Чего украинцам ждать от указа Порошенко по кибербезопасности
На прошлой неделе президент Петр Порошенко подписал указ, которым ввел в действие решение Совета национальной безопасности и обороны Украины «Об угрозах кибербезопасности государства и неотложных мерах по их нейтрализации», принятое в декабре 2016 года.
Документ состоит из семи пунктов, два из которых засекречены. Мы решили рассмотреть наиболее спорные положения данного решения СНБО.
Больше контроля
Среди требований к исполнению в решении СНБО – в течение трех месяцев внести на рассмотрение Верховной Рады законопроекты по имплементации положений Конвенции о киберпреступности, ратифицированной Законом Украины от 7 сентября 2005 года № 2824-IV, предусмотрев, в частности:
- надання правоохоронним органам повноважень щодо внесення обов'язкових до виконання приписів власникам комп'ютерних даних (операторам та провайдерам телекомунікацій, іншим юридичним і фізичним особам) про термінове фіксування та зберігання комп'ютерних даних, необхідних для розкриття злочину, на строк до 90 днів із можливістю продовження такого строку до 3 років, а також унормування порядку внесення зазначених приписів;
- установлення вимог щодо надання операторам та провайдерам телекомунікацій на вимогу правоохоронних органів інформації, необхідної для ідентифікації постачальників послуг і маршруту, яким було передано інформацію;
- запровадження блокування (обмеження) за рішенням суду операторами та провайдерами телекомунікацій визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу).
Пока не ясно как будет работать механизм блокировки сайтов. Однако по словам исполнительного директора Интернет ассоциации Украины (ИнАУ) Владимира Куковского эффективно блокировать доступ, например, к внешним ресурсам невозможно:
«Даже в Китае, который потратил на блокировки огромные бюджетные средства, пользователь с начальной киберграмотностью в состоянии обойти Великий китайский файрвол. В Украине для блокирования внешних интернет-ресурсов нет ни технических, ни финансовых, ни юридических возможностей. Но при этом у государства есть другие механизмы воздействия на работающие в нашей стране бизнес-проекты, нарушающие украинское законодательство».
Также появляется проблема с хранением данных. Пока не ясно, какую именно информацию должны будут хранить провайдеры, но нередко украинские законодательные инициативы дублируют российские. В РФ действует так называемый «пакет Яровой», согласно которому операторы обязаны хранить записи звонков, переписку, изображения, звуки, видео- и другие сообщения пользователей. Нужно понимать, что трафик исчисляется сотнями Гигабит в секунду. И если крупные операторы телекоммуникаций еще могут себе позволит хранить столько информации, то небольшим компаниям без закупки нового оборудования не обойтись. А это достаточно дорого и накладно. Государство же навряд ли будет компенсировать бизнесу затраты.
Из обсуждения в Facebook:
Ради справедливости стоит заметить, что схожие законы существуют и в ряде западных стран. В частности, в Великобритании прошлой осенью был принят «закон ищеек», который существенно расширяет возможности слежки за интернет-пользователями спецслужбами и правоохранительными органами. Также официально разрешено следить за гражданами в глобальной сети спецслужбам во Франции и Германии.
Но вот только правоохранительные органы и судебная система в вышеперечисленных государствах работают в другой системе координат и считаются политически независимыми.
Отечественное в Сети
Кроме того, правительству в течение шести месяцев необходимо:
а) забезпечити створення єдиних основного та резервного захищених дата-центрів збереження інформації і відомостей державних електронних інформаційних ресурсів;
б) опрацювати питання щодо стимулювання розроблення та впровадження вітчизняного програмного забезпечення (операційної системи, антивірусних програм, програм бухгалтерського обліку, документообігу тощо) для потреб органів державної влади та інших державних органів, підприємств, установ та організацій державної форми власності.
Положение о дата-центрах несколько неоднозначное. Не совсем понятно, чего хотят добиться в течение шести месяцв - или построить новый государственный ЦОД или же только разработать план по его созданию. Однако вряд ли удастся за полгода возвести с нуля дата-центр. Разве что из конфискованных правоохранителями серверов.
Стоит отметить, что схожую идею по созданию дата-центра для хранения данных госорганов воплотили еще во времена Януковича, когда построили «Парковый». Только считался он не государственным, а коммерческим. Услуги «Паркового» госорганам обходились недешево - «Укрпочта», например, переплатила в 6-8 раз больше среднерыночных расценок.
Что же касается создания украинского программного обеспечения, то в мире уже были попытки перейти на отечественный софт, однако они не увенчались успехом. В частности, в 2003 году городской совет Мюнхена проголосовал за переход на местный аналог ОС Linux - ОС LiMux и отказ от американской системы Windows. Стоимость перехода составила 30 млн евро. Однако администрация получала множество жалоб от чиновников. Сложности вызывал обмен данными, который работал не так, как хотелось бы. В результате порядка 15 тысяч компьютеров к 2020 году опять должны мигрировать на Windows.
