Народные депутаты присвоили авторские права на закон о кибербезопасности
Народные депутаты Украины решили присвоить авторские права на законопроект, над которым уже второй год "корпели" специалисты Государственной службы специальной связи и защиты информации (Госспецсвязи). Речь идет о тексте закона «Об основных принципах обеспечения кибербезопасности Украины». Еще в мае 2014-го года его поручил разработать Госспецсвязи премьер-министр Арсений Яценюк, выполняя задание Совета национальной безопасности и обороны:
В ноябре Администрация Госспецсвязи представила Кабмину свою версию закона и получила новое распоряжение: усовершенствовать его путем привлечения к работе международных экспертов. Выполняя это поручение, в том же месяце Госспецсвязи заключила меморандум о сотрудничестве в сфере кибербезопасности и информационных технологий с киевским отделением международной ассоциации ISACA.
С тех пор работа над законом продолжалась. С его текстом ознакомились профильные организации, был запланирован ряд круглых столов. В апреле Интернет Ассоциация Украины обратилась со своими замечаниями по поводу проекта закона о кибербезопасности и проекта стратегии кибербезопасности Украины (которая также разрабатывалась Госспецсвязи) к Президенту Украины и секретарю СНБО Александру Турчинову. В нем было отмечено следующее:
- Що стосується проекту Закону України «Про основні засади забезпечення кібербезпеки України», то в ньому автори не пропонують моделі цілісної та комплексної системи забезпечення кібернетичної безпеки держави. Автори, на жаль, обмежились лише інституційними пропозиціями, але при цьому не дуже уважливо опрацювавши повноваження відповідних органів, що призводить до появи з одного боку дублюючих функцій, а з іншого – до відсутності дуже важливих.
Запропоновані редакції проекту Стратегії і Закону не дозволять реалізувати дієву політику забезпечення кібернетичної безпеки України і відкладуть вирішення цієї важливої та актуальної для національної безпеки державної проблеми на роки. Головна причина зазначених недоліків проекту Стратегії і Закону – відсутність відкритого публічного громадського обговорення цих документів із залученням фахівців та експертів як громадських організацій, так і наукових установ, зокрема НДІСД.
Враховуючи зазначене, просимо відтермінувати затвердження зазначених проектів документів та організувати їх широке громадське обговорення.
В мае пришел ответ из Администрации Президента.
В нём Заместитель Главы АП информировал ИнАУ, о том, что проект Закона передан на рассмотрение в СНБО.
24 июня ответили из секретариата СНБО.
Суть ответа Александра Литвиненко сводилась к тому, что работы над проектом закона - идут полным ходом, изучается опыт ряда стран, текст оптимизируется.
25 июня 2015 года на заседании общественного совета Госспецсвязи планировалось обсудить подготовленные профильными ассоциациями и экспертами предложения к закону с руководством Госспецсвязи и ответственными за разработку специалистами.
Однако неожиданно члены телеком-сообщества обнаружили, что на сайте Верховной Рады уже висит этот законопроект, зарегистрированный 19 июня. А в инициаторах значится огромный список народных депутатов: Руслан Лукьянчук, Андрей Кожемякин, Владиславй Бухарев, Николай Паламарчук, Виктор Король, Роман Семенуха, Максим Поляков, Валерий Бабенко, Александр Сочка. Текст и объяснительная записка были полностью переписаны с сырого законопроекта Госспецсвязи (наработки общественности туда не вошли), из заключительных положений пропали два абзаца:
“Стаття 29. Оперативно-технічне управління телекомунікаційними мережами загального користування в період надзвичайних ситуацій, надзвичайного та воєнного стану
1. Управління телекомунікаційними мережами загального користування та відповідальність за забезпечення їх сталого функціонування в період надзвичайних ситуацій, надзвичайного та воєнного стану покладається на ЦОВЗ.”;
у статті 39:
частину четверту викласти у такій редакції:
“4. Оператори телекомунікацій зобов’язані за власні кошти встановлювати на своїх телекомунікаційних мережах технічні засоби, необхідні для здійснення уповноваженими органами оперативно-розшукових або розвідувальних заходів, і забезпечувати функціонування цих технічних засобів, а також у межах своїх повноважень сприяти проведенню зазначених заходів та недопущенню розголошення організаційних і тактичних прийомів їх проведення.Оператори телекомунікацій зобов’язані забезпечувати захист зазначених технічних засобів від несанкціонованого доступу”.
Ознакомиться с полным текстом, над которым Госсецсвязи работала вместе с общественностью, можно здесь.
На заседании общественного совета главу Госспецсвязи Владимира Зверева засыпали вопросами. Как могло произойти, что ассоциации и общественность приглашают обсудить законопроект, но при этом его уже зарегистрировали в Раде? Оказалось, что текст документа похитили! Официальное заявление ведомства по поводу произошедшего появилось накануне в FB.
На заседании общественного совета глава Госспецсвязи Владимир Зверев предложил всем продолжить работу и сообщил, что с коллизией будут разбираться "на юридическом уровне".
