Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Спробувати Оформити передплату
Спробувати Оформити передплату
Закон про кібербезпеку та стратегія кібербезпеки України
Анатолій Грабовий, адвокат, старший юрист, GOLAW

26 травня 2017 року наші парламентарі відправили на повторне друге читання законопроект № 2126а "Про основні засади забезпечення кібербезпеки України".

Проаналізувавши поданий законопроект, можна погодитися з тим, що питання забезпечення кібербезпеки є надзвичайно актуальними для України, а заходи з протидії викликам і загрозам у зазначеній сфері перебувають на початковому етапі та не мають комплексного характеру.

Повною мірою ми всі змогли це відчути рівно через місяць – 27 червня 2017 року, у день, який став "чорним вівторком" для кібербезпеки нашої країни.

Протягом одного дня комп'ютерний вірус "Ransom:Win32/Petya" атакував приватний і державний сектори економіки України, зокрема банки, аеропорти, державну залізничну компанію, телекомпанії, телекомунікаційні компанії, великі мережеві супермаркети, енергетичні компанії, державні фіскальні служби, органи державної влади та місцевого самоврядування тощо.

Вірусом було вражено також приватні та державні суб'єкти інших держав, але спеціалісти в цій галузі сходяться в тому, що найбільше постраждала Україна.

Наша держава виявилася неспроможною протистояти такій атаці, яка, своєю чергою, виявила незахищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору та відсутність можливості своєчасного виявлення, запобігання і нейтралізації реальних та потенційних загроз національній безпеці у кіберпросторі.

Але чи зможе впровадження законодавчого регулювання питання кібербезпеки, у контексті запропонованого законопроекту, надалі захистити наш кіберпростір і запобігти масовим кібератакам – це ще залишається під питанням.

Спробуємо розглянути поточну версію законопроекту, його позитивні моменти та проблеми, а також можливе його поліпшення, спираючись на міжнародний досвід.

Поточна версія законопроекту вводить важливі базові поняття в галузі кіберзахисту та кібербезпеки і визначає права й обов'язки державних органів щодо кібербезпеки.

Але аналіз тексту законопроекту свідчить про те, що багато положень мають декларативний характер, він перевантажений положеннями, в яких йдеться про наміри, принципи, що є непритаманним для закону.

Більше того, проект дублює положення Стратегії кібербезпеки України, затвердженої Указом Президента України від 15 березня 2016 року № 96.

Навіть на думку Головного юридичного управління Верховної Ради України, необхідно доопрацювати понятійний апарат законопроекту, оскільки введення у правове поле нової термінології має здійснюватися комплексно й узгоджуватися з уже існуючою. Дійсно, запропоновані визначення термінів є надто складними, оскільки їх формулювання здійснюється за допомогою слів, виразів і термінів, значення яких є не більш зрозумілими чи відомими, аніж сам термін.

Суб'єкти кібербезпеки

Забезпечувати безпеку в кіберпросторі відповідно до статті 5 законопроекту буде сам гарант Конституції через очолювану ним Раду національної безпеки і оборони України; Національний координаційний центр кібербезпеки як робочий орган Ради національної безпеки і оборони України; Кабінет Міністрів України та міністерства; центральні органи виконавчої влади; місцеві державні адміністрації; органи місцевого самоврядування; правоохоронні, розвідувальні і контррозвідувальні органи, суб'єкти оперативно-розшукової діяльності; Збройні Сили України, інші військові формування; Національний банк України; підприємства, установи та організації, віднесені до об'єктів критичної інфраструктури; суб'єкти господарювання, громадяни України та об'єднання громадян, інші особи, які провадять діяльність або надають послуги, пов'язані з національними інформаційними ресурсами, інформаційними електронними послугами, здійсненням електронних правочинів, електронними комунікаціями, захистом інформації та кіберзахистом, авторизованими електронними майданчиками.

Законопроектом буде встановлено, що основними суб'єктами національної системи кібербезпеки є Державна служба спеціального зв'язку та захисту інформації України, Національна поліція України, Служба безпеки України, Міністерство оборони України та Генеральний штаб Збройних Сил України, розвідувальні органи, Національний банк України.

Ініціатори законопроекту визначили, що суб'єкти забезпечення кібербезпеки у межах своєї компетенції здійснюють заходи щодо запобігання використанню кіберпростору у воєнних, розвідувально-підривних, терористичних та інших протиправних і злочинних цілях, виявлення і реагування на кіберінциденти та кібератаки, усунення їх наслідків; здійснюють інформаційний обмін щодо реалізованих та потенційних кіберзагроз; розробляють і реалізують запобіжні, організаційні, освітні та інші заходи у сфері кібербезпеки, кібероборони та кіберзахисту; забезпечують проведення аудиту інформаційної безпеки, у тому числі на підпорядкованих об'єктах та об'єктах, що належать до сфери їх управління; здійснюють інші заходи із забезпечення розвитку та безпеки кіберпростору.

