8 ноября Президент подписал Закон «Об основных принципах обеспечения кибербезопасности Украины», который вступит в силу 9 мая следующего года. Таким образом, у государства есть 6 месяцев на его реализацию, а у телеком-индустрии – на приведение своей деятельности в соответствие с его положениями.
Законом, прежде всего, дано определение таким распространенным понятиям как «кибератака», «кибербезопасность», «киберпреступления», «кибертерроризм», «кибершпионаж» и другие, которые уже давно применяются на практике, при этом ни одним из законов не определено их четкое разъяснение.
Также в Закон заложены главные принципы в сфере обеспечения кибербезопасности, которые до этого момента основывались на документах «для служебного использования» или на уровне Решений СНБО и Указов Президента.
До момента вступления в силу Закона госорганам необходимо будет разработать и утвердить большой объем документов для того, чтобы этот Закон действительно заработал. То есть, законодателями задан вектор, а как уже будут реализованы нормы Закона, зависит, в том числе, от активности и профессионализма всех вовлеченных в процесс сторон.
Один из важных моментов Закона – это необходимость формирования и утверждения перечня объектов критической инфраструктуры, к которой могут быть отнесены почти все предприятия, осуществляющие свою деятельность на телеком-рынке.
Учитывая этот факт, хочу обратиться к Решению СНБО Украины от 29 декабря 2016 «О совершенствовании мер обеспечения защиты объектов критической инфраструктуры». Указанным Решением уже предусмотрена необходимость (при участии СБУ, Службы внешней разведки, НБУ) внести в зал Верховной Рады проект Закона Украины «О критической инфраструктуре и ее защите» с четко определенными положениями, которые должны быть отражены в Законопроекте.
То есть, почти год назад была поставлена задача по урегулированию вопроса критической инфраструктуры. Однако, такой проект Закона до сих пор не зарегистрирован в ВРУ. Зато Закон о кибербезопасности принят и именно в нем законодатели отобразили почти все положения, которые необходимо было ввести в проект ЗУ «О критической инфраструктуре и ее защите».
В данном случае считаю, что это все же лучше, чем совсем ничего.
Итак, переходя к нормам Закона о кибербезопасности, надо отметить, что он содержит достаточно важные положения, которые непосредственно повлияют на рынок телекоммуникаций.
1 На кого же НЕ распространяется действие Закона?
Закон не регулирует:
- социальные сети, частные электронные информресурсы в Интернете (включая блог-платформы, видеохостинги, другие веб-ресурсы), в случае отсутствия у них информации с ограниченным доступом или же с «грифом секретности»;
- деятельность, связанную с защитой информации, составляющей государственную тайну;
- содержание информации, которая хранится и/или обрабатывается;
- системы, которые не взаимодействуют с публичными сетями, не подключены к сети Интернет, другой глобальной сети.
2Все ли операторы, провайдеры телекоммуникаций – это объекты критической информационной инфраструктуры?
Вот тут интересно! Законом устанавливается необходимость утверждения Перечня таких объектов. К таким объектам гипотетически могут быть отнесены все предприятия, учреждения и организации, осуществляющие деятельность и оказывающие услуги в области ИКТ, электронных коммуникаций. То есть, вероятность отнесения всех провайдеров, операторов телекоммуникаций к таким объектам существенная.
Кроме того, можно утверждать, что в Законе допущено некую методологическую неточность, поскольку операторы, провайдеры как предприятия не могут быть объектами критической информинфраструктуры, потому как по сути они – субъекты.
Вместе с тем, сегодня на законодательном уровне ни одним из нормативных актов не предусмотрено определение электронных коммуникаций. В Раде зарегистрированы шесть (!) законопроектов «Об электронных коммуникациях», ни один из них до сих пор не находит необходимой поддержки в стенах «здания под куполом».
3Можем ли мы рассчитывать на прозрачность при формировании перечня объектов критической информационной инфраструктуры?
Законом заложено, что одним из принципов принятия госорганами решений является прозрачность и обоснованность, а также обязательность уведомления субъектов, которых они касаются, до вступления этих решений в силу (их применения).
Да, возможно норма и декларативная, но ее применение органами власти в дальнейшем будет иметь чрезвычайно большое значение. Поскольку и принятие решения по формированию и утверждению Перечня таких объектов должно приниматься обосновано и быть доведенным до сведения субъектов, которых они касаются. И это логично.
