Цілком таємно. За що критикують законопроект про кібербезпеки

У п'ятницю, 7 вересня, парламент так і не розглянув законопроект про кібербезпеки, який депутати підготували до повторного другого читання. Але наступного пленарного тижня Рада може повернутися до закону, який проросійські ЗМІ охрестили "намордником на свободу слова". І тут питання в кількості голосів — в кінці травня депутатам вдалося зібрати лише 186 "за". Законопроект, нагадаємо, визначає основні терміни у сфері кібербезпеки і повноваження органів влади у сфері контролю за нею. Основну політику формує та реалізує Кабмін, але чимала роль відводиться також президента, РНБО, СБУ, розвідці, військовим, НБУ і правоохоронцям. А ось у генпрокурора до другого читання функцію контролю у сфері кібербезпеки відібрали.

Зникли й інші спірні пункти: наприклад, згідно минулій версії закону, Україна могла переслідувати на своїй території осіб, причетних до кіберзлочинів, в тому числі коли вони планувалися або були вчинені поза межами України, але завдають шкоди нашій державі. Очевидно, пункт був недостатньо узгоджений з міжнародними договорами.

"ДС" розібралася, що змінилося в проекті при внесенні останніх правок і чи варто його боятися.

Листування і дані про заводах і дорогах

Закон, незважаючи на побоювання, не передбачає контролю за особистими листуванням, блогами і приватними веб-ресурсами. Крім того, держава обіцяє не чіпати і інформацію, яка циркулює в локальних мережах, не підключених до інтернету. Також закон забороняє звуження прав одних людей у порівнянні з іншими (наприклад, право на таємницю листування). Це прямо прописано в документі. Правда, там же зазначено, що приводом для виключення може стати інформація, яка повинна бути захищена відповідно до закону. І ось тут криється головний підступ.

Наприклад, в силі залишається поправка депутата від "Народного фронту" Руслана Лукъянчука, яка бентежить українських медійників. Зокрема, вона вводить поняття "технологічна інформація". Згідно з документом це документовані відомості про склад, кількісні та якісні показники, особливості технологічних процесів підприємств у різних галузях господарства, дані автоматизованих систем на таких об'єктах. Якщо конкретніше, то це інформація про функціонування об'єктів транспортної, інформаційної і телекомунікаційної інфраструктури, об'єктів підвищеної небезпеки, порушення функціонування яких може призвести до НС або аварії, — саме її пропонують віднести до інформації з обмеженим доступом.

По суті, незважаючи на логічність поправки з точки зору безпеки, вона обмежує можливості збору і поширення інформації про виробництво, стан інфраструктури — від доріг і об'єктів ЖКГ до функціонування транспорту та ситуації в АТО.

Хто за що відповідає

Ще один момент, за який експерти критикують закон, — відсутність єдиного відповідального органу за всі процеси з кіберзахисту. Хоча і передбачається створити спеціальну комісію Кабміну в сфері кібербезпеки, у списку тих, хто контролює процеси, — президент (через РНБО з Національним координаційним центром кібербезпеки ), уряд, центральні та місцеві органи влади, правоохоронці, розвідка і контррозвідка, СБУ, НБУ і команда реагування на комп'ютерні надзвичайні події CERT-UA.

Остання створюється за західним зразком і буде збирати та аналізувати дані про киберинцидентах, надавати практичну допомогу щодо їх попередження, виявлення та усунення наслідків, організовує семінари з питань кіберзахисту, розмістить на своєму сайті рекомендації по кіберзагрозам. Також команда буде інформувати поліцію про кібератаки і обробляти скарги громадян. Відповідати за роботу CERT-UA буде Держслужба спецзв'язку і захисту інформації.

РНБО буде займатися стратегічним управлінням, Держспецзв'язок — формуванням і реалізацією державної політики щодо захисту в кіберпросторі, запобіганням і розслідуванням кіберзлочинів, забезпеченням кібероборони військових об'єктів,
СБУ — запобіганням, виявленням, припиненням і розслідуванням терористичних атак у кіберпросторі. НБУ буде регулятором з кібербезпеки в банківській сфері — зможе встановити свої стандарти і організувати перевірку їх дотримання.

