Закон про кібербезпеку, або Тотальний контроль за бізнесом
30 августа 2017 года президент подписал важный для страны указ "о кибербезопасности".
Тем самым гарант ввел в действие Решение СНБО "Об угрозе кибербезопасности государства и неотложные меры по их нейтрализации".
Документ описывает программу действий для правительства и Службы безопасности Украины в сфере кибезбезопасности.
Очевидно, что кибербезопасность сегодня стала очень важной составляющей национальной безопасности любого государства — из-за последних кибератак государства несут огромнейшие убытки. Но можно ли на самом деле разработать эффективную систему кибербезопасности в свете повсеместного использования сети Интернет?
В подписанном документе предусматривается немало новшеств, одно из них —государственные органы теперь смогут заключать договора только с теми Интернет-операторами, которые имеют надлежащие документы, подтверждающие соответствие систем защиты информации таких операторов установленным определенным требованиям.
Несмотря на то, что данное положение на первый взгляд очень важно для защиты от всевозможных кибератак в государственном секторе, это неизбежно приведет к тому, что сложится ситуация, когда только "избранные" операторы (провайдеры) смогут предоставлять свои услуги. Навряд ли это лучшим образом отразится на рынке телекоммуникаций.
Указом также предусматривается разграничить уголовную ответственность за преступления в сфере использования компьютеров, совершенные в отношении отдельно государственных и отдельно других информационных ресурсов, в отношении отдельно объектов критической информационной инфраструктуры и отдельно других объектов.
Нужно полагать, что за указанные преступления в отношении государственных информационных ресурсов и объектов критической инфраструктуры уголовная ответственность будет более суровой.
Однако абсолютно непонятно, о каких "других" ресурсах и объектах идет речь и как это отразится в Уголовном кодексе. Получается, что практически все ресурсы и объекты могут подпадать под данное положение, что, в свою очередь, даст возможность применять уголовную ответственность тогда, когда это кому-нибудь будет выгодно.
В соответствии с указом Кабинет министров должен внедрить механизм дополнительного стимулирования мотивации к труду специалистов госорганов, которые непосредственно связаны с противодействием кибербезопасности. К слову, ранее в августе, Кабмин уже увеличил на 20% заработные платы таким служащим.
Насколько возможна реальная мотивация IT-специалистов для работы на госслужбе сегодня? Учитывая востребованность таких специалистов на мировом рынке, их зарплаты должны соответствовать хотя бы европейским зарплатам, что представляется сомнительным в госсекторе.
Однако, учитывая, что указом также предусмотрена возможность привлечения физических и юридических лиц на условиях аутсорсинга, может быть, целесообразней и дешевле было бы поднять зарплату своим штатным специалистам до надлежащего уровня. Хотя, конечно же, самым главным в данной ситуации является вопрос наличия достаточного опыта у IT-специалистов.
Указом также предусматривается отменить ограничение на проведение проверок тех предприятий, которые задействованы в сфере криптографической и технической защиты государственных информационных ресурсов и информации.
Получается, что контролирующие органы могут получить полномочия на проведения проверок практически всех предприятий, так или иначе имеющих отношение к защите указанной информации. Еще один неприятный звоночек.
Все это больше похоже на "тотальный контроль" за субъектами хозяйствования, независимо от форм собственности. И, несмотря на то, что введение многих требований в сфере кибербезопасности имеет благую цель, на практике это создаст немало проблем для ведения бизнеса в нашей стране.
На данный момент на рассмотрении Верховной рады находится проект Закона Украины "Об основных принципах обеспечения кибербезопасности Украины" (№ 2126а).
Документ закрепляет определение понятий "кибербезопасность" и "кибератака", содержит перечень предприятий, учреждений и организаций, которые относятся к критическим инфраструктурным объектам, содержит перечень общих функций субъектов национальной системы кибербезопасности
Примечательно, что критическими инфраструктурными объектами могут быть, по сути, любые предприятия, которые, в свою очередь, в отношении защиты государственных информационных ресурсов или информации с ограниченным доступом должны внедрить так называемую "комплексную систему защиты информации", определенную Законом Украины "О защите информации в информационно-телекоммуникационных системах".
При этом такие средства защиты информации должны иметь сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы.
Несложно догадаться, какие возможности для коррупционных действий это создает, и насколько процессы одобрения "соответствия фирм" требованиям законодательства ограничат круг субъектов предпринимательской деятельности в данной сфере.
В целом законопроект носит больше декларативный характер, содержит большое количество отсылочных норм и не закрепляет никоим образом никаких положений о конкретных необходимых действиях в сфере киберзащиты.
Недостатком всех нормативных актов в отношении кибербезопасности является также то, что, по сути, ни один государственный орган не наделяется полномочиями глобального управления внедрением системы кибербезопасности в государстве.
Понятие "кибербезопасность" — ново для Украины, и естественно, что ни материально, ни организационно наше государство пока не готово обеспечить надлежащий уровень защиты от кибератак.
Стратегия кибербезопасности Украины была принята только в марте 2016 года, которая и стала, по сути, отправной точкой в понимании существования такой проблемы на государственном уровне.
Для системы кибербезопасности Украины важно разработать в первую очередь эффективные средства мониторинга угроз кибератак, их предупреждения и конечно же — средства незамедлительного ликвидации их последствий.
Конечно же, очевидно, что для эффективной работы закона о кибербезопасности необходимы колоссальные денежные средства для достижения всех целей, закрепленных в нем. Однако, поскольку вопрос кибербезопасности неразрывно связан с безопасностью государства в целом, то есть с эффективной работой службы безопасности, разведки, правоохранительных органов, важно сначала создать эффективную систему национальной безопасности , и на ее основе уже строить "кибербезопасность".