Посилення кібербезпеки інформаційних ресурсів: чи вплине це на бізнес?
Верховна Рада розглядає законопроєкт у сфері кібербезпеки, що може призвести до створення нового “правоохоронного органу”. Парламент відправив документ на доопрацювання перед другим читанням. Ухвалений у першому читанні проєкт закону передбачає встановлення контролю за “будь-яким постачальником послуг, інтернет-провайдером, дата-центром, інтернет-магазином чи інтернет-сервісом”. Ця норма, зокрема, стала предметом дискусій та суперечок. Розглянемо детальніше, які ж положення законопроєкту підпадають під найбільшу критику, а які можна вважати позитивними нововведеннями.
Проєкт закону “Про внесення змін до деяких законів України щодо невідкладних заходів посилення спроможностей із кіберзахисту державних інформаційних ресурсів та об'єктів критичної інформаційної інфраструктури” №8087 має на меті насамперед створення національних систем реагування та обміну інформацією про інциденти кібербезпеки, кібератаки, кіберзагрози та впровадження системи державного контролю за станом технічного захисту інформації та кіберзахисту.
Законопроєкт передбачає, що основні зміни нормативної бази стосуватимуться інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, у яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, об’єктів критичної інфраструктури (зокрема, інформаційної), а також постачальників та їхніх субпідрядників, які постачають товари, роботи, послуги, що забезпечують функціонування вказаних систем та об’єктів.
До об’єктів критичної інфраструктури зараховують підприємства, установи та організації, діяльність яких безпосередньо пов’язана з технологічними процесами та/або наданням послуг, що мають велике значення для економіки й промисловості, функціонування суспільства і безпеки населення, виведення з ладу або порушення функціонування яких може справити негативний вплив на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та/або становити загрозу для життя і здоров’я людей. А комунікаційні або технологічні системи таких підприємств, установ і організацій зараховують до об’єктів критичної інформаційної інфраструктури.
Інтернет-асоціація України листом до комітетів Верховної Ради від 25.01.2023 № 04/1-4 надала зауваження до проєкту закону № 8087 від 29.09.2022, серед яких основними є:
- наявність вимог з кібербезпеки до всіх постачальників (субпідрядників) товарів, робіт, послуг, спрямованих на забезпечення функціонування інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, де обробляються державні інформаційні ресурси або інформація з обмеженим доступом;
- втручання в діяльність суб’єктів господарювання шляхом встановлення вимоги щодо призначення офіцерів з кіберзахисту на об'єктах критичної інфраструктури та фактична неможливість належного забезпечення об'єктів критичної інфраструктури такими кадрами;
- поширення вимог закону щодо кіберзахисту на всіх об'єктах критичної інфраструктури без диференціації за категоріями критичності;
- визначення терміна “об’єкт інформаційної діяльності”, оскільки під це визначення потрапляє необмежене коло суб’єктів господарювання у сфері інформації, що можуть необґрунтовано потрапити під заходи державного регулювання.
Водночас редакція законопроєкту (з урахуванням рекомендованих комітетом поправок) станом на 14.06.2023 враховує, принаймні частково, вказані зауваження, зокрема шляхом внесення таких змін:
- Щодо постачальників (субпідрядників): Державна служба спеціального зв’язку та захисту інформації України визначатиме вимоги до таких суб’єктів з урахуванням рівня ризику, пов’язаного з постачанням товарів, робіт і послуг замовникам. Також пропонується запровадити рекомендаційний порядок встановлення вимог щодо постачань на об’єкти ІІІ і IV категорій критичності.
- Щодо призначення офіцерів з кіберзахисту: обов’язки із захисту інформації та кіберзахисту в органах державної влади, органах місцевого самоврядування та операторів критичної інфраструктури щодо об'єктів критичної інфраструктури І і II категорій критичності пропонують покласти на керівників (або осіб, які виконують їхні функції та завдання) з кіберзахисту (крім осіб, які виконують такі функції та завдання в основних субʼєктах національної системи кібербезпеки в Україні, що входять до сектору безпеки і оборони України). Вимоги щодо посадових окладів таких осіб вилучені з проєкту закону.
- Щодо терміна “об’єкт інформаційної діяльності”: наразі інженерно-технічні споруди (будівлі, приміщення тощо), відокремлені території (зони), транспортні засоби, намети, підпадають під це визначення, якщо в них провадиться діяльність, пов’язана з державними інформаційними ресурсами та інформацією з обмеженим доступом, вимога щодо захисту якої встановлена законом.
Водночас поправками до закону не було звужено перелік об'єктів критичної інфраструктури за категорією критичності, що підпадатимуть під дію вимог названого законопроєкту.