- Для нас стало огромным удивлением, что законопроект, который мы подавали на круглые столы для обсуждения с экспертами, вдруг нашел авторство у ряда депутатов. Я думаю, это очень хорошо: если под законом можно подписаться, это является признанием результатов нашей работы. Но если честно, мы не знаем, как выбраться из этой коллизии, имея на руках поручение Кабмина. Думаю, что будем продолжать работу, так как знаем, что законопроект не идеален, уже есть предложения рынка и общественности, как сделать его более актуальным. Относительно документа, зарегистрированного народными депутатами, будем советоваться с юристами и общаться с депутатами.
В сентябре-октябре будет версия законопроекта, отработанная совместно с экспертами. До этого времени все могут подавать свои предложения. Поэтому предлагаю продолжать работу, не обращая внимания на произошедший случай.
Члены общественного совета Госспецсвязи, в свою очередь, приняли решение оперативно обратиться к народным депутатам с просьбой отозвать законопроект, а также отправить письма в Госспецсвязи и ВРУ с просьбой доработать текст законопроекта совместно с общественностью.
InternetUA обратился ко всем подписавшимся под законопроектом с просьбой прокомментировать этот случай. Отозвался только народный депутат Роман Семенуха.
- Я не в курсе обсуждений, которые проводились в Госспецсвязи или любом другом органе по поводу этого законопроекта. Но, по моему мнению, кибернетическая безопасность - одна из главных проблем, которые находятся в предметах ведения Комитета ВРУ по вопросам информатизации и связи. К примеру, мы с Александром Данченко недавно зарегистрировали проект закона относительно усиления ответственности за совершение несанкционированного доступа к информационным или информационно-телекоммуникационных системам.
Я активно интересуюсь и занимаюсь этой проблемой. Члены нашего комитета, мои коллеги по парламенту, подошли ко мне с предложением стать соавтором двух законопроектов. Один из них практически обозначает терминологию и основные принципы кибербезопасности, так как на сегодняшний день в Украине не существует комплексного системного законодательного поля, которое регулировало бы эту проблематику. Второй, соавтором которого я отказался быть, регулирует эти вопросы, сейчас он находится в стадии разработки. Я отказался, так как считаю, что некоторые прописанные в тексте моменты можно реализовать иначе.
Я не знаю, кем и где писался этот законопроект, я увидел его, изучил вместе со специалистами, решил что он нужен отрасли, и стал соавтором. Не интересовался какими-то фамилиями, ко мне с ним подошел мой коллега по комитету и коалиции Руслан Лукьянчук.
Могу сказать, что очень часто, зная, как сложно проходят правительственные инициативы, отдельные министерства и другие центральные органы государственной власти привлекают к работе народных депутатов, чтобы законопроект был поскорее принят в зале. Это абсолютно нормальная практика. Но я согласен, что любой законопроект, в том числе и этот, должен проходить общественные слушания. И если они еще не закончились, пусть общественность продолжает работу и обращается со своими предложениями, я только за.
Сегодня Украина входит в число 15-ти стран, наиболее пораженных киберпреступлениями. У нас нет законодательства, которое решило бы эти задачи. Я исходил исключительно из этих соображений.
Текст законопроекта можно регулировать. Еще будут первое, второе чтение. Пусть все, у кого есть контраргументы, обращаются.
В Госспецсвязи неофициально говорят о том, что текст закона был у нардепа Владислава Бухарева, главы рабочей группы по подготовке реформирования законодательства в сфере информационной безопасности и борьбы с киберпреступностью при Комитете ВРУ по вопросам законодательного обеспечения правоохранительной деятельности. К сожалению, на запрос InternetUA Бухарев не ответил, возможно, потому что на данный момент, как нам стало известно, находится за границей.
Впрочем, выяснять, кто украл закон, сейчас не так важно. Главное, чтобы работа экспертов и общественности не пропала зря, а ключевые замечания были приняты во внимание народными избранниками. А те, кто не верят в эту возможность, уже заявляют о своей готовности зарегистрировать в Раде альтернативный законопроект.
Алексей Янковский, президент Киевского отделения ISACA:
- 19 июня группа народных депутатов зарегистрировала законопроект об "Основах кибернетической безопасности Украины". Фактически, это версия законопроекта от Госспецсвязи, которая обязывает весь крупный бизнес строить КСЗИ на объектах критической инфраструктуры и делает Госспецсвязь регулятором по этим вопросам.
ISACA разработала альтернативный законопроект, который предполагает децентрализованную модель управления кибербезопасностью. Отраслевые регуляторы должны сами разрабатывать отраслевые требования кибербезопасности и контролировать их выполнение. Внедрение кибербезопасности должно основываться на международных лучших практиках - NIST, ENISA и пр., нежели на КСЗИ.
Есть еще масса других отличий, связанных с обеспечением приватности граждан, механизмами общественного контроля и полномочиями государственных органов. Например, мы предлагаем создать Центр Кибербезопасности при Президенте, который будет уполномочен управлять подразделениями кибербезопасности постоянного реагирования силовых ведомств, т.к. сейчас взаимодействие между ними неэффективно. Мы будем регистрировать альтернативный законопроект от Исаки на следующей неделе.