До другого читання готується законопроєкт про посилення кіберзахисту №8087. Він розширює повноваження Державної служби спеціального звʼязку та захисту інформації (Держспецзвʼязку) у забезпеченні захисту об'єктів критичної інформаційної інфраструктури, зокрема й приватних компаній. Автори законопроєкту звертають увагу на те, що після повномасштабного наступу посилилися загрози агресора  у кіберпросторі (за останній рік Україна зазнала понад 3 000 DDoS-атак). І вважають, що новий закон має сприяти посиленню системи кіберзахисту та зробить її спроможною протистояти ворогу.

Однак цей законопроєкт зазнав критики від різних громадських організацій. Їхнє занепокоєння викликає розширення повноважень Держспецзвʼязку (перевірки з залученням СБУ та Нацполіції, обов’язкові для виконання вимоги для всіх суб’єктів господарювання, доступ до інформаційних систем підприємств та організацій). Український союз промисловців і підприємців (УСПП) у своїй заяві повідомив, що документ суперечить положенням Директиви ЄС про мережеву та інформаційну безпеку (NIS2 Directive). Також організація інформує, що закон створює єдину вертикаль системи кібербезпеки, яка об’єднує всі державні інформаційні ресурси. А це робить її вразливішою. Інтернет Асоціація України звертала увагу на те, що законопроєкт створить надмірне фінансове навантаження на операторів критичної інфраструктури та надмірне регулювання малого й середнього бізнесу (документ передбачає наявність на об’єктах, в організаціях посади керівника з кіберзахисту). А Національне агентство з питань запобігання корупції бачило корупційні ризики.

Які новації пропонуються

Законопроєкт передбачає створення  кількох національних систем для захисту:

— реагування на інциденти кібербезпеки, кібератаки, кіберзагрози;

— державного контролю за станом технічного захисту інформації та кіберзахисту;

— обміну інформацією про інциденти кібербезпеки, кібератаки.

На думку автора законопроєкту, народного депутата Олександра Федієнка, зараз важливо не лише реагувати на кібератаки, а будувати системну роботу оборони. «Головне в проєкті — створення національних систем реагування на інциденти й обміну інформацією про них. Є державні інституції, які постійно зазнають кібератак, але вони не обмінюються між собою інформацією. А це вкрай необхідно, щоб фахівці різних державних відомств вивчали кібератаки та вибудовували механізми захисту. З прийняттям закону ми усунемо абсолютно безплідну дискусію, хто відповідальний за наслідки кібератаки, а чітко визначимо роль і завдання кожної ланки цієї системи. Тобто у випадку атаки на одне відомство, фахівці різних міністерств мають взаємодіяти. Підсилиться робота галузевих команд (у нас є прекрасний кейс Міненерго, яка вже збудувала такі команди по всій вертикалі)», — про це він розповідав в інтерв’ю «Укрінформу». 

Олександр Федієнко у своєму фейсбуці пише, що бувають ситуації, коли «ви знаєте, що вас атакують, але контролюєте атакувальника та контролюєте наслідки». І як приклад наводить історію з шифрувальним засобом «Енігма» (німецька шифрувальна машина, яка використовувалася під час Другої світової війни). Шифр був розкритий, але впродовж двох років це не розголошували, й таким чином вдалося врятувати багато людей.

«Саме тому законопроєктом 8087 передбачено відповідний механізм щодо непублічного обміну кіберінцидентами, і це правильно», — пише нардеп.

Окрім цього у законопроєкті встановлено вимоги до програмних продуктів в інформаційних, інформаційно-комунікаційних системах, у яких обробляються державні інформаційні ресурси, інформація з обмеженим доступом тощо. 

Згідно з законопроєктом, інформація про систему спеціального зв’язку та національну систему урядових електронних комунікацій становитиме державну таємницю.

В установах, які є власниками або розпорядниками інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, мають бути створені підрозділи з кіберзахисту та призначені їх керівники (офіцери з кіберзахисту). Також встановлено вимоги до умов постачання товарів, робіт, послуг, що забезпечують функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом.

За словами Олександра Федієнка, кібератаки не обмежені територіями та кордонами, тому  вони будуть постійними. Він каже, що важливий діалог між фахівцями тих підприємств, які зазнали атак, адже схеми повторюються. А також про те, що об’єкти критичної інфраструктури сьогодні не інтегровані в національну систему реагування. Це має виправити законопроєкт.

Критика та доопрацювання законопроєкту

Повноваження Держспецзв’язку

Голова Телекомунікаційної палати України Тетяна Попова в коментарі «Детектору медіа» зазначила, що законопроєкт 8087 у багатьох моментах запроваджує надмірне втручання саме в господарську діяльність суб’єктів приватного права та надає Держспецзв’язку безпрецедентно широкі повноваження.

«На жаль, саме ці положення так і не були доопрацьовані до другого читання», — каже вона. 

