У Верховній Раді намагаються протягнути законопроєкт 8087 «Про захист інформаційної інфраструктури». Депутати та розробники документа кажуть, що саме так держава бачить розвиток кібербезпеки в майбутньому. Наголошуючи, що такі зміни в першу чергу необхідні для військових. Однак, в Міноборони, з цим не погоджуються. Проти також виступають представники бізнес спільноти та експерти з кіберзахисту. Тож, що не так з законопроєктом 8087, і по кому може сильно вдарити його прийняття, детальніше читайте в матеріалі.

Удар по Міноборони та ЗСУ

За словами нардепа, члену комітету з питань національної безпеки, оборони та розвідки Олександра Федієнка, основна ідея Законопроєкту 8087 в тому, щоб на секторальному рівні, Міноборони могло запровадити стандарти НАТО. Те ж саме стосується інших міністерств, яким потрібно буде запровадити свої власні стандарти. Однак для цього має бути єдина концепція, яку задає Держспецзв'язку згідно з чинним законодавством.

«Має бути взаємодія між всіма групами. Зараз вона відбувається в сигналі (месенджер) - це не правильно. Однак, заперечення по законопроєкту є від Міноборони. Вони не можуть побудувати свої системи, тому що просто поки не розібралися в цьому питанні. Хоча військові кажуть, що їм потрібен цей законопроєкт»,- каже нардеп.

Правда згідно з документами Міноборони, саме нардепи не хочуть детальніше розібратися в законопроєкті. Бо ще з квітня наші захисники чекають створення робочої групи задля усунення відповідних ризиків.

До речі, на офіційний запит журналістів в Міноборони відповіли, що неодноразово надавали письмові пропозиції до законопроєкту 8087, у яких наголошувало на необхідності врахувати інтереси сил оборони, пов’язані насамперед із виконанням завдань в умовах бойових дій.

Зокрема, що про право самостійно визначати вимоги, порядок здійснення авторизації, створювати заходи й системи з безпеки інформації є важливою складовою зміцнення спроможностей Міністерства оборони України в умовах військової агресії російської федерації. Окрім того, оборонне відомство має зберегти самостійність у визначенні умов постачання, критеріїв товарів, робіт, послуг, що забезпечують функціонування інформаційно-комунікаційних систем Збройних Сил України, інших утворених відповідно до закону військових формувань.

На думку, експерта з кібербезпеки, екскерівника підрозділу по боротьбі із кіберзлочинністю Костянтина Корсуна, заява нардепа Олександра Фєдієнка про те, що законопроєкт 8087 просять прийняти військові, не відповідає дійсності.

“ Військовим це точно не чим не допоможе, навпаки, може зашкодити. В документі є норма про призначення офіцерів з кібербезпеки у ЗСУ, Міноборони й інші військові формування. Погоджуватимуть призначання таких офіцерів саме у Держспецзв'язку. А це загрожує подвійним підпорядкуванням. Тобто і Держспецзв'язку, і військовому командуванню. Це точне не допоможе якісно виконувати завдання ЗСУ. Крім того, офіцери Держспецзв'язку будуть чужими у військовій системі. Їм з нуля треба буде розбиратися у всіх автоматизованих, комунікаційних та програмних військових системах та програмних засобах. Чужа людина у військах матиме доступ до програмного забезпечення та військових мереж. Зокрема до військової таємниці. Також це ще може перешкоджати виконанню загальної задачі. Саме тому військові проти прийняття законопроєкту 8087 у поточній редакції”,- каже К. Корсун.

Від контролю за критичною інфраструктурою до перевірок бізнесу

Автори законопроєку зазначають, що згідно з документом, відкривається цілий напрямок перевірок на вразливість об’єктів критичної інфраструктури або інформаційної структури.

«Наприклад, на підприємстві немає фахівця з кібербезпеки, але завдяки законопроєкту це можна буде легко зробити. Зараз цьому заважає юридична невизначеність. Крім того, аудит покаже, що відбувається в держінституціях. Тобто законопроєкт 8087 стосується лише державних установ та об’єктів інфраструктури І та ІІ категорії»,- каже нардеп О. Федієнко.

