Тема кибербезопасности страны, которая стала особенно актуальной после атак вируса Petya.A, активизировала в экспертной среде разговоры о необходимости создания эффективного киберщита для Украины. Свою посильную лепту в этот процесс решили внести и народные избранники, придумав на законодательном уровне новые, более жесткие правила игры для участников телекоммуникационного рынка. Эксперты IT-индустрии называют депутатскую инициативу наступлением на свободу слова. Отчасти это признают и в Мининформполитики, но добавляют: защищать информационное пространство страны крайне необходимо. Какой он – киберщит по-депутатски, разбирался «Апостроф».
Выявить, предупредить, нейтрализовать
В парламенте было зарегистрировано два идентичных законопроекта 6676 и 6688 «По противодействию угрозам национальной безопасности в информационной сфере». Законопроект №6676, авторами которого стали «фронтовик» Андрей Тетерук и его коллега из БПП Иван Винник, был снят с рассмотрения. Тогда в Раде появилась практически аналогичная инициатива, только вместо Тетерука лавры авторства с Винником разделили нардепы от «Народного фронта» Дмитрий Тымчук и Татьяна Черновол.
Законопроектом №6688 вводится два существенных изменения в деятельность операторов телекоммуникационных услуг и владельцев веб-сайтов. В пояснительной записке к законопроекту отмечается, что данные изменения создадут «действенные механизмы, направленные на оперативное выявление, реагирование, предупреждение, нейтрализацию киберугроз, кибератак и киберпреступлений, ликвидацию их последствий».
Изменение первое, «Блокирующее»: В Украине станет возможным временно заблокировать любой интернет-ресурс. Для этого необходимо только решение суда, а если такого нет, достаточно будет доброй воли следственного судьи, а если и ее нет – воли прокурора или простого следователя по согласованию с прокурором. Заблокировать «временно» – означает на период досудебного следствия или суда. Основанием для такой блокировки является распространение через конкретный сайт информации, «с использованием которой совершаются тяжкие или особо тяжкие преступления». Кстати, в исключительных случаях, «связанных со спасением жизни людей и предотвращением совершения тяжкого или особо тяжкого преступления», сайт можно будет заблокировать на 48 часов вообще без решения судьи, следователя и прокурора.
Глава Интернет ассоциации Украины Александр Федиенко считает данные предложения абсурдными. «По сути полномочия следователя районного уровня уже могут быть приравнены к решению СНБО», - говорит он.
В то же время один из авторов законопроекта Иван Винник заверил «Апостроф», что никакого наступления на свободу в интернете тут и близко нет, а идея в том, чтобы оперативно прикрыть сайт, который может быть источником опасного вируса. «Без решения суда ресурс можно заблокировать только на 48 часов, а, например, человека без решения суда можно задержать на 72 часа. Более того, преступника на месте преступления может задержать любой человек, а не только следователь или сотрудник Нацполиции, и нет необходимости что-то согласовывать с прокурором. В чем тут жесткость? Когда нас атакует вирус, мы все кричим «спасите-помогите», а когда нужно что-то сделать первостепенное, начинаем все кричать про «зраду» и ущемление свободы слова», - говорит нардеп.
Примечательно, что заместитель министра информационной политики Дмитрий Золотухин, который работал над текстом законопроекта, правда, уже после его внесения в Верховную Раду, признался «Апострофу», что в плане сохранения свободы слова документ действительно не идеален.
«Определенные риски для аспектов, связанных со свободой слова, могут присутствовать в тексте, хотя, например, прослушивание телефонов – читай: нарушение права на конфиденциальность переговоров – точно так же может осуществляться во временном досудебном порядке, с целью предотвращения тяжкого преступления, и эта норма давно существует. Вопросы, связанные с информационной безопасностью, катастрофически требуют урегулирования, и недавняя кибератака это показала», - рассказал изданию Золотухин.
«После того, как я узнал о законопроекте, мне пришлось ночью изучать соответствие существующим нормам. Поскольку ранее никто не обращался по этому вопросу в министерство», - уточнил он.
Но если полномочия следователей и прокуроров распространяются только на временную блокировку ресурсов, то СБУ, в случае принятия законопроекта, может получить право банить сайты бессрочно без решения суда.
Изменение второе, «Финансовое»: После решения СНБО о блокировке доступа украинских пользователей к «вредным» российским сайтам и соцсетям многие интернет-провайдеры стали задаваться вопросом: как технически выполнить разнарядку сверху? Жаловались на нехватку специализированного оборудования и средств, намекая на долевое финансовое участие государства в этом вопросе. И государство «поучаствовало», обязав провайдеров, «которые используют международные каналы электросвязи, за собственные средства закупать и устанавливать технические средства, необходимые для блокирования доступа к информационным ресурсам (сервисам)».