Наприклад, за її словами, це обов’язки Держспецзв’язку встановлювати вимоги до умов постачання товарів, робіт, послуг, що забезпечують функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом.

«Чому вважаю, що такі вимоги є надмірними? Тому що наразі проєктом передбачено встановлення порядку підтвердження відповідності впроваджених заходів безпеки, і  відкритий реєстр забороненого до використання програмного забезпечення. На мою думку, цього може бути достатньо», — каже Тетяна Попова.

На думку Олександра Федієнка, важливо контролювати програмне забезпечення через те, що багато підприємців досі використовують російський продукт. І саме аудити й перевірки Держспецзвʼязку допомагають зупинити цю практику.

Також Тетяна Попова каже, що згідно з законопроєктом, Держспецзв’язку повинно буде забезпечити організацію та проведення систематичних навчань із питань кіберзахисту для осіб, що безпосередньо займаються кіберзахистом: «Але на яких умовах такі навчання будуть проводитися — платних? Яка їх періодичність? Також не встановлена. А вимога щодо проведення навчань, зокрема, стосується і операторів критичної інфраструктури — суб’єктів приватного права».

Ще одним обтяженням для операторів критичної інфраструктури, на її думку,  можна визначити необхідність погодження з Держспецзв’язку відповідальної особи з кіберзахисту.

«Проте, вважаю, що погодження призначень кіберофіцерів можуть застосовуватися до державних органів або органів місцевого самоврядування. А у разі необхідності — для операторів КІ винятково I та II категорії», — каже Тетяна Попова.

УСПП звертає увагу на те, що орган контролю (Держспецзвʼязку) отримає право перевіряти будь-які підприємства, матиме доступ до їхніх споруд і приміщень, будь-якої документації та інформації, право висувати обов’язкові для виконання вимоги будь-якому суб’єкту господарювання, незалежно від того, буде це велика корпорація, підприємство ІТ-бізнесу чи самозайнята особа (ФОП, адвокат тощо). До того ж Держспецзвʼязку матиме право залучати до таких перевірок будь-які інші органи, зокрема СБУ та кіберполіцію.

За словами заступника директора Центру демократії та верховенства права (ЦЕДЕМ) Ігоря Розкладая, законопроєкт не зачіпає весь бізнес, а стосується саме об’єктів критичної інфраструктури.

«У кожному регулюванні повинна бути чіткість насамперед. Якщо такої чіткості немає, то це скоріш не надмірне регулювання, а надмірна дискреція у повноваженнях для органу державної влади. Законопроєктом не визначаються основні вимоги до залучення таких осіб до перевірок. Також не вказано обсяги й обов’язки осіб, які мають дозвіл на тестування та доступ до інформаційних, інформаційно-комунікаційних систем, критичної інформаційної інфраструктури, відсутня процедура такого тестування», — говорить Тетяна Попова.

Олександр Федієнко каже, що  Держспецзв’язку має право державного контролю вже зараз, у рамках чинного законодавства. «Законопроєкт 8087 не концентрує повноваження в одному органі. Натомість законопроєктом запроваджено уточнення вже наявних повноважень, уточнено ролі інших основних субʼєктів кібербезпеки, передбачено принцип децентралізації у багатьох питаннях з впровадження кіберзахисту», — писав він у фейсбуці.

Також Федієнко написав: «Зараз громадянам заборонено поширювати фото та відео, куди прилітають ракети. Чому? Бо з того боку за допомогою OSINT вони одразу можуть зробити корегування. Так і тут, кіберінцидент не повинен бути у широкому інформаційному доступі. А тим паче опис наслідків, інакше агресор змінить тактику. А в деяких випадках взагалі краще контролювати такі інциденти, аніж одразу бігати з рупором».

Корупційні ризики

Розширення повноважень Держспецзв’язку створює і корупційні ризики. Про це інформувало Національне агентство з питань запобігання корупції.

У коментарі «Детектору медіа» Олександр Федієнко сказав, що зауваження НАЗК були враховані й зараз питань в агентства до законопроєкту немає. У висновку Комітету з питань національної безпеки, оборони та розвідки йдеться, що до другого читання рекомендації НАЗК враховані частково. Серед них є теза про те, що підставою для залучення співробітників основних суб’єктів національної системи кібербезпеки України до заходів контролю буде «вмотивований наказ Голови Державної служби спеціального зв’язку та захисту інформації України». Також враховано пропозицію НАЗК щодо заміни застосованого у зазначеній статті 151 поняття «співробітники основних суб’єктів національної системи кібербезпеки України» терміном «посадові або службові особи основних суб’єктів національної системи кібербезпеки України». Окрім цього, щоб мінімізувати виникнення корупційних правопорушень, Держспецзв’язку погоджуватиме кандидатури керівників із кіберзахисту в порядку, який передбачить Кабінет Міністрів України.