До речі, за його підрахунками в Україні на сьогодні працюють 20 тисяч об'єктів критичної інфраструктури. А 90% перебувають у приватній власності.

В свою чергу, експерт з електронних комунікацій, ексзаступник Міністра економіки України з питань цифрового розвитку, цифрових трансформацій і цифровізації Ігор Дядюра зазначає, що законопроєкт 8087 містить правильні та потрібні норми, але деякі його положення прописані таким чином, що створюють надпотужні умови для корупції та тиску на бізнес.

«Коли 9 суб’єктів одночасно займаються кібербезпекою, виникає непотрібний, навіть шкідливий “паралелізм”, і не зрозуміло, хто ж відповідає за систему в цілому. Тому цей закон потрібен, але дещо треба точно поправити, перш за все щодо об'єктів та предмету контролю, перевірок і приписів. Законопроєкт 8087 наділяє службу Держспецзв'язку дуже широкими, надзвичайними, майже диктаторськими повноваженнями, яких немає навіть у поліції та ЗСУ (наприклад, без рішення суду, просто так, заходити в усі приміщення; або отримувати доступ до будь-яких документів; і багато іншого аналогічного). Все це стосується підприємств, де обробляється інформація з обмеженим доступом, вимога для захисту якої встановлена законом. Було б доцільно обмежити об’єкти перевірки критичною інфраструктурою та підприємствами, які обробляють таємну і службову інформацію, і не розповсюджувати на всіх. Те, що прописано в законопроєкті зараз, стосується майже всіх підприємств, бо як мінімум персональні дані своїх клієнтів, партнерів, працівників обробляє майже кожне підприємство",- каже Ігор Дядюра.

Також він підкреслив, що в законі про персональні дані є вимоги для захисту цієї інформації.

“ Вона має захищатися, але досі відсутні вимоги, як саме. Однак Держспецзв'язку наддадуть повноваження – «перевіряти, де не знаю що”. Тож чи буде Держспецзв'язку після прийняття 8087 одразу перевіряти інтернет-магазини, провайдерів доступу до Інтернет, чи списки клієнтів у ФОПів, питання відкрите. Законодавство має бути конкретним, зрозумілим, не допускати дискрецій і свавілля, не викликати думок, чи "буде у мене маски-шоу, чи ні», - каже Ігор Дядюра.

До речі, саме тому в НАЗК були проти прийняття законопроєкту 8087 та просили внести відповідні зміни.

Однак голова практики технологій, електронних комунікацій та кібербезпеки партнер юридичної фірми "Астерс" Юрій Котляров зазначив, що всі попередні зауваження НАЗК щодо законопроєкту 8087, який викликав дискусію серед окремих експертів, були усунені.

Про це він заявив в коментарі журналістам.

“Зауваження, на мій погляд, не були критичними. А профільний комітет після їх отримання вніс зміни до законопроєкту. Наскільки мені відомо, згідно з останнім листом НАЗК зауважень немає. Тож критика законопроєкту з посиланням на НАЗК з боку двох-трьох людей, не відповідає дійсності»,- каже Юрій Котляров.

На питання, чи дійсно законопроєкт 8087 буде контролювати бізнес та інтернет, Юрій Котляров відповів наступне:

“Ми багато спілкуємось з широким колом бізнес спільноти різного рівня. Тому, по-перше, такі заяви розповсюджує не бізнес-спільнота, а лише декілька представників одного-двох невеликих провайдерів, у яких здається склалась історична недовіра до певних державних органів.

По-друге, хоча б мені самому хотілось би дещо змінити в цьому законопроєкті, проте, на мою думку, він не містить критичних ризиків про які ви питаєте.

Якщо розглядати інтернет- провайдерів, то їх це буде достатньо обмежено стосуватися лише в тому випадку, якщо вони будуть надавати сервіс, що безпосередньо повʼязаний із забезпеченням функціонування інформаційних систем держави і тільки в частині виконання заходів безпеки. Це буде відбуватись в контексті управління ризиками ланцюгу постачання. З цього приводу на рівні Євросоюзу та США є чіткі вимоги, які стосуються виконання такими постачальниками заходів безпеки. В інших випадках цей законопроєкт навряд чи стосується інтернет-провайдерів, якщо вони не є операторами критичної інфраструктури та їх обʼєкти не внесені в реєстр критичної інфраструктури.

