Українська правда

Кибероборона по-украински: все переругались на старте

6 июля 2015, 10:53

Базовой стратегии кибербезопасности в Украине до сих пор нет, и к отражению кибератак государство не готово.

Тема уже обрастает первыми интригами.

19 июня группа народных депутатов внесла в Верховную Раду законопроект "Об основных принципах обеспечения кибербезопасноси Украины".

Его появление оказалось неожиданностью для многих и привело к скандалам между депутатами и Госспецсвязи. После разбора полетов в Кабмине главу ведомства Владимира Зверева решили снять.

Законопроект подкинули?

Конечно, народные избранники готовят такие сложные акты не без сторонней помощи. Началась лоббистская война, и сторон в ней пока минимум три.

Первая - Госспецсвязи, главный орган в сфере защиты информации. Это ведомство уже почти год работает над профильным законом, который в разных ипостасях три года блуждает по его кабинетам.

Этот документ планировалось доработать до конца 2015 года. Своей экспертизы у ведомства не хватало, поэтому привлекались сторонние эксперты. Документ начали обсуждать и с общественностью. Казалось, все идет гладко.

Однако на последнем заседании общественного совета его участники, подготовившие замечания, узнали, что "сырой" текст проекта Госспецсвязи с минимальными изменениями уже висит на сайте Верховной Рады под номером 2126а, а само ведомство разводит руками. Мол, не знаем, как так вышло.

Как сообщила ЭП член правления Интернет-ассоциации Украины Татьяна Попова, в прошлый вторник она направила письмо депутатам и в комитеты, в котором попросила отозвать законопроект для его доработки с участием общественности и экспертов.

Попова тщательно проанализировала законопроект депутатов и сделала вывод, что он не похож на готовый профильный закон.

Во-первых, объекты критической инфраструктуры, на которые распространяются обязательства по киберзащите, в том числе и финансовые, должны быть прописаны в законе, а не определяться постановлением Кабмина. Есть опасения, что к ним можно причислить все, включая локальные интернет-сети.

Во-вторых, депутаты хотят приравнять к телекоммуникационным операторам контент-провайдеров. Под определение контент-провайдера можно подогнать любой сайт и впоследствии регулировать оказание им услуг.

Владимир Зверев. Фото Украинское Фото

Еще один тревожный момент - провайдеров обяжут записывать и предоставлять по запросу информацию о сетевом трафике абонентов. Это может привести к злоупотреблениям и нарушениям приватности потребителей.

Общественность, которая старается защитить операторов интернет-доступа и сайты от излишнего государственного вмешательства, выступает второй заинтересованной стороной, которая пытается гнуть свою линию.

В Госспецсвязи успокаивают: хотя депутаты опубликовали законопроект, его все равно можно обсуждать. Однако в каком виде будут зафиксированы результаты этих обсуждений, совершенно непонятно.

Сравнительная таблица законопроектов Госспецсвязи и депутатов. Отличия выделены красным

Нажмите для просмотра документа (doc)

Почему сняли Зверева?

"Госспецсвязи предлагали самой подать в суд за плагиат депутатов на заседании общественного совета ведомства", - рассказывает Попова.

Правда, как сообщил ЭП экс-глава службы Владимир Зверев, которого на днях сняли с должности, ведомство уже смирилось с тем, что недоработанный законопроект попал в Верховную Раду, и не собирается просить его отозвать.

"Ничего страшного. Они нас просто не оповестили об инициативе по ускорению процесса. По Кабмину документ ходил бы долго, а авторство - не самое главное. Госспецсвязи все равно будет участвовать в его доработке", - подчеркнул глава ведомства отбывающий на своей должности последние дни.

Зверев также добавил, что в телефонном разговоре с депутатами уладил все моменты по регистрации законопроекта.

Ряд участников обсуждений, с которыми пообщалась ЭП, не исключает, что Госспецсвязи изначально действовала с депутатами сообща, чтобы избежать обсуждений с заинтересованными сторонами и согласований в Кабмине.

ЭП пообщалась с одним из соавторов акта из "Самопомочі" Романом Семенухой. Он сказал, что подписаться под проектом ему предложил первый заместитель комитета парламента по вопросам информатизации и связи Руслан Лукьянчук.

Руслан Лукьянчук. Фото uainfo.org

Почему Лукьянчук решил регистрировать недоработанный проект, Семенуха не знает. Он сказал лишь, что прочитал текст и согласился подписаться под актуальной для государства идеей.

