Кому может помешать новый закон о кибербезопасности

1 071

cyber-security7 сентября, парламент так и не рассмотрел законопроект о кибербезопасности, который депутаты подготовили к повторному второму чтению. Но на следующей пленарной неделе Рада может вернуться к закону, который пророссийские СМИ окрестили "намордником на свободу слова". И тут вопрос в количестве голосов — в конце мая депутатам удалось собрать лишь 186 "за". Законопроект, напомним, определяет основные термины в сфере кибербезопасности и полномочия органов власти в сфере контроля за ней. Основную политику формирует и реализует Кабмин, но немалая роль отводится также президенту, СНБО, СБУ, разведке, военным, НБУ и правоохранителям. А вот у генпрокурора ко второму чтению функцию контроля в сфере кибербезопасности отобрали.

Исчезли и другие спорные пункты: например, согласно прошлой версии закона, Украина могла преследовать на своей территории лиц, причастных к киберпреступлениям, в том числе когда они планировались или были совершены за пределами Украины, но наносят ущерб нашему государству. Очевидно, пункт был недостаточно согласован с международными договорами.

Переписки и данные о заводах и дорогах

Закон, несмотря на опасения, не предусматривает контроля за личными переписками, блогами и частными веб-ресурсами. Кроме того, государство обещает не трогать и информацию, циркулирующую в локальных сетях, не подключенных к интернету. Также закон запрещает сужение прав одних людей в сравнении с другими (например, право на тайну переписки). Это прямо прописано в документе. Правда, там же указано, что поводом для исключений может стать информация, которая должна быть защищена согласно закону. И вот тут зарыт главный подвох.

Например, в силе остается поправка депутата от "Народного фронта" Руслана Лукъянчука, которая смущает украинских медийщиков. В частности, она вводит понятие "технологическая информация". Согласно документу это документированные сведения о составе, количественные и качественные показатели, особенности технологических процессов предприятий в различных отраслях хозяйства, данные автоматизированных систем на таких объектах. Если конкретнее, то это информация о функционировании объектов транспортной, информационной и телекоммуникационной инфраструктуры, объектов повышенной опасности, нарушение функционирования которых может привести к ЧС или аварии, — именно ее предлагают отнести к информации с ограниченным доступом.

По сути, несмотря на логичность поправки с точки зрения безопасности, она ограничивает возможности сбора и распространения информации о производстве, состоянии инфраструктуры — от дорог и объектов ЖКХ до функционировании транспорта и ситуации в АТО.

Кто за что отвечает

Еще один момент, за который эксперты критикуют закон, — отсутствие единого ответственного органа за все процессы по киберзащите. Хотя и предполагается создать специальную комиссию Кабмина в сфере кибербезопасности, в списке тех, кто контролирует процессы, — президент (через СНБО с Национальным координационным центром кибербезопасности ), Кабмин, центральные и местные органы власти, правоохранители, разведка и контрразведка, СБУ, НБУ и команда реагирования на компьютерные чрезвычайные события CERT-UA.

Последняя создается по западному образцу и будет собирать и анализировать данные о киберинцидентах, предоставлять практическую помощь по их предупреждению, выявлению и устранению последствий, организует семинары по вопросам киберзащиты, разместит на своем сайте рекомендации по киберугрозам. Также команда будет информировать полицию о кибератаках и обрабатывать жалобы граждан. Отвечать за работу CERT-UA будет Госслужба спецсвязи и защиты информации.

СНБО будет заниматься стратегическим управлением, Госспецсвязь — формированием и реализацией госполитики по защите в киберпространстве, предотвращением и расследованием киберпреступлений, обеспечением киберобороны военных объектов,
СБУ — предотвращением, выявлением, пресечением и расследованием террористических атак в киберпространстве. НБУ будет регулятором по кибербезопасности в банковской сфере — сможет установить свои стандарты и организовать проверку их соблюдения.