Також причиною критики проєкту закону є поширення дискреційних повноважень контролювальних служб із кібербезпеки на системи, в яких обробляється інформація з обмеженим доступом. Це зумовлене тим, що, відповідно до Закону України “Про інформацію”, така інформація охоплює, зокрема, і конфіденційну інформацію, тобто інформацію про фізичну особу, що може міститися на будь-якому персональному комп’ютері чи базі даних численних приватних підприємств.
Хоча в цьому випадку законодавці в останніх поправках також додали винятки: “крім систем банків, інших осіб, що здійснюють діяльність на ринках фінансових послуг, державне регулювання та нагляд за діяльністю яких здійснює Національний банк України, операторів платіжних систем та/або учасників платіжних систем, технологічних операторів платіжних послуг, а також єдиної системи технічних засобів, яка призначена для зняття інформації з електронних комунікаційних мереж”, що в результаті обмежує коло контрольованих суб’єктів, але не тією мірою, яку критики законопроєкту вбачають достатньою.
До дискреційних повноважень контролювальних служб, що викликають найбільший резонанс, можемо зарахувати:
- Держспецзв’язок визначає типові вимоги до підрозділів з кіберзахисту, керівників з кіберзахисту та до осіб, які виконують функції та завдання керівників з кіберзахисту, а також погоджує призначення таких осіб;
- Держспецзв’язок має право надавати обов’язкові до виконання вимоги про усунення встановлених відповідно до закону порушень законодавства щодо невиконання вимог законодавства у сферах захисту інформації та кіберзахисту;
- Держспецзв’язок має право надавати обов’язкові до виконання вимоги про реагування, які є актами організаційно-розпорядчого характеру;
- Держспецзв’язок має право проводити планові та позапланові перевірки об'єктів контролю, до яких можуть бути залучені посадові або службові особи Національної поліції України, Служби безпеки України, Міністерства оборони України та Генерального штабу Збройних Сил України, розвідувальних органів, Національного банку України;
- посадові особи Держспецзв’язку мають право отримувати доступ до території, будівель, споруд, приміщень, інших об'єктів контролю, ознайомлюватися з усіма документами та матеріалами, отримувати інформацію, зокрема інформацію з обмеженим доступом, копії необхідних документів, письмові та усні пояснення посадових осіб, перевіряти законність використання програмного забезпечення, у разі якщо це необхідно для дослідження питань, безпосередньо пов’язаних зі здійсненням контролю за технічним захистом інформації та кіберзахистом;
- посадові особи Держспецзв’язку також мають право складати протоколи про адміністративні правопорушення, отримувати персональні дані та інші дані, необхідні для складання такого протоколу, та надсилати до суду матеріали про адміністративні правопорушення.
Поряд з цим медіа та громадянам, зацікавленим у підвищенні власного рівня кібербезпеки, варто звернути увагу на те, що законопроєкт також передбачає створення відкритого реєстру забороненого до використання програмного забезпечення (а відповідно до останніх поправок – “та комунікаційного (мережевого) обладнання”).
До комунікаційного (мережевого) обладнання зараховують пристрої, що забезпечують формування комп’ютерної мережі (модеми, роутери, концентратори, мости тощо).
Повноваження щодо забезпечення функціонування такого реєстру покладаються на Держспецзв’язок, який також визначатиме порядок ведення реєстру (відповідно до останніх правок – переліку) авторизованих систем з безпеки інформації, вноситиме до нього системи, надаватиме доступ та інформацію з реєстру, а також набуде функцій головного уповноваженого органу з авторизації таких систем.
Інформація з такого реєстру буде відкритою, загальнодоступною і безоплатною та доступною на сайті органу авторизації.
Законопроєктом (з урахуванням правок) пропонується таке визначення авторизованих систем: “авторизована система – інформаційна, інформаційно-комунікаційна, електронна комунікаційна, технологічна система або їхні окремі компоненти, об’єкт критичної інформаційної інфраструктури, в яких запроваджені заходи та/або системи з безпеки інформації, що пройшли авторизацію з безпеки”.
Варто зазначити, що процедура авторизації таких систем безпеки та їхній відкритий перелік надасть змогу підприємствам, установам, організаціям визначитись із необхідною системою для ефективної протидії загрозам з витоку чи втрати інформації.
Очевидно, що законопроєкт надалі доопрацьовують і народні депутати вносять до нього численні правки, зокрема з метою звуження недоцільно широкого спектра підприємств, установ, організацій приватної форми власності, на яких спрямовані досить серйозні контролювальні повноваження Держспецзв’язку та його посадових осіб.
У будь-якому разі посилення кібербезпеки державних інформаційних ресурсів та інфраструктури дозволить більшою мірою розраховувати на стабільність системи інформування суспільства загалом, але тільки в разі, якщо законодавцям вдасться оминути створення нового “правоохоронного” органу з відповідними наслідками для бізнесу.
Help us be even more cool!