Для Украины это не новая инициатива. Разговоры о переводе госорганов на отечественное ПО велись еще в 2009 году, продолжились в 2012 году, не отказались от инициативы и в 2014 году.
Эксперты отмечают, что создавать украинскую ОС бессмысленно, поскольку она не сможет конкурировать с мировыми аналогами. Не придает оптимизма и опыт Германии, где провалился переход на свою операционную систему.
По мнению участников рынка, внедрение украинского ПО может обернуться лишь способом "зарабатывания" денег. "Распил" бюджетных средств начнется от тендеров до выдачи экспертного заключения в Госспецсвязи.
После того, как документ получил широкую огласку, реакция пользователей социальных сетей не заставила себя ждать – решение восприняли как борьбу против свободы в Интернете:
Эксперты и участники телеком-рынка по разному оценивают данное решение.
Дмитрий Овчаренко, вице-президент по правовым вопросам ассоциации "IТ Украины", управляющий директор компании SBT Systems Ukraine:
- В целом документ задает вполне логичный и правильный вектор действий по обеспечению кибербезопасности. Тем не менее, в решении СНБО сформулированы только ключевые посылы («обеспечить», «проработать», «принять неотложные меры»), которые в дальнейшем должны быть конкретизированы в ряде проектов нормативно-правовых актов. Поэтому на данном этапе еще очень сложно судить, каким именно образом будут реализованы благие намерения СНБО, т.е. как будут прописаны нормы о сотрудничестве провайдеров телекоммуникаций с правоохранительными органами, нормы об ответственности за нарушение требований о защите информации, правила предотвращения и прекращения кибератак и киберинцидентов и т.д. В связи с этим на практике результаты внедрения решения СНБО могут оказаться как вполне удачными, так и наоборот. Поэтому оценивать эффект от данного решения сейчас не совсем правильно – это можно будет сделать как минимум на этапе появления первых рабочих законопроектов.
Теоретически, все возможно (при наличии квалифицированных специалистов и финансирования). Как минимум, хотя бы существенно продвинуться в данном процессе. Так или иначе, с учетом участившихся атак необходимо сохранить разумный баланс между скоростью и качеством организации резервного хранения данных.
Что касается разработки и внедрения отечественного ПО для госорганов, то, согласно решению СНБО, использование ПО из страны-агрессора будет прекращаться пока только в части ПО тех провайдеров, которые указаны в санкционных списках. Ограничение использования всего остального ПО из страны-агрессора пока только в проекте. Внедрение отечественного ПО, в свою очередь, пока что будет стимулироваться. В связи с этим, по нашему мнению, на данном этапе речь идет не о форсированной замене всего ПО на украинское в течение полугода, а только о плавном переходе.
Однозначно можно сказать, что перед принятием решения о разработке нового ПО стоит рассмотреть уже существующие варианты (как отечественные, так и зарубежные). К примеру, для такого важного направления предотвращения кибератак в госорганах, как выявление вредоносного ПО, эксперты рекомендуют начать с ряда известных бесплатных инструментов, которые уже успешно используются за рубежом. Это позволит не только ускорить процесс перехода на новый режим защиты объектов информационной инфраструктуры, но и ощутимо сэкономить на закупке ПО, так как практика показывает, что госзакупки любых активов часто оборачиваются тратой баснословных сумм из госбюджета. Если по каким-то причинам готовое ПО не соответствует нуждам государства, разработка отечественных программ – это выход, но только в том случае, если их закупка будет проводиться на нормальных, рыночных условиях.
Олег Проживальский, директор по корпоративному управлению "Vodafone Украина":
- У нас сейчас есть информация, которая хранится до трех лет. Также есть информация, которая хранится до года. Все зависит от типа данных. При этом у нас есть определенный объем памяти и если обяжут хранить всю информацию в течение трех лет, то, конечно, это дополнительные затраты. На данный момент сложно сказать, сколько нужно будет выделить средств на закупку серверов. Но будет закон, будем выполнять.
Сейчас нас не обязывают хранить информацию. Это наше собственное решение, в случае если данные понадобятся для судебных разбирательств или других каких-либо ситуаций.
Максим Агеев, генеральный директор De Novo:
- С технической точки зрения только проектирование дата-центра займет не меньше полугода, а то и год. Про сроки, отводимые законодательством на проведение тендеров, выбор победителя даже и говорить не стоит. А забетонировать, укрепить, прикрутить, мигрировать и запустить - год как минимум.
Я далёк от мысли, что в СНБО сидят клинические идиоты или глубокие специалисты во всех сферах бытия. Но кто-то же готовит этим государственным мужам справки и данные для принятия решений, требующие знаний - технологических, отраслевых, методологических? Кто-то же бумажку написал и на стол подложил? Кому это надо про полгода, про обеспечить и заменить все на наше родное? Неужели никто там не знает, что существующие процедуры никак не позволят выполнить распоряжение ни в заказанный срок, ни в объемах. Ну, а там уж и "хронічне недофінансування...". Это если не знаешь ничего про двухсайтовые архитектуры, конечно, и сложность их создания. А потом эти парни, потрёпанные жизнью, удивляются, чего это их критикуют все кому не лень. Отсюда уже и кибербезопасность растёт.