Эта норма, по словам соавтора законопроекта Дмитрия Тымчука, может стать дискуссионной. «Если мы ее уберем и напишем «за счет государственного бюджета», то все спекуляции моментально пропадут, и все скажут, какой хороший это законопроект, его нужно было принимать три года назад – и не было бы у нас пророссийских пропагандистских ресурсов. Но, к сожалению, у нас нет доброй феи, которая по мановению волшебной палочки может предоставить оборудование, стоящее денег», - пояснил «Апострофу» Тымчук.
«Финансовую нагрузку по закупке оборудования для анализа трафика просто пытаются переложить на операторов», - говорит Федиенко.
На кого переложат эту нагрузку сами операторы? Очевидно, на своих абонентов, что сделает уанет дороже и медленнее. «Операторы вынуждены будут искать такую финансовую модель, в которой комфортность абонента должна оставаться мягкой. Невозможно вот так сразу взять – и резко поднять цены, поэтому, чтобы оставить удобную сумму абонплаты, придется значительно снизить скорость доступа к сети», - поясняет Александр Федиенко.
Однако Иван Винник призывает не драматизировать. «Речь идет о провайдерах, которые берут интернет вне страны (используют международные каналы электросвязи, как сказано в законопроекте, - «Апостроф»). Это крупные компании, и для них установить такое оборудование не представляет никакой финансовой нагрузки», - уверяет нардеп.
«А если компания не может закупать оборудование для контроля трафика, она имеет право работать на рынке с компаниями, которые могут это делать, перепродавая интернет, который идет из-за рубежа», - добавляет Дмитрий Тымчук.
«Да у нас, в принципе, все операторы используют международный трафик, - парирует Федиенко. – После того, как были агрессивные атаки на операторов, они даже национальные ресурсы вынесли в другие страны, и этот трафик уже для нас стал зарубежным».
Кроме того, остается большой вопрос и по поводу процедуры закупки самого оборудования для анализа трафика. В тексте законопроекта сказано, что оно должно отвечать техническим требованиям, которые определит Госспецсвязи по согласованию с СБУ.
«Не исключаю варианта, что появится какая-то одна компания, которая будет рекомендована как поставщик такого оборудования. Здесь могут быть элементы коррупции. Также не исключается возможность, что при установлении такого рода систем вашу электронную почту смогут читать», - резюмировал Александр Федиенко.
Позаботились авторы законопроекта и о штрафных санкциях в отношении операторов телекоммуникационного рынка. Если ранее в законах не было прописано, как наказывать несознательных провайдеров, которые не выполняли решения СНБО и продолжали баловать своих клиентов доступом к запрещенным сайтам, то теперь таким нарушителям грозит штраф – 1% от дохода за весь прошлый календарный год. Если в течение года нарушение произошло повторно, штраф увеличивается до 5% от дохода.
А поговорить?
По словам Ивана Винника, экстренно вносить в Раду законопроект за два дня до каникул необходимо было для того, чтобы страна получила хоть какой-то инструмент в борьбе с киберугрозами.
«Это же не единственный законопроект на тему кибербезопасности, которому парламент не уделил внимания. У нас есть, например, проект 2126а, который касается базовых изменений в Уголовный процессуальный кодекс, Уголовный кодекс и закон Украины об оперативно-розыскной деятельности, четко регламентирующий деятельность правоохранительных органов в борьбе с киберпреступлениями. Поэтому наш законопроект 6688 – это уже как крик души, учитывая, что базовые не проголосованы, мы решили хотя бы временно дать инструментарий. Когда будет очередная хакерская атака, о нем вспомнят 100%», - отмечает Винник.
Впереди у нардепов полтора месяца каникул. Все это время, по мнению Дмитрия Тымчука, необходимо использовать для того, чтобы детально обсудить законопроект.
«Я понимаю, что сейчас мы не можем предусмотреть все последствия. Более того, если там будет что-то нехорошее, но законопроект вынесут на голосование, я вам обещаю, что не буду голосовать за собственный законопроект, потому что его нужно обговаривать. Все кричат о том, что государство не может противостоять киберугрозам, но как только государство пытается что-то сделать, начинаются сказки о диктаторских законах и свободе слова», - резюмировал он.
«Такие решения вряд ли могут быть проведены без общественной поддержки, - добавляет Золотухин. – Хотя, конечно, все зависит от парламентариев и их политической воли».