4Реестр объектов критической информационной инфраструктуры – идея хорошая, но как она будет реализована?
Законом определяется, что объекты критической информационной инфраструктуры будут внесены в соответствующий Реестр. Обеспечиваться формирование и функционирование такого Реестра будет в порядке, установленном Кабинетом Министров. Законом предусмотрен такой Реестр, но не определены четкие полномочия за конкретным государственным органом, который будет его вести, вносить в него такие объекты и т.д.
5Система аудита информационной безопасности – положительная новелла или дополнительная лазейка для злоупотреблений?
Законом вводится система аудита информационной безопасности на объектах критической инфраструктуры, а КМУ предоставлены полномочия по формированию требований и обеспечению функционирования такой системы.
То есть субъекты хозяйствования, отнесенные к объектам критической инфраструктуры будут обязаны обеспечить проведение аудита информационной безопасности, а внедрять указанный аудит и устанавливать требования к таким аудиторам, определять порядок их аттестации (переаттестации) будет Госспецсвязи.
Периодическая аттестация (переаттестация) персонала, ответственного за обеспечение кибербезопасности объектов критической инфраструктуры Законом вводится, как обязательное требование.
6 «Негласные проверки» и «контроль на уязвимость» системы киберзащиты – единственно необходимая мера для обеспечения кибербезопасности?
Госспецсвязи получила дополнительные полномочия по контролю киберзащиты объектов критической информационной инфраструктуры, а также координации, организации и проведению аудита защищенности телеком- и тех- систем объектов критической инфраструктуры.
Служба безопасности Украины наделяется полномочиями негласно осуществлять такие себе «краш-тесты» готовности Объектов к возможным кибератакам и киберинцидентам. Однако утверждение порядка и взаимодействия по проведению таких негласных проверок Законом не предусмотрено.
7Законом устанавливается дополнительная ответственность для владельцев и/или руководителей предприятий, которые будут отнесены к критической инфраструктуре, а именно за организацию проведения независимого аудита информационной безопасности на указанных объектах.
8 Также такие предприятия (независимо от формы собственности) будут обязаны безотлагательно информировать CERT-UA об инцидентах кибербезопасности; взаимодействовать с украинскими командами реагирования на компьютерные чрезвычайные происшествия, а также CERT-UA. Однако, опять же утверждение порядка такого взаимодействия Законом не предусмотрено.
9Вводятся ограничения по обеспечению информационной безопасности и кибербезопасности для субъектов государства-агрессора или лиц, подпадающих под действие спец санкций:
- на участие в мероприятиях обеспечения информационной безопасности и кибербезопасности (что в данной ситуации является обоснованно);
- на использование продукции, технологий и услуг таких субъектов.
10Предусмотрена ответственность (гражданская, административная, уголовная) за правонарушения, совершенные в киберпространстве (то есть, если местом или способом осуществления выступает киберпространство).
Подытоживая, необходимо отметить важность принятия указанного Закона.
Вместе с тем, де-факто, в случае отнесения того или иного провайдера, оператора к объекту критической инфраструктуры у него появятся обязательства ввести своего рода «систему кибербезопасности» и привлечь сертифицированных Госспецсвязью аудиторов для проведения ее аттестации, обеспечить постоянную переаттестацию своего ответственного персонала, что потянет за собой существенные финансовые затраты.
Однако, критерии отнесения того или иного телеком-оператора, провайдера к критической инфраструктуре Закон не содержит, а предоставляет ссылку на необходимость их утверждения в дальнейшем.
Поэтому, с целью эффективной реализации норм Закона вопрос установления четких критериев является открытым и требует особого внимания как со стороны ответственного ведомства, так и самих субъектов рынка. Также стоит рассмотреть такой вариант, как предоставление владельцу бизнеса права выбора: относить себя к таким объектам или нет (по так называемому «регистрационному принципу» даже с возможной последующей проверкой правильности такого отнесения со стороны государства).
Бизнес должен понимать, что он получит в качестве «плюшки» от государства в случае отнесения себя к критической инфраструктуре, ведь по сути, телеком-провайдеры будут выполнять функции свойственные государству.
Кроме того, считаю, что государственно-частное партнерство должно быть настоящим партнерством, а не иллюзией, которая больше напоминает безоговорочное навязывание требований и завуалированное давление на бизнес.
Впрочем, время покажет, сможем ли мы реализовать известное выражение «Спасение утопающих – дело рук самих утопающих».