Украинская правда

Закон о кибербезопасности, или Тотальный контроль за бизнесом

Несмотря на то, что введение многих требований в сфере кибербезопасности имеет благую цель, на практике это создаст немало проблем для ведения бизнеса.

30 августа 2017 года президент подписал важный для страны указ "о кибербезопасности".

Тем самым гарант ввел в действие Решение СНБО "Об угрозе кибербезопасности государства и неотложные меры по их нейтрализации".

Документ описывает программу действий для правительства и Службы безопасности Украины в сфере кибезбезопасности.

Очевидно, что кибербезопасность сегодня стала очень важной составляющей национальной безопасности любого государства — из-за последних кибератак государства несут огромнейшие убытки. Но можно ли на самом деле разработать эффективную систему кибербезопасности в свете повсеместного использования сети Интернет?

В подписанном документе предусматривается немало новшеств, одно из них —государственные органы теперь смогут заключать договора только с теми Интернет-операторами, которые имеют надлежащие документы, подтверждающие соответствие систем защиты информации таких операторов установленным определенным требованиям.

Несмотря на то, что данное положение на первый взгляд очень важно для защиты от всевозможных кибератак в государственном секторе, это неизбежно приведет к тому, что сложится ситуация, когда только "избранные" операторы (провайдеры) смогут предоставлять свои услуги. Навряд ли это лучшим образом отразится на рынке телекоммуникаций.

Указом также предусматривается разграничить уголовную ответственность за преступления в сфере использования компьютеров, совершенные в отношении отдельно государственных и отдельно других информационных ресурсов, в отношении отдельно объектов критической информационной инфраструктуры и отдельно других объектов.

Нужно полагать, что за указанные преступления в отношении государственных информационных ресурсов и объектов критической инфраструктуры уголовная ответственность будет более суровой.

Однако абсолютно непонятно, о каких "других" ресурсах и объектах идет речь и как это отразится в Уголовном кодексе. Получается, что практически все ресурсы и объекты могут подпадать под данное положение, что, в свою очередь, даст возможность применять уголовную ответственность тогда, когда это кому-нибудь будет выгодно.

В соответствии с указом Кабинет министров должен внедрить механизм дополнительного стимулирования мотивации к труду специалистов госорганов, которые непосредственно связаны с противодействием кибербезопасности. К слову, ранее в августе, Кабмин уже увеличил на 20% заработные платы таким служащим.

Насколько возможна реальная мотивация IT-специалистов для работы на госслужбе сегодня? Учитывая востребованность таких специалистов на мировом рынке, их зарплаты должны соответствовать хотя бы европейским зарплатам, что представляется сомнительным в госсекторе.

Однако, учитывая, что указом также предусмотрена возможность привлечения физических и юридических лиц на условиях аутсорсинга, может быть, целесообразней и дешевле было бы поднять зарплату своим штатным специалистам до надлежащего уровня. Хотя, конечно же, самым главным в данной ситуации является вопрос наличия достаточного опыта у IT-специалистов.

Указом также предусматривается отменить ограничение на проведение проверок тех предприятий, которые задействованы в сфере криптографической и технической защиты государственных информационных ресурсов и информации.

Получается, что контролирующие органы могут получить полномочия на проведения проверок практически всех предприятий, так или иначе имеющих отношение к защите указанной информации. Еще один неприятный звоночек.

Все это больше похоже на "тотальный контроль" за субъектами хозяйствования, независимо от форм собственности. И, несмотря на то, что введение многих требований в сфере кибербезопасности имеет благую цель, на практике это создаст немало проблем для ведения бизнеса в нашей стране.

На данный момент на рассмотрении Верховной рады находится проект Закона Украины "Об основных принципах обеспечения кибербезопасности Украины" (№ 2126а).

Документ закрепляет определение понятий "кибербезопасность" и "кибератака", содержит перечень предприятий, учреждений и организаций, которые относятся к критическим инфраструктурным объектам, содержит перечень общих функций субъектов национальной системы кибербезопасности

Примечательно, что критическими инфраструктурными объектами могут быть, по сути, любые предприятия, которые, в свою очередь, в отношении защиты государственных информационных ресурсов или информации с ограниченным доступом должны внедрить так называемую "комплексную систему защиты информации", определенную Законом Украины "О защите информации в информационно-телекоммуникационных системах".

При этом такие средства защиты информации должны иметь сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы.

Несложно догадаться, какие возможности для коррупционных действий это создает, и насколько процессы одобрения "соответствия фирм" требованиям законодательства ограничат круг субъектов предпринимательской деятельности в данной сфере.

В целом законопроект носит больше декларативный характер, содержит большое количество отсылочных норм и не закрепляет никоим образом никаких положений о конкретных необходимых действиях в сфере киберзащиты.

Недостатком всех нормативных актов в отношении кибербезопасности является также то, что, по сути, ни один государственный орган не наделяется полномочиями глобального управления внедрением системы кибербезопасности в государстве.

Понятие "кибербезопасность" — ново для Украины, и естественно, что ни материально, ни организационно наше государство пока не готово обеспечить надлежащий уровень защиты от кибератак.

Стратегия кибербезопасности Украины была принята только в марте 2016 года, которая и стала, по сути, отправной точкой в понимании существования такой проблемы на государственном уровне.

Для системы кибербезопасности Украины важно разработать в первую очередь эффективные средства мониторинга угроз кибератак, их предупреждения и конечно же — средства незамедлительного ликвидации их последствий.

Конечно же, очевидно, что для эффективной работы закона о кибербезопасности необходимы колоссальные денежные средства для достижения всех целей, закрепленных в нем. Однако, поскольку вопрос кибербезопасности неразрывно связан с безопасностью государства в целом, то есть с эффективной работой службы безопасности, разведки, правоохранительных органов, важно сначала создать эффективную систему национальной безопасности , и на ее основе уже строить "кибербезопасность".

Колонка представляет собой вид материала, отражающего исключительно точку зрения автора. Она не претендует на объективность и всесторонность освещения темы, о которой идет речь. Мнение редакции "Экономической правды" и "Украинской правды" может не совпадать с точкой зрения автора. Редакция не несет ответственности за достоверность и толкование приведенной информации и выполняет исключительно роль носителя.
хакеры технології