Народные депутаты решили сделать облака государственными

В конце прошлого месяца глава парламентского комитета по вопросам информатизации и связи Александр Данченко вместе с коллегами зарегистрировал в Верховной Раде законопроект №4302 "О внесении изменений в некоторые законодательные акты Украины относительно обработки информации в системах облачных вычислений".

На следующий день после регистрации проект закона почти синхронно распространили на своих страницах в Facebook Александр Данченко и заместитель главы Администрации Президента Дмитрий Шимкив. 

Из обсуждений законопроекта на FB:

Инициатива применения облачных технологий в госсекторе давно "на слуху" у IT-сообщества. В 2015-м году проект закона с аналогичным названием был опубликован на сайте Национального совета реформ. После этого его активно лоббировал на государственном уровне Дмитрий Шимкив.

В отчете Нацсовета реформ за 2015 год пункт об использовании международных провайдеров облачных технологий для размещения несекретной государственной информации был изложен следующим образом:

Уже тогда эксперты отмечали: законопроект, скорее всего, "прописан" под компанию "Microsoft Azure". В самой компании на такие заявления никак не реагировали.

Спустя год, немного видоизмененный текст с тем же названием ("О внесении изменений в некоторые законодательные акты Украины относительно обработки информации в системах облачных вычислений") появился уже на сайте Верховной Рады.

Проектом предлагается внести изменения в Закон Украины «О защите информации в информационно-телекоммуникационных системах» и Закон Украины «О защите персональных данных» с целью урегулирования отношений по обработке определенных видов информации в системах облачных вычислений.

В объяснительной записке значится: "Прийняття закону сприятиме запобіганню корупції шляхом зменшення погоджувальних та регуляторних повноважень контролюючих органів під час створення та підтвердження відповідності систем комплексного захисту інформації, побудованих з використанням систем хмарних обчислень. Зменшення повноважень контролюючих органів у цій сфері обмежить можливості для використання службового становища та одержання неправомірної вигоди. Використання органами державної влади систем хмарних обчислень також сприятиме відкритості та прозорості діяльності органів державної влади".

Кроме того, авторы законопроекта уверены, что "окремим наслідком стане створення правової основи для подальшого вдосконалення та упорядкування системи відповідних підзаконних нормативно-правових актів з метою дерегуляції ринку інформаційних технологій".

В то же время, эксперты полагают, что текст закона не совпадает с декларируемыми в объяснительной записке целями.

Артем Афян, адвокат, управляющий партнер Juscutum:

- 24.03.2016 в Верховной раде Украины был зарегистрирован законопроект №4302 «О внесении изменений в некоторые законодательные акты относительно обработки информации в системе облачных вычислений». Он касается исключительно сферы управления государственными ресурсами госорганов, органов местного самоуправления и других управленческих субъектов: госпредприятий, учреждений и организаций. О внедрении облачных технологий в Украине в целом речь не идет. Хотя введение в законодательство таких терминов, как «поставщик облачных услуг», «система облачных вычислений» - позитив.

В предложенной редакции поставщик облачных услуг – это физическое лицо (в том числе физлицо - предприниматель) и юридическое лицо (резидент или нерезидент), которое в соответствии с договором, заключенным с владельцем информации или владельцем системы, обязуется предоставлять определенные услуги. Нововведениями не исключается доступ нерезидентов на договорных основаниях к информации государственных ресурсов, ее обслуживание (хранение, защита, распространение, в т.ч. и к информации о гражданах страны в госреестрах). Это очень неоднозначное положение, которое явно будет конкретизировано в подзаконных актах. Каких-либо требований к самой инфраструктуре в законопроекте нет, как и оговорок, что они должны быть размещены на территории Украины.

Договорные отношения с госорганами, как правило, строятся на тендерной основе. Этот законопроект никак не касается вопросов выбора государством контрагента, поэтому он не ухудшает и не улучшает ситуацию с распределением бюджетных средств на ИТ-инфраструктуру.

Из явных недостатков документа можно отметить то, что помимо введения новых терминов, он практически никак не дополняет существующие правила регулирования. Поэтому открытыми остается целый ряд вопросов:

- Судебное рассмотрение и законодательство в сфере электронных данных (при отношениях с нерезидентами);

- Право собственности на электронные данные;

- Контроль и надзор госорганами за политикой, процедурами и стандартами в процессе разработки приложений и модернизации информационных технологий;

- Соблюдение международных и государственных стандартов, требований и правил к облачным технологиям.

Иван Петухов, глава Комиссии УСПП по вопросам науки и IT:       

- Данный  законопроект  в своем роде «шедевр» исполнения  корпоративного  задания  «усердным  менеджером»,  который  добрался до вершин власти и  в  «зените сиюминутной  славы»,  позабыв   про  Неньку  Украину, принялся   старательно отрабатывать  свои «сребреники».

 Для ясности напомню, что  основной  задачей  государства является регулирование  социальных  отношений и обеспечение  должной  безопасности  для граждан  и их имущества. И  если раньше (до информатизации)  вся  документация  исполнялась в твердом бумажном носителе,  то сейчас, с введением элементов электронного управления, все наши данные, акты состояний права собственности,  удостоверяющие личность, и юридические образования:  документы и т.д. - все исполняются,  циркулируют и хранятся в электронном виде.