Игорь Дядюра, телеком-эксперт:
- Сам факт того, що рішення з’явилося – оцінюю позитивно. Проблема кібербезпеки існує не тільки в Україні, а і по всьому світу, тому займатися цим необхідно. Виходячи з тексту Рішення, чиновники займаються цією темою недостатньо, навіть не виконують постанови Кабміну. Рішення вимагає притягти цих чиновників до відповідальності. Сподіваюсь, це не залишиться на папері.
Великий блок цього Рішення – це перелік законодавчих ініціатив, законопроектів, що слід розробити, і тут є багато спірних питань.
Коли чиновники з СБУ пишуть про «захист інформації в інформаційно-телекомунікаційних системах», «відповідальність за невиконання законних вимог» своїх працівників - це означає черговий наступ на Інтернет. І більше нічого. Інтернет – це «інформаційно-телекомунікаційна система», таке у нас законодавство. Багато разів чиновникам розказували, писали, пояснювали: захист інформації має здійснюватися не в Інтернеті, а в державних органах. Почати можна з того, щоб у чиновників, нардепів, службовців не було скриньок в «мейл.ру» та сторінок у «Однокласниках» та «ВКонтактах». Продовжити тим, що нарешті отримати довіру ринку та користувачів, чого ніколи не буде без покарання тих слідчих силових органів, які крушили дата-центри, виносили і не повертали обладнання, намагались привласнити особисті речі працівників. На жаль, в цьому напрямі не робиться нічого. В черговий раз в рішенні пропонується однобокий, несиметричний підхід: «ми будемо безкарно робити все, що хочемо, а для вас посилюємо відповідальність».
Зберігати «дані, необхідні для розкриття злочину» 3 роки – навряд чи зможуть переважна більшість діючих провайдерів. Ми ж розуміємо, що «для розкриття злочину» шановним правоохоронцям стануть у нагоді всі дані, з змістом обміну тощо. Пересічний споживач послуг Інтернет, на швидкості скажімо 8 Мбіт/с, за три місяці генерує 16 Терабайт трафіку (по 8 Терабайт в кожну сторону). А за три роки – 192 терабайти. Це один користувач. Не знаю, де і як це можна буде зберігати. Розумію, що силовикам так буде легше. Тільки навіть звичайні пересічні користувачі вже давно шифрують своє листування, користуючись вайбером, скайпом, якимись іншими засобами, що вже казати про злочинців. Але, виконання цієї вимоги буде практично нездійсненним (якщо апетити силовиків не обмежити логами).
Щодо «блокування сайтів», то силовики запрошують нас до клубу країн, де блокують сайти за рішенням владних органів («незалежність суду» в Україні досить широко відома). В жодній демократичній країні блокування сайтів провайдерами – не відбувається. Силовики розбираються (за потреби) з власниками сайту, але фільтрацію в Інтернеті не застосовують. Це абсолютно неприйнятно, хоч наші українські силовики мріють про це ще з часів "війни за домен .UA". Весь час їм кортить «вимикати» щось таке, що не подобається владі. Цього допустити не можна, тим більше що ефективно вимкнути ресурс (сайт) в Інтернеті можна хіба що, маючи щось подібне до Великого китайського файерволу (і то, з обмеженнями). Намагання силовиків «вимикати сайти», до речі, завжди слугувало надійним індикатором: «СБУ хоче вимикати сайти? – скоро вибори, готуються). Не буває «правильної свободи слова, регулюємої службою безпеки». Свобода слова або є, або її немає. Спочатку під аплодисменти вимкнуть "ВКконтактє" та "Однокласники" (як хочуть шановні Зорян зі Шкіряком), потім поступово – буде випалене поле. Подивіться на східний південь – там справилися буквально років за сім.
Крім того, на мій погляд, жодної потреби у створенні свого державного дата-центру немає. Є послуги з наданням цілих захищених приміщень у сучасних українських дата-центрах. Єдиним завданням «створення власного державного» - розпиляти чергові сотні мільйонів народних гривень. Те саме – з «державною вітчизняною операційною системою», якою буде якийсь варіант Лінукса (а грошей спишуть знову ж таки – сотні мільйонів).
Напомним, что согласно докладу «Свобода в сети — 2016» американской неправительственной организации Freedom House, Украина относится к странам с «частично свободным» интернетом и занимает 25-е место (38 баллов). Столько же получили Мексика, Тунис и Замбия. Но не сложно предположить, что с "правильным" воплощением в жизнь ряда положений данного решения СНБО Украина займет «почетное» место со странами, в которых государство активно развивает интернет-цензуру.
Помимо ограничения свобод в Интернете документ также дает «зеленый свет» очередному распилу госсредств. В каких объемах пока не ясно, но очевидно, что речь идет о миллионах гривен.