Aa Aa Aa

В Украине путают цензуру с кибербезопасностью

Владимир Кондрашов

В Украине продолжают использоваться инструменты противодействия киберпреступлениям для влияния на свободу слова и наступления на права граждан.

Об этом говорили на Девятом форуме по управлению Интернетом IGF-UA, прошедшем в прошлую пятницу, пишет InternetUA.

Секция «Кибербезопасность» стала, пожалуй, самой многочисленной на форуме. В этом году заседание касалось, в первую очередь, попыток власти «зарегулировать» свободу слова через различные, направленные на борьбу с киберугрозами, законопроекты и указы.

Законодательство о кибербезопасности против свободы слова?

b_91335_Kopiya_clip_image018.jpg (9 KB)

– С самого начала деятельности этого созыва Верховной Рады мы увидели законопроекты, которые либо адаптируют нас к законодательству страны-агрессора (Российской Федерации), либо повторяют нормы «знаменитых» законов 16 января, – отметил в своем докладе модератор секции, вице-президент УСПП Иван Петухов. – В 2014 году таких законопроектов было 2, в 2015 – уже 9, в 2016 – 9, в 2017 – самый «урожайный», с 15 такими законопроектами. За 2018 год насчитывается уже 8 таких законодательных инициатив. Я уже не говорю за указы Президента и различные нормативно-правовые акты.

Олег Гусев, исполнительный директор Комиссии по вопросам науки и ИТ УСПП: 

– Задача на разработку такого закона была поставлена в 2014-м году. Путь от задачи до вступления в силу – 4 года. Вопрос: сколько будет разрабатываться нормативно-правовая база под этот закон? Сегодня мы видим, что отсутствие этого пласта законодательного обеспечения искусственно заменяется указами Президента. За период с 2014 по 2017 было 15 различных указов (от санкций до каких-либо требований), за 2018-ый год – три указа по вопросам кибербезопасности. В основном – это политические решения СНБОУ, утвержденные указом Президента, и некоторые моменты не обеспечиваются ни юридически, ни мировым опытом. И, в некоторых случаях, отсутствует даже техническое решение вместе с юридическим обеспечением.

Гусев также отметил, что под видом проекта постановления КМУ о мониторинге выполнения санкций была попытка пролоббировать установку систем DPI на сетях операторов и государственного надзора над операторами связи, что, фактически, к мониторингу эффективности санкций не имеет никакого отношения.

ГУСЕВ.jpg (102 KB)

Ещё один документ – Указ Президента, которым утверждена Годовая национальная программа под эгидой комиссии Украина – НАТО на 2018 год – уже не первый, который настаивает на необходимости имплементации Конвенции о кибербезопасности и укреплении сотрудничества гражданского и государственного секторов. Сама же Конвенция 2005-го года, с заявлениями и предостережениями, была ратифицирована, но, как отметил Гусев, выполнение задач на создание закона, который бы имплементировал нормы, пока оставляет желать лучшего:

– Уже второй год этот проект закона «курсирует» между органами власти и никак не может прийти к финальному варианту, ведь в этот документ закладываются такие нормы, которые даже не обсуждались с экспертами и вообще отсутствуют в самой Конвенции. На сегодняшний день свобода слова, права граждан этим законопроектом могут быть уничтожены.

Даже проект Закона «О критической инфраструктуре и её защите» дает право Службе безопасности Украины вмешиваться в хозяйственную деятельность объектов критической инфраструктуры и операторов и провайдеров телекоммуникаций. 

Бессилие перед киберагрессией – из-за отсутствия координации усилий

Глава ОО «Украинская группа информационной безопасности» Константин Корсун говорил от имени комьюнити ИБ-специалистов о национальной системе обеспечения кибербезопасности.

korsun.jpg (20 KB)

Більш як чотири роки Україна є центром найбільшої в історії людства кібервійни. Логічно було б, що за умови такої величезної кібервійни Україна мала б дуже швидко, протягом року-двох, створити потужну систему кібербезпеки. На жаль, цього немає досі, – констатировал Корсун. – Що ми маємо? Національна система кібербезпеки згадується у Стратегії кібербезпеки, затвердженій Указом Президента, і в законі «Про основні засади кібербезпеки…», і в деяких НПА.

Константин Корсун отметил, что деятельность основных субъектов обеспечения кибербезопасности в Украине никак не координируется.

