26 травня 2017 року Верховна Рада відправила на повторне друге читання законопроект №2126а «Про основні засади кібербезпеки України». Цей законопроект містить ряд скандальних правок, внесених для блокування роботи системи Prozorro, про що писав Максим Нефьодов, та про що багато писали в ЗМІ.
Проте перелік проблем з цим законопроектом значно ширший ніж проблеми PROZORRO.
Законопроект містить ряд положень, які створюють умови для зловживань та надають чиновникам інструменти, що дозволять чинити тиск на бізнес. В той же час, не дозволять суттєво підняти рівень кібербезпеки держави.
Ця стаття надає стислий опис поточної версії законопроекту, його основних проблем, а також пропозиції щодо його покращення з точки зору міжнародного досвіду.
Поточня версія законопроекту
Поточна версія законопроекту вводить важливі базові поняття і визначає права і обов'язки державних органів щодо кібербезпеки. Пропонується наступний розподіл функцій:
1) РНБО визначається як основний орган, що здійснює стратегічне управління кібербезпекою та координацію суб'єктів забезпечення кібербезпеки (силових відомств);
2) Держспецзв'язок (ДССЗЗІ) – відповідає за формування та реалізацію державної політики щодо захисту в кіберпросторі державних інформаційних ресурсів, об'єктів критичної інфраструктури (в тому числі приватної форми власності) та інформації, вимоги щодо захисту якої встановлені законом, та здійснює державний контроль у цій сфері. Держспецзв'язок також встановлює вимоги та проводить сертифікацію компаній-аудиторів, які проводять аудит системи кіберзахисту.
Згідно із законопроектом, якщо Вашу організацію буде віднесено до критичної інфраструктури – а фактично це всі великі підприємства, медіа, телекомунікаційні компанії, генерація, передача та розподіл електроенергії, води, газу, виготовлення продуктів харчування тощо, – Ваша організація буде зобов'язана впровадити Комплексну систему захисту інформації (КСЗІ) та запросити компанію-аудитора, ліцензованого Держспецзв'язком, для проведення перевірки побудованої системи захисту та видачі сертифікату відповідності.
За Держспецзв'язком залишається контроль дотримання законодавства в сфері захисту інформації, проведення державної інспекції в цій сфері відповідно до закону про захист інформації в інформаційно-телекомунікаційних системах, який діє на даний час. Цей закон вимагає створення так званої КСЗІ для захисту інформації з обмеженим доступом чи грифом таємності;
3) Підпорядкований Держспецзв'язку державний центр реагування на кібератаки – CERT-UA – допомагає в підготовці, реагуванні та відновлені після кібератак;
4) МВС – відповідає за запобігання та розслідування кіберзлочинів;
5) Міноборони та Генштаб – забезпечення кібероборони військових об'єктів, а також забезпечення кіберзахисту об'єктів критичної інфраструктури під час війни та надзвичайного стану;
6) СБУ – запобігання, виявлення, припинення та розслідування терористичних атак e кіберпросторі. Також СБУ надається повноваження проводити таємні перевірки об'єктів критичної інфраструктури;
7) Кабміну надається право визначати критерії віднесення організацій до об'єктів критичної інфраструктури, та формувати перелік таких об'єктів;
8) НБУ – регулятор з кібербезпеки в банківській сфері – має право на встановлення в цій сфері власних стандартів та організацію перевірки їх дотримання (що наразі вже відбувається – банківський сектор України давно впровадив міжнародний стандарт захисту інформації ISO-27001);
9) Власники об'єктів критичної інфраструктури – зобов'язані запровадити систему кібербезпеки та залучити сертифікованих Держспецзв'язком аудиторів для проведення її атестації.
Ще декілька важливих моментів.
У законопроекті зазначається, що методика аудиту кібербезпеки буде визначена на основі міжнародних стандартів. Але водночас ніхто не відміняє поточний «Закон про захист інформації в інформаційно-телекомуніукаційних системах», що вимагає створення КСЗІ, яка, на думку більшості експертного співтовариства, є неефективною.
Більше того, у прикінцевих положеннях законопроекту про основні засади кібербезпеки включено зміни в закон про інформацію. Ними вводиться визначення «технологічна інформація» – це дані систем, які контролюють технологічні процеси на промислових об'єктах. З цією інформацією працюють так звані SCADA та АСУТП системи, наприклад, на заводах.
Законопроектом пропонується захищати технологічну інформацію об'єктів критичної інфраструктури за допомогою створення КСЗІ.
Основні проблеми з законопроектом про основні засади кібербезреки
І. Вершник без голови.
Законопроект не визначає єдиного органу, який здійснює оперативне командування всіма суб'єктами забезпечення кібербезпеки у мирний час.