І ще, з точки зору саме представників ринку кібербезпеки, законопроєкт 8087 якраз може стимулювати розвиток сервісів та відповідно самого ринку кібербезпеки в Україні. В широкому колі представників ринку ми це публічно обговорювали.”- каже Ю. Котляров.

До речі, нардеп О. Федієнко також підкреслив, що законопроєкт 8087 не має відношення до інтернет-провайдерів.

«Інтернет-провайдер згідно з законом взагалі немає права втручатися в інформацію, яка передається. Тобто провайдер не знає, що в середині Мережі та не повинен за законом туди втручатися. Законопроєкт 8087 на них жодним чином не розповсюджується. Ніхто не буде ходити до них з перевірками»,- каже нардеп.

З цим не погоджується експерт з питань кібербезпеки К. Корсун. Зазначаючи, що документ наділяє Держспецзв'язку надзвичайними повноваженнями. Адже перевірки проводитимуть не тільки у держструктурах.

“ В законопроєкті є фраза: в державних органах, установах, організаціях. А це можна трактувати, як весь приватний бізнес без виключення. Якби це стосувалося лише держорганів, то було б написано наступне: державних органів, держустановах, держорганізаціях. Тому така подвійність трактування веде до того, що кожен зможе це тлумачити на свою користь. Тобто це може бути приводом, щоб Держспецзв'язку мало прямий вплив на абсолютно усі організації та установи усіх форм власності. Також це стосується об'єктів критичної інфраструктури. Поки що їх повного списку немає, але в ньому будуть 70-80 % приватних підприємств, а це - тисячі організацій. Зокрема, це стосується різних нафтогазових, енергетичних чи телекомунікаційних компаній”,- каже К. Корсун.

Він підкреслив, що більшість об'єктів критичної інфраструктури належать приватному сектору.

“ Тому цей законопроєкт побудовано не на демократичних принципах. В законопроєкті 8087 побудована монархія та жорстка вертикаль, де усім керує Держспецзв'язку»,- каже К. Корсун.

Чи є вихід?

За словами експертів, законопроєкт треба доробити. Зокрема, повноваження, які надаються Держспецзв'язку, мають бути розділені між різними організаціями.

«В США та Британії це три різні відомства. Тобто стандарти - це одна установа, здійснення захисту - друга, а контроль ефективності третя. Таким чином виключаються корупційні ризики. Наприклад, в США стандарти розробляє NISТ, протидію технічним розвідкам здійснює ФБР, а захистом критичної інфраструктури від кіберзагроз займається інша організація. Тому там є баланс. В Україні ж Держспецзв'язок сам буде розробляти правила та контролювати їх виконання. Тому ніякої об'єктивності не буде, а виникнуть нові корупційні ризики, - через те, що все хочуть віддати в руки Держспецзв'язку ”,- каже К. Корсун.

На думку ексзаступника Міністра економіки України з питань цифрового розвитку І. Дядюри, що уникнути в цьому питанні свавілля та корупції в Україні, доцільно застосовувати приклад Європи, де 2022 року прийнято відповідну безпекову директиву NIS2.

«Очевидно, що і нам теж це треба, якщо ми ж рухаємось в ЄС. До речі, там підприємства критичної інфраструктури поділені і за галузями, і за масштабом, і до них застосовуються різні підходи. Автори законопроєкту з цим погоджуються, але чомусь не хочуть вносити в нього відповідні зміни.

В такому вигляді законопроєкт приймати не можна. Це шлях до корупції та тиску на бізнес. Адже документ створює умови, щоб майже на всі підприємства заходили з перевірками, замість того, щоб концентруватися на критичній інфраструктурі та підприємствах, які обробляють таємну та службову інформацію. Тобто, головну проблему можна було б вирішити заміною "інформації з обмеженим доступом" на "таємну і службову інформацію", - резюмує експерт.

До речі, доробити законопроєкт вимагають не лише експерти. Мінфін та головне юридичне управління Верховної Ради надіслали свої зауваження та пропозиції до авторів та розробників документа.

---------------------------------------------------------------------------

Рекомендуем по теме отличный эфир со специалистом по кибербезопасности Иваном Петуховым.