Весь цей широкий перелік залишає країну без єдиного відповідального органу, який буде оперативно керувати відображенням глобальної кібератаки (всі пам'ятають вірус "Петя" і хвилю кібератак в Україні в грудні 2016 р.), тому питання глобальної кібербезпеки залишається відкритим.

Критичні об'єкти

Один з найбільш важливих пунктів закону, за який відповідає Кабмін, — визначення критично важливих об'єктів інфраструктури. До них можна віднести підприємства, установи і організації незалежно від форми власності, чия діяльність безпосередньо пов'язана з технологічними процесами і послугами, мають велике значення для економіки, промисловості, функціонування суспільства і безпеки населення. У список можуть потрапити підприємства енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, банки та інші фінансові установи, а також підприємства ЖКГ, виробництва продуктів харчування, фармацевтичні компанії, комунальні, аварійні та рятувальні служби, підприємства з стратегічного списку держави і виробники потенційно небезпечних технологій.

Критерії для потрапляння в список визначить Кабмін. У поправках до другого читання депутати пропонували деталізувати фактори, якими уряд може керуватися: наприклад, географічне поширення ресурсу, відсоток підприємства на ринку і т. д., але комітет відхилив цю ідею. За попередньої редакції закону критично важливі підприємства повинні були створити спеціальну систему захисту по держстандарту і отримати від держави сертифікат, але зараз цей пункт прибрали. Інформація про діяльність таких об'єктів і буде визначатися як "технологічна", а значить, її можуть засекретити і в разі публікації прибрати з сайтів.

СБУ і Держзв'язку — забагато влади

Не менш істотне, за що критикують закон, — розширення повноважень Держспецзв'язку та СБУ. Так, Держспецзв'язку буде займатися аудитом об'єктів критичної інфраструктури та визначати порядок цього аудиту підзаконними актами (та ж система кіберзахисту критичних об'єктів та її критерії будуть залежати від цієї структури). СБУ тим часом отримає можливість таємно перевіряти такі об'єкти. Звичайно, той, хто вважає, що СБУ не займається таємними перевірками зараз, все ще живе в світі рожевих поні. Але тут спецслужба отримує зелене світло на таємні перевірки підприємств, Держзв'язку — на відкритий їх аудит, а у випадку з вкрай корумпованою державою ми отримуємо привід для тиску і зловживань з боку службових осіб. Крім того, СБУ дозволять брати участь у блокуванні доступу до ресурсів, які причетні до кібертероризму, — цей пункт критикують за розмитість формулювання, що також може створити ґрунт для "полювання на відьом".

На думку експертів у сфері кіберзахисту, депутатам варто було б визначитися, хто буде відповідати за кібербезпека в країні в тій ситуації, коли потрібні оперативні централізовані команди. У Прибалтиці це робить, приміром, Генштаб, але в Україні ми при такому рішенні ризикуємо отримати звинувачення в посиленні повноважень президента і ВСУ. Радять обмежити також повноваження Держспецзв'язку та СБУ. У США такі функції перерозподілені між місцевими органами влади, приватними структурами, неурядовими організаціями, створеними в різних галузях господарства. Рішення такого роду дозволить уникнути звинувачень в back to the USSR.

До позитивних моментів закону слід віднести логічний заборону на залучення до заходів з інформбезпеці будь-які об'єкти під контролем країни-агресора або осіб, щодо яких державою введені санкції. Також закон обмежує використання послуг таких осіб для посилення кібербезпеки держсайтів та інших об'єктів. Міноборони і Генштабу тим часом буде доручено підготуватися до відбиття військової агресії в кіберпросторі і працювати в цьому напрямку разом з НАТО. Також вони повинні будуть розробити механізми функціонування информсистем в умовах воєнного стану.

Очевидно, що при всіх поправках закон потребує доопрацювання, хоча і не створює можливостей для тюремних термінів за блозі або репост в соцмережі, як це відбувається в Росії. Тим не менш можливості для засекречування інформації об'єктів інфраструктури, прописані недостатньо чітко, можуть дозволити владі приховати корупційні схеми, неякісну роботу і аварії. А таємні і явні перевірки від силовиків і Держзв'язку — паралізувати роботу неугодних підприємств. А це вже привід для більш уважної роботи з документом.