Кого і як має захистити закон про кібербезпеку
6 жовтня 2017 р.Коли наприкінці червня низку комп'ютерних систем сколихнула одна з найбільших в історії України хакерських атак, вірус Petya, експерти знову заговорили про те, що, якби в Україні була належна нормативна база, то захистити передусім стратегічно важливі об'єкти було б простіше. Тепер основу цієї базі закладено: 5 жовтня Верховна Рада 257-ма голосами "за" нарешті остаточно ухвалила законопроект "Про основні засади забезпечення кібербезпеки України" - робота над ним тривала понад два роки.
"Закон є надзвичайно важливим з точки зору створення системи забезпечення кібербезпеки держави в цілому", - вважає Віктор Жора, співзасновник компанії InfoSafe, яка здійснювала захист серверів ЦВК під час кібератак у 2014 році. Досі питання кібербезпеки в Україні регулювали лише затверджена Радою нацбезпеки і оборони (РНБО) в 2016 році "Стратегія кібербезпеки", три укази президента та рішення РНБО щодо боротьби із кіберзагрозами. Ухвалений ВР закон має стати "відправною точкою" для подальших значно конкретніших кроків у цій сфері. Тепер має бути написана ціла низка підзаконних актів, які детальніше регулюватимуть заходи з кібербезпеки, наголошує експерт.
Кого і що має захистити закон
Після неодноразових доопрацювань законопроект у результаті став удвічі лаконічнішим та структурованішим. У ньому визначено, кого і що мають захищати від кібератак та хто це має робити. Під захист потрапляють комунікаційні системи, якими, зокрема, користуються органи влади і правопорядку, та ресурси у сферах електронного урядування і комерції. Крім того, захищеними мають бути "критично важливі об'єкти інфраструктури", під якими законодавці розуміють цілу низку підприємств і установ, наприклад, у галузі енергетики, інфраструктури, банківського сектору, стратегічних підприємств. Проте список цих підприємств ще належить створити, що також передбачено законом. Цим має зайнятися уряд, а в межах банківської системи - НБУ.
Такий крок експерт з кібербезпеки Микита Книш вважає логічним та правильним. "Досі в нормативно-правових актах України використовували поняття "критичних об'єктів інфраструктури". Прекрасно, що тепер нарешті їх вирішили все ж внести до якогось реєстру. Це запізніле, але абсолютно правильне рішення", - наголошує експерт.
Перевіряти дотримання інформаційної безпеки на таких критичних об'єктах будуть за допомогою незалежного аудиту, що має проходити за стандартами ЄС та НАТО. "Особисто мене дуже радує, що ми не будемо "винаходити черговий велосипед" в плані аудитів, а візьмемо те, що вже використовують інші країни, і спробуємо це поліпшити", - зауважує Книш. Але при цьому він зазначає, що із закону незрозуміло, хто проводитиме аудит таких відомств, як поліція, СБУ чи міністерство оборони, де є інформація з обмеженим доступом.
На чиї плечі ляже захист від кіберзагроз
Новий закон запроваджує таке поняття як національна система кібербезпеки. Основними її суб'єктами, тобто тим, на чиї плечі ляже відповідальність за гарантування кібербезпеки, мають стати Держспецзв'язку, нацполіція, СБУ, міністерство оборони, генштаб ЗСУ, розвідка та НБУ. Первинне реагування на кіберінциденти закон покладає на створену ще в 2007 році урядову команду реагування на комп’ютерні надзвичайні події України CERT-UA. Ця структура діє при Державній службі спеціального зв'язку та захисту.
Крім цього, у законі йдеться про так звану "державно-приватну взаємодію" у сфері кібербезпеки. Документ зобов'язує держустанови, підприємства і навіть окремих громадян сприяти органам держбезпеки, повідомляючи, наприклад, про кіберзагрози.
Важливим у цьому законі є й те, що він запроваджує відповідальність, у тому числі кримінальну, за злочини, вчинені саме в кіберпросторі. А також - тлумачаться самі поняття "кібербезпеки", "кіберзахисту" та "кіберзлочинності", які вже понад десятиліття використовують у юридичній практиці, у тому числі у зв'язку із вчиненими в мережі злочинами, але які досі не були ніде закріплені в документах.
Блокування "незручних " сайтів не буде?
Раніше висловлювались побоювання, що закон про кібербезпеку може відкрити можливості для зловживань, наприклад, блокування "незручних сайтів". За словами юриста Анатолія Грабового, СБУ справді матиме можливість обмеження та блокування доступу до ресурсів, які використовуються для цілей кібертероризму. "Але така можливість є майже у всіх державах. Тому ситуація вже буде залежати не від закону та "правил гри", а від сумлінності самої СБУ в цілому і її співробітників", - каже експерт.
Віктор Жора нагадує також про контроль з боку держави та суспільства за законністю заходів з гарантування кібербезпеки, який також передбачений законом. Він покладається на Верховну Раду, президента та уряд, а діяльність суб'єктів забезпечення кібербезпеки, у свою чергу, підлягає щорічному незалежному аудиту.
Чи буде в житті так, як на словах
Отже, новий закон встановлює правила гри на полі кіберзахисту і містить дуже багато планів та намірів. Експерти загалом схвально відгукуються про його ухвалення - як базового документу, хоч у ньому й є ціла низка недопрацювань. Водночас на думку аналітиків, ще зарано говорити про ефективність цього закону для підвищення рівня кібербезпеки.
"Поки не будуть сформовані суб’єкти, які безпосередньо займатимуться оперативним реагуванням на кіберінциденти, поки в цих суб'єктів не буде належної технічної бази та висококваліфікованих спеціалістів, що в свою чергу потребує належного фінансування, - всі заявлені в законопроекті положення так і залишаться на папері", - переконаний Анатолій Грабовий. Його підтримує і Віктор Жора. "Тепер справа за урядом, суб'єктами забезпечення кібербезпеки, які мають розробити вимоги до захисту критичних інфраструктур, нові стандарти і методики та забезпечити контроль за ефективністю кіберзахисту", - зазначає експерт.
Закон про кібербезпеку набере чинності через шість місяців з дня його опублікування.