Весь этот широкий перечень оставляет страну без единого ответственного органа, который будет оперативно командовать отражением глобальной кибератаки (все помнят вирус "Петя" и волну кибератак в Украине в декабре 2016 г.), поэтому вопрос глобальной кибербезопасности остается открытым.

Критические объекты

Один из наиболее важным пунктов закона, за который отвечает Кабмин, — определение критически важных объектов инфраструктуры. К ним могут отнести предприятия, учреждения и организации независимо от формы собственности, чья деятельность напрямую связана с технологическими процессами и услугами, имеющими большое значение для экономики, промышленности, функционирования общества и безопасности населения. В список могут попасть предприятия энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, банки и другие финансовые учреждения, а также предприятия ЖКХ, производства продуктов питания, фармацевтические компании, коммунальные, аварийные и спасательные службы, предприятия из стратегического списка государства и производители потенциально опасных технологий.

Критерии для попадания в список определит Кабмин. В поправках ко второму чтению депутаты предлагали детализировать факторы, которыми правительство может руководствоваться: например, географическое распространение ресурса, процент предприятия на рынке и т. д., но комитет отклонил эту идею. По предыдущей редакции закона критически важные предприятия должны были создать специальную систему защиты по госстандарту и получить от государства сертификат, но сейчас этот пункт убрали. Информация о деятельности таких объектов и будет определяться как "технологическая", а значит, ее могут засекретить и в случае публикации убрать с сайтов.

СБУ и Госсвязи — многовато власти

Не менее существенное, за что критикуют закон, — расширение полномочий Госспецсвязи и СБУ. Так, Госспецсвязи будет заниматься аудитом объектов критической инфраструктуры и определять порядок этого аудита подзаконными актами (та же система киберзащиты критических объектов и ее критерии будут зависеть от этой структуры). СБУ тем временем получит возможность тайно проверять такие объекты. Конечно, тот, кто считает, что СБУ не занимается тайными проверками сейчас, все еще живет в мире розовых пони. Но тут спецслужба получает зеленый свет на тайные проверки предприятий, Госсвязи — на открытый их аудит, а в случае с крайне коррумпированным государством мы получаем повод для давления и злоупотреблений со стороны служебных лиц. Кроме того, СБУ позволят участвовать в блокировке доступа к ресурсам, которые причастны к кибертерроризму, — этот пункт критикуют за размытость формулировки, что также может создать почву для "охоты на ведьм".

По мнению экспертов в сфере киберзащиты, депутатам стоило бы определиться, кто будет отвечать за кибербезопасность в стране в той ситуации, когда нужны оперативные централизованные команды. В Прибалтике это делает, к примеру, Генштаб, но в Украине мы при таком решении рискуем получить обвинения в усилении полномочий президента и ВСУ. Советуют ограничить также полномочия Госспецсвязи и СБУ. В США такие функции перераспределены между местными органами власти, частными структурами, неправительственными организациями, созданными в разных отраслях хозяйства. Решение такого рода позволит избежать обвинений в back to the USSR.

К положительным моментам закона стоит отнести логичный запрет на привлечение к мероприятиям по информбезопасности любые объекты под контролем страны-агрессора или лиц, в отношении которых государством введены санкции. Также закон ограничивает использование услуг таких лиц для усиления кибербезопасности госсайтов и других объектов. Минобороны и Генштабу тем временем будет поручено подготовиться к отражению военной агрессии в киберпространстве и работать в этом направлении вместе с НАТО. Также они должны будут разработать механизмы функционирования информсистем в условиях военного положения.

Очевидно, что при всех поправках закон нуждается в доработке, хотя и не создает возможностей для тюремных сроков за блог или репост в соцсети, как это происходит в России. Тем не менее возможности для засекречивания информации объектов инфраструктуры, прописанные недостаточно четко, могут позволить власти скрыть коррупционные схемы, некачественную работу и аварии. А тайные и явные проверки от силовиков и Госсвязи — парализовать работу неугодных предприятий. А это уже повод для более внимательной работы с документом.

По материалам: dsnews.ua