"Полтора года страна воюет, а в этой сфере - пробоина. Почему никто не решил вопрос с законодательством в этой сфере?" - озадачивается он.

"Что бы Зверев ни говорил - они с Лукьянчуком из одной песочницы", - добавляет один из участников процесса, пожелавший остаться анонимным.

Есть и другое мнение, которое ЭП высказали сказу несколько источников в Госспецсвязи в пятницу за кружкой пива: Зверева намеренно рассорили с Лукьянчуком, чтобы тот нажаловался секретарю СНБО Александру Турчинову. Эта жалоба стала последней каплей, и Зверева сняли, посадив на его место более управляемого и прогнозируемого СБУшника Леонида Евдоченко.

К слову, Госспецсвязи поменяла свою позицию на страничке в Facebook о появлении загадочного депутатского законопроекта. Интонация поменялась с непонимающе-удивленной на более лояльную к спонтанным действиям народных избранников. Лейтмотив - на ровном месте в СМИ раздуваются скандалы.

Очевидно, Зверев до последнего пытался не вступать в открытый конфликт с депутатами.

Проамериканское или местное экспериментальное?

Правки к проекту готовит еще одна сторона - международная организация по разработке методологий и стандартов в сфере ИТ-управления, аудита и кибербезопасности ISACA. Ранее Госспецсвязи подписала с ней меморандум, чтобы совместно трудиться над базовым проектом по кибербезопасности.

В марте организация высказала ряд замечаний к документу, но после того, как ее представители в Киеве узнали, что законопроект подан в Верховную Раду, они решили заангажировать других депутатов для подачи в парламент своей версии. Об этом ЭП рассказал президент киевского отделения ISACA Алексей Янковский.

По закону депутатам отводится 14 дней после регистрации первого законопроекта на то, чтобы подать альтернативный. В таком случае они будут рассматриваться в парламенте уже в привязке друг к другу. ISACA не успела это сделать, поэтому теперь работает над правками к существующему законопроекту.

3 июля состоялась презентация проекта ISACA в Американской торгово-промышленной палате в Киеве.

Зверев знаком с документом ISACA. По его словам, он имеет ту же структуру, что и акт Госспецсвязи. Основные отличия - только в терминологии. Янковский с ним не согласен. По его словам, есть как минимум несколько основных отличий.

Во-первых, речь идет о внедрении децентрализованной модели управления кибербезопасностью, при которой функции по созданию отраслевых стандартов киберзащиты, контроля их выполнения и обмена информацией об атаках делегируются отраслевым регуляторам или профессиональным ассоциациям.

 Фото unian.net

Госспецсвязи же собирается эту функцию монополизировать, и вряд ли с этим качественно справится.

"Отраслевые регуляторы - это хорошая идея, но это американская модель, где есть много CERT (Computer Emergency Response Team. Команда реагирования на компьютерные чрезвычайные события. - ЭП), а у нас он только один (CERT-UA, подчинен Госспецсвязи. - ЭП)", - подмечает Зверев.

При этом в Украине у каждой отрасли, по словам Зверева, в любом случае сохраняется право создания отдельных условий для собственной киберзащиты.

Во-вторых, ключевое отличие законопроекта ISACA - делегирование прав на оценку киберзащищенности объектов от Госспецсвязи и СБУ к независимым аудиторам и экспертам. Зверев усматривает здесь коммерческую составляющую.

Иными словами, появятся структуры, в том числе и международные, которые смогут зарабатывать на такой оценке. Но с другой стороны, вряд ли сейчас у Госспецсвязи самой есть полный набор компетенций для такого мониторинга.

"Мы предлагаем создать центр кибербезопасности при президенте, который будет уполномочен управлять подразделениями кибербезопасности постоянного реагирования силовых ведомств. Сейчас взаимодействие между ними неэффективно", - написал Янковский у себя на страничке Facebook.

Какая идея станет основной для кибербезопасности Украины, решать придется не отраслевым экспертам и участникам рынка, а депутатам. Хотя они и обещают учитывать все правки заинтересованных сторон между первым и вторым чтениями проекта, на практике все сводится в политическую плоскость.

Однако в таких важных сферах, как кибероборона и кибервойна, так поступать нежелательно. Торопиться нужно, но не в ущерб качеству принимаемых решений.