РНБО не дуже справляється з цим завданням, ми не бачимо результату, немає реально побудованої системи протидії кіберзагрозам. Крім того, усі суб’єкти кібербезпеки є органами виконавчої влади і чотири з шести – це силові структури. Де в цьому громадськість, бізнес, об’єкти критичної інфраструктури? Немає. Органи виконавчої влади щось керують, регулюють, хоча до них самих дуже багато претензій, – отмечает Корсун.

Наиболее открытой к ИБ-комьюнити, говорит глава «УГИБ», является, как не странно, на сегодняшний день Служба безопасности Украины, готовая реагировать, прислушиваться и сотрудничать с компаниями, работающими на рынке обеспечения информационной безопасности. Больше все же претензий у ИБ-специалистов – к Минобороны и разведчикам: их вклад в построение национальной системы киберзащиты, по мнению Константина Корсуна, мягко говоря, незаметен.

Висновок дуже простий: за 4,5 роки національної системи кібербезпеки не побудовано, і за чинних підходів з боку основних суб'єктів забезпечення кібербезпеки побудовано не буде, – подытожил Корсун. – Треба докорінно змінювати підхід до побудови цієї системи. В цьому підході має бути два ключових моменти: відновлення довіри до системи і люди, які будуть працювати, повинні бути професіоналами своєї справи.

Выход – в государственно-приватном партнерстве?

В этом году показательно многие представители силовых структур открыто проигнорировали форум. Тем же, кто принял участие, пришлось «отдуваться за себя и за того парня». Эта ноша легла на Администрацию Госспецсвязи и СНБОУ.

Временно исполняющий обязанности директора Департамента формирования и реализации государственной политики в сфере киберзащиты Администрации ГССЗИ Юрий Циплинский, можно сказать, «на ходу» изменил вектор своего доклада, услышав другие выступления на форуме. Он отметил, что главное на данный момент – обеспечение безопасности объектов критической инфраструктуры, ведь последствия атак на ОКИ могут быть весьма существенными.

– Объекты критический инфраструктуры – предприятия, учреждения, организации, которые осуществляют деятельность и предоставляют услуги в сфере энергетики, транспорта, инфраструктуры, снова-таки, с прицелом на то, что в случае осуществления кибератак могут наступить негативные последствия, которые повлекут ещё более негативные последствия для государства и общества, окружающей среды, – объяснил представитель ГССЗИ.

Чиновник Госспецсвязи сосредоточился на том, что ответственность за защиту объектов критической инфраструктуры в первую очередь должна лежать на собственнике ОКИ:

– Собственник, который имеет в своих активах объекты критической инфраструктуры, должен принимать меры по обеспечению кибербезопасности таких объектов и нести ответственность за выполнение таких мер, – отметил Циплинский. – Закон дает четкое понимание того, что необходимо ранжировать системы для эффективной защиты.

В ГССЗИ видят перспективными такие направления развития системы киберзащиты:

– нормативно-правовое регулирование вопросов кибербезопасности и киберзащиты;

– развитие организационно-технической модели киберзащиты;

– государственно-приватное партнерство;

– международное партнерство;

– киберзащита ОКИ;

– развитие киберпространства.

Последний пункт, уверен Циплинский, должен развиваться через сотрудничество государства и бизнеса:

– У нас не должно быть такого: это моё, а это – не моё. Это вопрос совместной работы. Это синергия нашего вклада в обеспечение будущего страны, – резюмировал представитель ГССЗИ.    

Представитель СНБОУ Михаил Гуцалюк во время своего доклада также акцентировал на необходимости государственно-приватного партнерства. Он рассказал о подготовке Меморандума между основными субъектами национальной системы кибербезопасности и операторами, провайдерами телекоммуникаций по противодействию киберпреступности. Меморандум, по словам докладчика, поможет наладить пути сотрудничества между правоохранителями и телеком-отраслью: документ позволит создать рабочую группу, «которая может разработать рекомендации, предоставить их правоохранителям, что позволило бы эффективней работать на результат» к примеру, выработать, наконец, пути и способы получения информации от операторов при расследовании киберпреступлений.

Однако пока этот Меморандум ещё не подписан, и как скоро его подпишут – вопрос. Бюрократию и «инициативность» в украинском госаппарате пока никто не отменял.