С принятием данного  «шедевра» (не дай Бог!) государственные  органы  утрачивают контроль за  аккумулируемой и хранящейся в так называемых «облаках» персональной  информацией  и становятся всего лишь  исполнителями-статистами, которые  наполняют  данными электронные базы, передают их на откуп  третьим лицам. Последние не несут за их сохранность, аутентичность и другие важные свойства информации   никакой ответственности, разве что финансовой (не заплатят месячного вознаграждения).  

Все это создает серьезную угрозу безопасности персональных  данных и  личной  собственности  наших  граждан, а также их идентификации  как гражданина вообще!  Вспомните  фантастический  голливудский сценарий,  когда человека исключили из  базы данных, и он  стал  никем и вне закона. С таким законопроектом мы рискуем в ближайшем  будущем  получить такую ситуацию уже  всерьез.

Данный  законопроект также  не  указывает вид  облачных  хранилищ (публичные  или приватные). Запрещает хранить данные только у страны агрессора,  что  вопреки  существующему законодательству, разрешает вынос  государственной  информации (в том числе и для служебного пользования) с персональными  данными граждан Украины  в  публичные облачные хранилища за пределы Украины!

Но, видимо,  авторам  законодательного  «шедевра»  этого  оказалось мало. Они то ли по незнанию,  то ли от  жадности, прописали  в  законодательном опусе  один  из  международных  стандартов - «ISO/IEC 27001 или  ДСТУ ISO/IEC 27001», что  не только противоречит законотворчеству, а и  нарушает принципы  технологической  нейтральности.  Видать,  кому-то  уж  очень  хотелось обезопасить себя  от конкурентов и сделать так, что бы  все было в «ажуре» .

И напоследок. Так как законопроект не возлагает   каких-либо  других обязанностей, а тем более не накладывает ответственности  за  хранящуюся информацию  с нашими данными и нашей собственностью  на  физическое  или юридическое  лицо, которое  предоставляет   облачное   хранилище, - напрашивается вывод  о  нечистых   замыслах  по выводу государственной  информации   за пределы  страны   с  целью  создания  зависимости  Украины  от владельца   такого  хранилища. Это уже угроза национальной  безопасности  Украины.

Денис Бурдук, член наблюдательного совета датацентра «Парковый»:

- Я не вижу, как принятие закона «Относительно обработки информации в системах облачных вычислений» может привести к росту потребления облачных услуг госорганами. Законопроект больше касается технических средств защиты информации. Просто дополнение законодательной базы Украины термином "облачные вычисления"  на практике ничего не меняет.

Каждая страна проходит путь внедрения облачных технологий по-разному. В США, к примеру, просто взяли и начали использовать те же Azure, Gmail и так далее. В Великобритании в свое время приняли закон, которым обязали все госорганы до 2015-го года начать проводить половину закупок с помощью облачных технологий. Сейчас у них этот процесс  набирает обороты, при этом никаких законов о средствах защиты информации никто не принимал.

Законопроект Данченко ни на что не влияет. И он даже не о закупках, поэтому совершенно непонятно, каким образом будет способствовать экономии бюджетных средств. На сегодняшний день никто не запрещает использовать облачные вычисления ни в госорганах, ни в центральных органах исполнительной власти. 

Впрочем, некоторые эксперты увидели в законопроекте и позитив.

Андрей Хветкевич, директор компании NIC.UA:

- Компания NIC.UA предоставляет облачные услуги. Естественно, я поддерживаю такую инициативу как государственное облако. Рад, что появился законопроект, который признает существование облака как такового. Государство не должно жить в отрыве от технологий: не так давно на законодательном уровне были признаны электронные деньги. «Облако» также будет постепенно входить в обиход. Это хороший индикатор того, что наше правительство способно реагировать на реалии мира, следовать полезным в других государствах практикам — мы явно уже не в совке. Государственное облако — это ещё один шаг к эффективному взаимодействию между властью и обществом (другим таким шагом я считаю проект iGov).

Важно, чтобы целесообразность государственного облака понимали не только политики, а и граждане. Например, вопрос о безопасности данных в облаке кажется мне надуманным: информация в облаке будет в большей сохранности, чем на «железе», облачные системы хранения, как правило, сертифицированы в соответствии с международными стандартами. К тому же, в облаке правильнее хранить данные в зашифрованном виде. Конечно, в этом ответственность ложится как на разработчиков государственного ПО, так и на облачных провайдеров. Надеюсь, будут проведены прозрачные тендеры для того, чтобы выбрать оптимального поставщика услуги.

Переход в облако сэкономит государству немало денег, так как больше не надо будет поддерживать физическое оборудование, бесконечно наращивать мощности и кадровые ресурсы.

Осуществлять такие прогрессивные идеи хорошо, но вместе с этим необходимо обеспечить защиту IT-бизнеса в стране. Нельзя развивать такие высокотехнологичные структуры, в то время как айтишники просто бегут из страны из-за постоянных наездов со стороны госорганов.

На данный момент в законопроекте №4302 нет ни слова о том, кто же будет контролировать соблюдение международных и государственных стандартов и требований к облачным технологиям, а также нести ответственность в случае утраты данных (вспомним недавний пример с масштабной утечкой персональных данных граждан Турции). Все это, к сожалению, наводит на мысли о том, что опасения экспертов далеко не беспочвенны.

Мы попросили прокомментировать эту статью действующего офицера силового ведомства, который по своей работе связан с такими технологиями. Он ответил нам одной фразой: "Если закон №4302 заработает на практике, ФСБ будет неделю праздновать".