в которых речь идет о намерениях, принципах, что неприсуще для закона.

Более того, проект дублирует положения Стратегии кибербезопасности Украины, утвержденной Указом Президента Украины от 15 марта 2016 года № 96.

Даже по мнению Главного юридического управления Верховной Рады Украины, необходимо доработать понятийный аппарат законопроекта, поскольку введение в правовое поле новой терминологии должно осуществляться комплексно и согласовываться с уже существующей. Действительно, предложенные определения терминов слишком сложные, поскольку их формулировка осуществляется с помощью слов, выражений и терминов, значение которых не более понятно или известно, чем сам термин.

Субъекты кибербезопасности

Обеспечивать безопасность в киберпространстве в соответствии со статьей 5 законопроекта будет сам гарант Конституции через возглавляемый им Совет национальной безопасности и обороны Украины; Национальный координационный центр кибербезопасности как рабочий орган Совета национальной безопасности и обороны Украины; Кабинет Министров Украины и министерства; центральные органы исполнительной власти; местные государственные администрации; органы местного самоуправления; правоохранительные, разведывательные и контрразведывательные органы, субъекты оперативно-розыскной деятельности; Вооруженные Силы Украины, прочие военные формирования; Национальный банк Украины; предприятия, учреждения и организации, отнесенные к объектам критической инфраструктуры; субъекты хозяйствования, граждане Украины и объединения граждан, другие лица, осуществляющие деятельность или предоставляющие услуги, связанные с национальными информационными ресурсами, информационными электронными услугами, осуществлением электронных сделок, электронными коммуникациями, защитой информации и киберзащитой, авторизованными электронными площадками.

Законопроектом будет установлено, что основными субъектами национальной системы кибербезопасности являются Государственная служба специальной связи и защиты информации Украины, Национальная полиция Украины, Служба безопасности Украины, Министерство обороны Украины и Генеральный штаб Вооруженных Сил Украины, разведывательные органы, Национальный банк Украины.

Инициаторы законопроекта определили, что субъекты обеспечения кибербезопасности в пределах своей компетенции осуществляют меры по предупреждению использования киберпространства в военных, разведывательно-подрывных, террористических и других противоправных и преступных целях, выявление и реагирование на киберинциденты и кибератаки, устранение их последствий; осуществляют информационный обмен относительно реализованных та потенциальных киберугроз; разрабатывают и реализуют предупредительные, организационные, образовательные и другие меры в сфере кибербезопасности, киберобороны и киберзащиты; обеспечивают проведение аудита информационной безопасности, в том числе на подчиненных объектах и объектах, относящихся к сфере их управления; осуществляют прочие меры по обеспечению развития и безопасности киберпространства.

Полномочия по киберзащите

Что касается определения функций и полномочий органов государственной власти в сфере киберзащиты, инициаторы законопроекта предлагают следующее распределение:

– Государственная служба специальной связи и защиты информации Украины будет обеспечивать киберзащиту объектов критической информационной инфраструктуры; координировать деятельность других субъектов кибербезопасности; обеспечивать создание и функционирование национальной телекоммуникационной сети; предотвращать, выявлять и реагировать на киберинциденты и кибератаки и устранять их последствия; информировать о киберугрозах и методах защиты от них; обеспечивать аудит информационной безопасности на объектах критической инфраструктуры, устанавливать требования к аудиторам информационной безопасности, определять порядок их аттестации и переаттестации. За Госспецсвязи остается контроль соблюдения законодательства в сфере защиты информации, проведение государственной инспекции в этой сфере в соответствии с Законом о защите информации в информационно-телекоммуникационных системах, действующим на сегодняшний день. Указанный законопроект также предусматривает создание Государственного центра киберзащиты.