В інтерв’ю «Укрінформу» Олександр Федієнко казав, що Кабмін має розробити критерії, а Держспецзв’язку просто перевірятиме, чи відповідає їм кандидат: «Підприємство знаходить саме для себе фахівця з кібербезпеки, але на останньому етапі його мають перевірити на мінімальний для такої посади рівень компетентності. І погодити цю кандидатуру — в міністерстві, відомстві чи на підприємстві критичної інфраструктури — має ДССЗІ (Держспецзв’язку). Так, це певний фільтр, але він убезпечує підприємство від ситуації, коли призначають «свою людину» без кваліфікації, без фахової освіти. А таке бувало. Зараз Кабмін розробить критерії відповідності, а ДССЗІ просто перевірятиме, чи відповідає їм кандидат».

Єдина вертикаль кібербезпеки

Український союз промисловців і підприємців ще одним ризиком бачить те, що законопроєкт формує одну вертикаль систем кібербезпеки, яка об'єднує всі державні інформаційні ресурси. А це може зробити її більш вразливою для кібератак. Однак, на думку Тетяни Попової, це не зовсім так: «Залишається Національний координаційний центр кібербезпеки як робочий орган Ради національної безпеки й оборони України. Залишаються всі повноваження Нацбанку. Але при цьому безпрецедентно широкі повноваження надаються Держспецзв’язку. Створюється єдина вертикаль контролю за технічним захистом інформації та кіберзахистом. З надмірними повноваженнями. Незрозумілими критеріями. Адміністративною можливістю втручатися в господарську діяльність усіх без винятку операторів критичної інфраструктури, а також у діяльність їх постачальників (їхніх субпідрядників), які постачають товари, роботи, послуги, що забезпечують функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом».

Європейська практика

Деякі медіа, наприклад «Цензор.НЕТ», опублікували таблицю з порівнянням підходів щодо кібербезпеки, закладених у директиві ЄС NIS2, та норм законодавства Росії, що має підтверджувати надмірність регулювання. Олександр Федієнко приписує авторство цієї таблиці підприємцю Івану Петухову (який у своїй статті  також говорить про невідповідність законопроєкту нормам директиви ЄС) і називає її фейком.

«NIS2 передбачено значне посилення контролю з урахуванням принципу, відповідно до якого держави-члени повинні забезпечити, щоб визначений ними компетентний орган мав необхідні та достатні повноваження, адекватні ресурси для ефективного та дієвого виконання покладених на них функцій, — пише Олександр Федієнко у фейсбуці. — Чинним законодавством уже передбачене право Держспецзвʼязку здійснювати державний контроль, але ці повноваження визначені нечітко та не працюють в окремих випадках. Запроваджені заходи контролю в законопроєкті в цілому є релевантними з NIS2 та, навпаки, мають на меті окреслити ці повноваження порівняно з чинним законодавством».

Тетяна Попова каже, що філософія європейських директив полягає в тому, щоб створювати бізнесу стимулювальні умови для роботи, а наше законодавство, як правило, спрямоване на карні функції: «І це все на фоні дискреційних норм і повноважень».

Засновник ютуб-проєкту «Переговорка», автор текстів на тему телекомунікацій, медіаменеджер Олександр Глущенко говорить про наявність двох точок зору щодо законопроєкту 8087 і змін у забезпеченні захищеності від кібератак державних інформаційних ресурсів та об'єктів критичної інформаційної інфраструктури: «Громадськості — яка вважає, що законопроєкт скопійований з російських актів, і Комітету з питань інтеграції України до ЄС — який вважає, що Закон не суперечить Угоді про асоціацію та положенням Директиви 2016/1148 в частині забезпечення захисту державних інформаційних ресурсів та об'єктів критичної інформаційної інфраструктури. Але разом із тим потребує експертного висновку Антимонопольного комітету України з метою оцінки допустимості державної допомоги».

Саме тому, на його думку, основні проблеми інколи виникають не з самими законами, а з їх виконавцями: «Ініціатори змін повинні думати про те, як закон почнуть використовувати їхні нащадки. І чи не будуть вони тлумачити його зовсім не так, як це планували законотворці». Тому, вважає Глущенко, оптимальним рішенням буде імплементація дії закону саме на час воєнного стану. А після перемоги України над країною-окупантом його слід переглянути.

Ігор Розкладай також говорить, що головним є те, як буде впроваджений цей закон, а в  нинішньому тексті законопроєкту він «зради» не бачить. За його словами, дуже важлива участь ринку на етапі впровадження цих змін: «Громадськість може контролювати цей процес і не допустити дій, які можуть нашкодити. А також брати участь у розробці підзаконних актів, брати участь в обговоренні. Я вважаю, що для якісного впровадження закону має бути державно-приватне партнерство. Ми маємо відходити від совкової парадигми, де кожен сидить у своєму болоті та бачить в іншому ворога. Ми маємо багато прикладів, коли взаємодія державного та приватного сектора дає хороші результати».

Фото Getty Images