Повноваження щодо кіберзахисту

Щодо визначення функцій та повноважень органів державної влади у сфері кіберзахисту, ініціатори законопроекту пропонують такий розподіл:

– Державна служба спеціального зв'язку та захисту інформації України забезпечуватиме кіберзахист об'єктів критичної інформаційної інфраструктури; координуватиме діяльність інших суб'єктів кібербезпеки; забезпечуватиме створення та функціонування національної телекомунікаційної мережі; запобігатиме, виявлятиме та реагуватиме на кіберінциденти і кібератаки та усуватиме їх наслідки; інформуватиме про кіберзагрози та методи захисту від них; забезпечуватиме аудит інформаційної безпеки на об'єктах критичної інфраструктури, встановлюватиме вимоги до аудиторів інформаційної безпеки, визначатиме порядок їх атестації та переатестації. За Держспецзв'язку залишається контроль дотримання законодавства у сфері захисту інформації, проведення державної інспекції в цій сфері відповідно до Закону про захист інформації в інформаційно-телекомунікаційних системах, який діє на сьогодні. Вказаний законопроект також передбачає створення Державного центру кіберзахисту.

– Підпорядкована Держспецзв'язку Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA здійснюватиме аналіз даних про кіберінциденти та вестиме їх реєстр; допомагатиме запобігати, виявляти та усувати наслідки кіберінцидентів; організовуватиме та проводитиме семінари з кіберзахисту; готуватиме та розміщуватиме на своєму веб-сайті рекомендації щодо протидії кібератакам та кіберзагрозам; опрацьовуватиме інформацію про кіберінциденти; сприятиме державним органам, органам місцевого самоврядування, військовим формуванням, підприємствам, установам та організаціям, незалежно від форми власності, а також громадянам України у вирішенні питань кіберзахисту та протидії кіберзагрозам. Для цих цілей, як планує законодавець, CERT-UA взаємодіятиме з правоохоронними органами, своєчасно інформуючи їх про кібератаки; з іноземними та міжнародними організаціями з питань реагування на кіберінциденти; з українськими командами реагування на комп'ютерні надзвичайні події, а також іншими суб'єктами, незалежно від форми власності, які здійснюють діяльність із забезпечення безпеки кіберпростору.

– На Національну поліцію України буде покладено відповідальність за запобігання, виявлення, припинення та розкриття кіберзлочинів.

– Міністерство оборони України та Генеральний штаб Збройних Сил України забезпечуватимуть кібероборону військових об'єктів, кіберзахист об'єктів критичної інфраструктури під час війни та надзвичайного стану, а також відбиватимуть воєнну агресію в кіберпросторі.

– Служба безпеки України в межах своїх повноважень запобігатиме, виявлятиме, припинятиме та розкриватиме злочини проти миру та безпеки людства у кіберпросторі, боротиметься з кібертероризмом і кібершпигунством. Також СБУ буде надано повноваження проводити таємні перевірки об'єктів критичної інфраструктури.

– Національний банк України визначається законопроектом як регулятор з кібербезпеки в банківській сфері. Для цього він матиме право на встановлення в цій сфері власних стандартів та організацію перевірки їх дотримання.

Але хотілося б наголосити, що наразі це вже відбувається – банківський сектор України давно впровадив міжнародний стандарт захисту інформації ISO-27001.

Більше того, чомусь в цьому законопроекті ініціатор вирішив у прикінцевих та перехідних положеннях надати Національному банку право створювати підрозділ відомчої охорони та підрозділи перевезення цінностей, озброєні бойовою вогнепальною зброєю. Такі підрозділи матимуть право застосовувати заходи фізичного впливу, спеціальні засоби оборони і бойову вогнепальну зброю.

Об'єкти кібербезпеки

Захищати, своєю чергою, суб'єкти кіберзахисту будуть покликані об'єкти, до яких відносяться комунікаційні системи всіх форм власності, в яких обробляються національні інформаційні ресурси або використовуються в інтересах органів державної влади, органів місцевого самоврядування, правоохоронних органів і військових формувань; об'єкти критичної інформаційної інфраструктури; комунікаційні системи, які використовуються для задоволення суспільних потреб або у сферах електронного урядування, електронних державних послуг, електронної комерції, електронного документообігу.

У зв'язку з цим зрозуміло, чому деякі парламентарі та громадські діячі занепокоєні подальшою долею функціонування системи державних закупівель ProZorro після набрання чинності законом у відповідній редакції.

Щодо об'єктів критичної інфраструктури, то автори законопроекту та парламентарі, які займалися його доопрацюванням, вирішили, що до таких об'єктів можуть бути віднесені підприємства, установи й організації, незалежно від форми власності, які провадять діяльність і надають послуги в галузях енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у тому числі з застосуванням авторизованих електронних майданчиків та веб-порталів органів державної влади, у банківському та фінансовому секторі; надають послуги у сферах життєзабезпечення населення, зокрема у сферах централізованого водопостачання, водовідведення, постачання електричної енергії та газу, виробництва продуктів харчування, сільського господарства, охорони здоров'я; є комунальними, аварійними та рятувальними службами, службами екстреної допомоги населенню; включені до переліку підприємств, що мають стратегічне значення для економіки і безпеки держави та є об'єктами потенційно небезпечних технологій і виробництв.