– Подчиненная Госспецсвязи Правительственная команда реагирования на компьютерные чрезвычайные события Украины CERT-UA будет осуществлять анализ данных о киберинцидентах и вести их реестр; помогать предупреждать, выявлять и устранять последствия киберинцидентов; организовывать и проводить семинары по киберзащите; готовить и размещать на своем веб-сайте рекомендации по противодействию кибератакам и киберугрозам; обрабатывать информацию о киберинцидентах; способствовать государственным органам, органам местного самоуправления, военным формированиям, предприятиям, учреждениям и организациям, независимо от формы собственности, а также гражданам Украины в решении вопросов киберзащиты и противодействия киберугрозам. Для этих целей, как планирует законодатель, CERT-UA будет взаимодействовать с правоохранительными органами, своевременно информируя их о кибератаках; с иностранными и международными организациями по вопросам реагирования на киберинциденты; с украинскими командами реагирования на компьютерные чрезвычайные события, а также другими субъектами, независимо от формы собственности, осуществляющими деятельность по обеспечению безопасности киберпространства.

– На Национальную полицию Украины будет возложена ответственность за предупреждение, выявление, прекращение и раскрытие киберпреступлений.

– Министерство обороны Украины и Генеральный штаб Вооруженных Сил Украины будут обеспечивать кибероборону военных объектов, киберзащиту объектов критической инфраструктуры во время войны и чрезвычайного положения, а также будут отражать военную агрессию в киберпространстве.

– Служба безопасности Украины в пределах своих полномочий будет предупреждать, выявлять, прекращать и раскрывать преступления против мира и безопасности человечества в киберпространстве, бороться с кибертерроризмом и кибершпионством. Также СБУ будут предоставлены полномочия проводить тайные проверки объектов критической инфраструктуры.

– Национальный банк Украины определяется законопроектом как регулятор по кибербезопасности в банковской сфере. Для этого он будет иметь право на установление в этой сфере собственных стандартов и организацию проверки их соблюдения.

Но хотелось бы подчеркнуть, что сейчас это уже происходит – банковский сектор Украины давно внедрил международный стандарт защиты информации ISO-27001.

Более того, почему-то в этом законопроекте инициатор решил в заключительных и переходных положениях предоставить Национальному банку право создавать подразделение ведомственной охраны и подразделения перевозки ценностей, вооруженные боевым огнестрельным оружием. Такие подразделения будут иметь право применять меры физического влияния, специальные средства обороны и боевое огнестрельное оружие.

Объекты кибербезопасности

Защищать, в свою очередь, субъекты киберзащиты будут призваны объекты, к которым относятся коммуникационные системы всех форм собственности, в которых обрабатываются национальные информационные ресурсы или используются в интересах органов государственной власти, органов местного самоуправления, правоохранительных органов и военных формирований; объекты критической информационной инфраструктуры; коммуникационные системы, используемые для удовлетворения общественных нужд или в сферах электронного управления, электронных государственных услуг, электронной коммерции, электронного документооборота.

В связи с этим понятно, почему некоторые парламентарии и общественные деятели обеспокоены дальнейшей судьбой функционирования системы государственных закупок ProZorro после вступления в силу закона в соответствующей редакции.

Что касается объектов критической инфраструктуры, то авторы законопроекта и парламентарии, занимавшиеся его доработкой, решили, что к таким объектам могут быть отнесены предприятия, учреждения и организации, независимо от формы собственности, осуществляющие деятельность и предоставляющие услуги в областях энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в том числе с применением авторизованных электронных площадок и веб-порталов органов государственной власти, в банковском та финансовом секторе; предоставляющие услуги в сферах жизнеобеспечения населения, в частности в сферах централизованного водоснабжения, водоотвода, поставки электрической энергии и газа, производства продуктов питания, сельского хозяйства, здравоохранения; являющиеся коммунальными, аварийными и спасательными службами, службами экстренной помощи населению; включенные в перечень предприятий, имеющих стратегическое значение для экономики и безопасности государства и являющиеся объектами потенциально опасных технологий и производств.

Другими словами, согласно законопроекту, если ваша компания будет отнесена к критической инфраструктуре (а фактически в этот перечень могут быть отнесены почти все частные субъекты хозяйствования, например, крупные предприятия, информационные компании, телекоммуникационные компании, передача и распределение электроэнергии, воды, газа, изготовление продуктов питания, сельскохозяйственные предприятия и т. п.), то вы будете обязаны внедрить комплексную систему защиты информации и пригласить компанию-аудитора, сертифицированного Госспецсвязи, для проведения проверки существующей системы киберзащиты, да еще и получить сертификат соответствия.