РНБО здійснює лише координацію та стратегічне управління. Генштаб – оперативне управління в «особливий період». Але на практиці кібервійну ніхто ніколи не об'являє. Фактично, вона ніколи не припиняється.
Тому без єдиного відповідального органу, що буде мати повноваження командувати всіма силами за засобами кібербезпеки, ми не зможемо ефективно реагувати, що було видно під час хвилі кібератак на Україну в грудні 2016 року.
ІІ. Відсутній трансформаційний підхід.
Не визначено організацію, яка управлятиме впровадженням кібербезпеки на загальнодержавному рівні (та охопить не тільки силові відомства, але й академічний, громадський та приватний сектори, пересічних громадян).
ІІІ. «Годівничка» для фірм-ліцензіатів, чи механізми тиску на бізнес?
Держспецзв'язок має надмірні повноваження з аудиту об'єктів критичної інфраструктури, що знаходяться в приватній власності. По суті, це буде весь великий та середній бізнес. Водночас, Держспецзв'язок має право визначати вимоги для аудиторів та порядок їх атестації.
Це створює можливості для зловживань, тиску на бізнес з боку держави, передумови для корупції – наприклад, ліцензії для аудиту будуть видаватися тільки «своїм» фірмам, які, в свою чергу, будуть робити перевірки «на папері», – та взагалі суперечить політиці держави з дерегуляції.
Нажаль, практика показує, що наявність ліцензіата не гарантує високого рівня якості. Водночас, міжнародні професійні сертифікації з кібербезпеки та ІТ-аудиту на визнаються.
IV. КСЗІ продовжує жити?
Поточне законодавство, що вимагає створення неефективної КСЗІ, не скасовується. Більш детально, чому саме КСЗІ неефективна, можна прочитати за цим посиланням.
Натомість вимоги впровадження неефективної КСЗІ поширюються на SCADA/АСУТП системи промислових об'єктів – заводів, газо/водо/електро-розподільних підприємств тощо.
V. Тотальне шпигунство, чи право держави атакувати приватний бізнес?
СБУ має надмірні права з проведення таємних перевірок кібербезпеки критичних об'єктів. Це, по суті, надає СБУ права проводити хакерські атаки на приватний бізнес.
Що потрібно змінити у законопроекті
1. Визначити єдиний орган, що буде здійснювати оперативне командування всіма суб'єктами забезпечення кібербезпеки (кібер-підрозділами силових відомств) у мирний час. Пропонується визначити таким органом Генштаб Збройних Сил, у відповідності до моделі прибалтійських країн.
2. Визначили Офіс Трансформації Кібербезпеки, який здійснюватиме управління, відслідковування та координацію впровадження кібербезпеки на національному рівні – на кшталт Офісу реформ.
3. Обмежити повноваження Держспецзв'язку та СБУ об'єктами критичної інфраструктури, що є власністю держави.
Щодо приватних об'єктів – віддати повноваження з регулювання та контролю кібербезпеки галузевим регуляторам, міністерствам, або саморегулюючим організаціям, створеним учасниками відповідних галузей, у відповідності до моделі, яка працює в США.
Аудит кібербезпеки приватного бізнесу має проводитись незалежними аудиторами або самими власниками критичних об'єктів, і звіти – надаватися регуляторам. NERC CIP в США є прикладом саморегулюючої організації, що розробила галузеві стандарти з кібербезпеки для енергетичного сектора, які можна було б запровадити в Україні.
4. Вимоги щодо атестації аудиторів необхідно замінити на вимоги наявності в штаті аудиторів, сертифікованих згідно міжнародним стандартам, що забезпечить неупередженість процесу їх атестації.
5. Таємні перевірки критичних об'єктів приватної форми власності необхідно скасувати.
Які міжнародні стандарти пропонуєтеся запровадити замість КСЗІ:
– NIST Cybersecurity Framework – фреймворк з кібербезпеки, розроблений американським інститутом стандартів;
– Серія міжнародних стандартів ISO-27XXX – з інформаційної– та кібербезпеки;
– Галузеві стандарти з кібербезпеки, розроблені в різних країнах для таких галузей як енергетика, хімічна промисловість, залізничний транспорт, охорона здоров'я, водопостачання, телекомунікації та медіа, тощо.
Важливо також дати приватним компаніям можливість впроваджувати альтернативні стандарти та фреймворки з кібербезпеки, для того, щоб уникнути монополізації даного ринку та нечесної конкуренції. Наприклад, США дозволяє організаціям впроваджувати стандарти, альтернативні до NIST.
Оскільки законопроект все ж вкрай потрібен, пропонується обмежити його виключно об'єктами, що є власністю держави, а підходи до забезпечення кібербезпеки критичних об'єктів, що є в приватній власності, визначити в окремому законопроекті.
Цей, новий законопроект має пройти широке експертне обговорення – а не розроблятися в кулуарах, як поточний.