Інакше кажучи, згідно із законопроектом, якщо вашу компанію буде віднесено до критичної інфраструктури (а фактично до цього переліку можуть бути віднесені майже всі приватні суб'єкти господарювання, до прикладу, великі підприємства, інформаційні компанії, телекомунікаційні компанії, передавання та розподіл електроенергії, води, газу, виготовлення продуктів харчування, сільськогосподарські підприємства тощо), то ви будете зобов'язані впровадити комплексну систему захисту інформації та запросити компанію-аудитора, сертифікованого Держспецзв'язку, для проведення перевірки існуючої системи кіберзахисту, та ще й отримати сертифікат відповідності.

Чи не забагато повноважень?

Як зазначено вище, законопроект містить низку положень, які можуть створити в майбутньому умови для зловживань і нададуть державі в особі службовців інструменти, що дадуть змогу чинити тиск на підприємців, й одночасно з цим не дозволять підняти рівень кібербезпеки України на відповідний світовий рівень.

По-перше, у законопроекті не визначено єдиного органу, який здійснює оперативне командування суб'єктами кібербезпеки у мирний час. Рада національної безпеки і оборони України здійснює лише координацію та стратегічне управління. Міністерство оборони України та Генеральний штаб Збройних Сил України – оперативне управління у відповідний період.

На практиці кібератаку та кібервійну в цілому ніхто ніколи не оголошує. Більше того, вона не припиняється.

Без єдиного відповідального органу, що матиме повноваження командувати всіма силами та засобами кібербезпеки, ми не зможемо ефективно реагувати на кіберінциденти, як було видно під час вказаної вище кібератаки у червні цього року, так і у попередніх випадках.

По-друге, Держспецзв'язку матиме повноваження з аудиту об'єктів критичної інфраструктури, що перебувають у приватній власності. Як ми вже визначили, це буде весь великий і середній бізнес. Водночас визначатимуться вимоги для аудиторів кібербезпеки та порядок їх атестації, що, на мою думку, створить можливості для зловживань, тиску на бізнес з боку держави та передумови для корупції.

Відомі приклади, коли сертифікацію проходять тільки відповідні компанії. Аудиторами кібербезпеки також можуть бути "свої" фірми, які здійснюватимуть фіктивні перевірки або взагалі будуть "кошмарити" підприємців.

Для запобігання створенню таких умов на практиці потрібно обмежити такі повноваження тільки державними об'єктами критичної інфраструктури, а щодо приватного сектору економіки – віддати повноваження саморегулівним організаціям, створеним учасниками відповідних галузей, як це працює в світі.

У багатьох країнах розроблено галузеві стандарти з кібербезпеки й аудит кібербезпеки приватного бізнесу, який проводиться незалежними аудиторами саморегулівних організацій.

Галузеві стандарти з кібербезпеки розроблено в різних країнах для таких галузей, як енергетика, хімічна промисловість, залізничний транспорт, охорона здоров'я, водопостачання, телекомунікації, ЗМІ тощо.

По-третє, Служба безпеки України матиме право проведення таємних перевірок кібербезпеки всіх об'єктів критичної інфраструктури. Це, по суті, надає службі право атакувати приватний бізнес. Таємні перевірки суб'єктів господарювання приватного сектору, що підпадають під визначення об'єктів критичної інфраструктури, необхідно скасувати.

По-четверте, із законопроекту потрібно прибрати право Національного банку України створювати підрозділ відомчої охорони та підрозділи перевезення цінностей, озброєні бойовою вогнепальною зброєю. Це право має бути закріплене, насамперед, шляхом внесення змін до системи Національної поліції України, а також вдосконалення відповідного законодавства.

Важливим моментом є те, що в законопроекті буде встановлено методику аудиту кібербезпеки на основі міжнародних стандартів, але ніхто не скасовує чинний Закон України "Про захист інформації в інформаційно-телекомунікаційних системах", який на сьогодні у цій частині визнано неефективним більшістю експертів в галузі кіберзахисту.

ВИСНОВОК:

Хоч законопроект вкрай потрібний, необхідно обмежити його виключно об'єктами, які є власністю держави, а підходи до забезпечення кібербезпеки критичних об'єктів приватної власності визначити окремо. Більше того, було б доцільно визначити це як самоврегульовану систему аудиту та сертифікації кібербезпеки.

Цей законопроект має пройти широке експертне обговорення, а не розроблятися в кулуарах тільки задля визначення сфери впливу наших політиків. Ми маємо справжню кризу в системі національної кібербезпеки. Нещодавні хакерські атаки є відповіддю на численні питання про стан кіберзахисту України. Системна робота в цьому напрямі відсутня. За кілька років держава не спромоглася захистити кіберпростір. Тим більше, впровадженням відповідного закону навряд вдасться "залатати дірки" технічної неспроможності та відсутності висококваліфікованих спеціалістів цієї сфери на державній службі.

Мати доступ до номерів і всіх статей видання Ви зможете за умови передплати на електронне видання ЮРИСТ&ЗАКОН
Контакти редакції:
uz@ligazakon.ua