Не многовато ли полномочий?

Как указано выше, законопроект содержит ряд положений, которые могут создать в будущем условия для злоупотреблений и дадут государству в лице служащих инструменты, которые дадут возможность совершать давление на предпринимателей, и одновременно с этим не позволят поднять уровень кибербезопасности Украины на соответствующий мировой уровень.

Во-первых, в законопроекте не определен единый орган, осуществляющий оперативное командование субъектами кибербезопасности в мирное время. Совет национальной безопасности и обороны Украины осуществляет только координацию и стратегическое управление. Министерство обороны Украины и Генеральный штаб Вооруженных Сил Украины – оперативное управление в соответствующий период.

На практике кибератаку и кибервойну в целом никто никогда не объявляет. Более того, она не прекращается.

Без единого ответственного органа, который будет иметь полномочия командовать всеми силами и средствами кибербезопасности, мы не сможем эффективно реагировать на киберинциденты, как было видно в ходе указанной выше кибератаки в июне этого года, так и в предыдущих случаях.

Во-вторых, Госспецсвязи будет иметь полномочия по аудиту объектов критической инфраструктуры, находящихся в частной собственности. Как мы уже определили, это будет весь крупный и средний бизнес. В то же время будут определяться требования для аудиторов кибербезопасности и порядок их аттестации, что, по моему мнению, создаст возможности для злоупотреблений, давления на бизнес со стороны государства и предпосылки для коррупции.

Известны примеры, когда сертификацию проходят только соответствующие компании. Аудиторами кибербезопасности также могут быть "свои" фирмы, которые будут осуществлять фиктивные проверки или вообще "кошмарить" предпринимателей.

Для предупреждения создания таких условий на практике нужно ограничить такие полномочия только государственными объектами критической инфраструктуры, а что касается частного сектора экономики – отдать полномочия саморегулируемым организациям, созданным участниками соответствующих областей, как это работает в мире.

Во многих странах разработаны отраслевые стандарты по кибербезопасности и аудит кибербезопасности частного бизнеса, который проводится независимыми аудиторами саморегулируемых организаций.

Отраслевые стандарты по кибербезопасности разработаны в разных странах для таких областей, как энергетика, химическая промышленность, железнодорожный транспорт, здравоохранение, водоснабжение, телекоммуникации, СМИ и т. п.

В-третьих, Служба безопасности Украины будет иметь право проведения тайных проверок кибербезопасности всех объектов критической инфраструктуры. Это, по сути, предоставляет службе право атаковать частный бизнес. Тайные проверки субъектов хозяйствования частного сектора, подпадающих под определение объектов критической инфраструктуры, необходимо отменить.

В-четвертых, из законопроекта нужно убрать право Национального банка Украины создавать подразделение ведомственной охраны и подразделения перевозки ценностей, вооруженные боевым огнестрельным оружием. Это право должно быть закреплено, прежде всего, путем внесения изменений в систему Национальной полиции Украины, а также усовершенствования соответствующего законодательства.

Важным моментом является то, что в законопроекте будет установлена методика аудита кибербезопасности на основе международных стандартов, но никто не отменяет действующий Закон Украины "О защите информации в информационно-телекоммуникационных системах", который на сегодняшний день в этой части признан неэффективным большинством экспертов в области киберзащиты.

ВЫВОД:

Хоть законопроект крайне нужен, необходимо ограничить его исключительно объектами, являющимися собственностью государства, а подходы к обеспечению кибербезопасности критических объектов частной собственности определить отдельно. Более того, было бы целесообразно определить это как саморегулированную систему аудита и сертификации кибербезопасности.

Данный законопроект должен пройти широкое экспертное обсуждение, а не разрабатываться в кулуарах только для определения сферы влияния наших политиков. У нас настоящий кризис в системе национальной кибербезопасности. Недавние хакерские атаки являются ответом на многочисленные вопросы о состоянии киберзащиты Украины. Системная работа в этом направлении отсутствует. За несколько лет государство не удосужилось защитить киберпространство. Тем более, внедрением соответствующего закона вряд ли удастся "залатать дырки" технической невозможности и отсутствия высококвалифицированных специалистов этой сферы на государственной службе.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua