Законопроект по кибербезопасности нужно тщательно доработать
В марте 2016 года была утверждена стратегия кибербезопасности, в июле закончили обучение первые киберполицейские. Однако действующего закона о киберзащите страны до сих пор нет.
Парламентский комитет по вопросам информатизации и связи на последнем своем заседании 6 июля 2016 года порекомендовал народным депутатам принять в первом чтении законопроект №2126а «Об основах обеспечения кибербезопасности Украины».
Законопроект определяет основные цели, направления и принципы государственной политики в сфере кибербезопасности Украины, а также систематизирует полномочия и обязанности госорганов по обеспечению киберзащиты страны. Вводятся определения таких терминов как: «кібератака», «кіберзахист», «кіберзлочин» и другие.
Стоит отметить, что данный законопроект был зарегистрирован еще в июне 2015 года группой депутатов. Однако сразу после его регистрации на авторов документа обрушился шквал критики, а в Госспецсвязи заявили, что народные избранники «похитили» текст их законопроекта.
После введения в действие Стратегии национальной безопасности Украины, утвержденной Указом Президента 15 марта 2016-го, законопроект №2126а вообще потерял свою актуальность. По крайней мере, об этом говорится в пояснительной записке к доработанному проекту, который появился на сайте ВР в апреле 2016-го.
Ключевые правки в новой версии:
- исключено понятие «национальный сегмент киберпространства» и все связанные с этим положения;
- структурированы положения о национальной системе кибербезопасности, направлений ее работы, принципов координации и взаимодействия;
- доработано содержание понятия «критически важные объекты инфраструктуры»;
- введено понятие национальных электронных информационных ресурсов, что связано с необходимостью киберзащиты массива информации;
- исключены ряд систем, на которые действие Закона не распространяется, в частности, это государственная тайна (другие требования), системы, которые не подключены к Интернету (кроме технологических систем критических объектов), социальные сети и частные веб-ресурсы; также определено, что Закон не связан с содержанием информации.
Дополнительные полномочия и обязанности получает ГСССЗИ, которая становится национальным регулятором по кибербезопасности. Согласно законопроекту Госспецсвязи, "координує, організовує та проводить аудит захищеності комунікаційних і технологічних систем критичних інфраструктурних об'єктів на вразливість".
Таким образом, ГСССЗИ получает возможность осуществлять дополнительные проверки бизнеса. При этом, предоставляя ГСССЗИ подобные полномочия, никто не проанализировать реальные возможности структуры, ее кадровый состав, который, как неоднократно упоминали эксперты с просьбой их не упоминать в статьях, "потрепался" за последние годы, ведь серьёзные профессионалы вряд ли останутся на госслужбе при несерьёзной зарплате. Отсюда логичный вопрос - сможет ли ГСССЗИ справиться с новыми функциями?
Стоит отметить, что депутаты исключили статью 39 «Обов'язки операторів і провайдерів телекомунікацій та контент-провайдерів», в которой говорилось, что «оператори, провайдери телекомунікацій та контент-провайдери... зберігають та надають інформацію для ідентифікації постачальників послуг і маршруту, яким було передано інформацію про з'єднання свого абонента...». Таким образом, провайдеры и операторы должны были предоставлять информацию о своих абонентах правоохранительным органам.
По мнению юристов, доработанный законопроект был частично усовершенствован.
Богдан Дучак, партнер и сооснователь юридической компании Axon Partners:
- Пока народные депутаты не могли поделить проект закона с Госспецсвязью, из текста были исключены противоречивые положения, касающиеся контент-провайдеров. Авторы отказались от идеи приравнять по правовому статусу контент-провайдеров к телекоммуникационным операторам.
Действие закона не распространяется на контент в принципе, поэтому пользователи социальных сетей и блогеры могут вздохнуть с облегчением: цензура этим проектом не вводится.
Юрий Котляров, партнер практики в сфере телекоммуникаций АО Juscutum:
- Если данный законопроект станет законом, то предложенные в нем нормы не обеспечат кибербезопасность страны. С таким подходом Украина к киберугрозам не готова. Законопроект просто не рабочий. Почему?
Во-первых, опять прописаны только декларации. Законопроект переполнен намерениями, целями, принципами. Императивных норм в проекте нет, не понятно, зачем взяли и просто скопировали достаточное количество положений с решения СНБО Украины от 27.01.2016 года «О стратегии кибербезапасности Украины». Можно найти сотни похожих декларативных законов по другим сферам отношений, которые не стоят израсходованной на них бумаги.
Во-вторых, для законопроекта характерна неоднозначность и недальновидность понятийного аппарата. Помимо того, что предложенная терминология не согласовывается с уже существующими смежными определениями, также авторы недальновидны в контексте ограниченности технологий для киберпространства, целей для кибератак.
В-третьих, установленные задачи субъектов национальной системы кибербезопасности не согласовываются с базовыми действующими законодательными актами, которые регулируют деятельность таких органов.
Кроме того, есть масса других мелких "шалостей", которыми переполнен проект. Например, Верховная Рада будет осуществлять контроль по обеспечению законодательства при мероприятиях по кибербезопасности. А Генеральному прокурору Украины, в противовес Конституции, хотят вернуть так называемый общий надзор.
Один из авторов документа существенных изъянов в доработанном законопроекте не видит и настаивает на его принятии в первом чтении.
Александр Данченко, глава парламентского комитета по вопросам информатизации и связи, автор законопроекта:
- Необходимо помнить, что Украина находится в состоянии гибридной войны. Отсутствие законопроектов, регулирующих кибербезопасность, – это преступление. К сожалению, стратегию кибербезопасности страны утвердили только полтора месяца назад. Без нее разрабатывать какие-то законопроекты было сложно.
Законопроект №2126а – компромиссное решение. В нем описываются элементы стратегии по кибербезопасности, те реперные точки, которые необходимы государству. Что касается нареканий на терминологию, то никто из экспертов мне не показывал письменных подтверждений того, что она, например, не соответствует стандартам НАТО или ЕС.
В тоже время эксперты акцентируют внимание на несовершенстве терминологической системы документа, а также на несогласованности с другими законодательными актами. По их мнению, законопроект требует существенной доработки.
Олег Гусев, первый заместитель председателя Комиссии УСПП по вопросам науки и информационных технологий, заместитель главы Правления ИнАУ:
- 15 марта принята Стратегия кибербезопасности Украины. Однако ряд положений проекта закона не соответствует этой Стратегии.
Так, несмотря на преамбулу проекта, документ определяет правовые и организационные основы обеспечения защиты, в частности, жизненно важных интересов человека и гражданина, полномочия и обязанности государственных органов, предприятий, учреждений, организаций, лиц и граждан в этой сфере и тому подобное. Но в тексте закона не предусмотрено положений, направленных на практическое обеспечение кибербезопасности личности, зато все внимание сосредоточено на защите интересов государства в этой сфере.
В документе много несогласованных определений, которые впоследствии могут создать неправильную систему отношений. Например, термин «система электронных коммуникаций (коммуникационная система)» не соответствует требованиям Директивы Европейского Парламента и Совета №2002 / 21 / ЕС от 7 марта 2002 о совместных правовых рамках для электронных коммуникационных сетей и услуг (Рамочная Директива).
Принятие проекта может ввести в стране противоправные подходы лишения операторов телекоммуникаций возможности предоставлять услуги доступа к глобальным сетям передачи данных государственным органам и предприятиям.
Попытка лишить возможности субъектов рынка телекоммуникаций предоставлять госорганам и силовикам телекоммуникационные услуги (электронные коммуникационные услуги) на основе конкуренции и создание НТКМ, приведет к появлению нового коррупционного механизма (наподобие КП "КЖСЭ").
Также разработчиками предлагается предоставить полномочия надзора за соблюдением требований законодательства госорганами, которые принимают участие в обеспечении кибербезопасности - Генеральному прокурору. При этом, в Закон Украины "О прокуратуре" таких изменений не предусмотрено, что может создать дополнительные коллизии и несогласованности между нормами действующих законов.
После внесения правок в законопроект ИнАУ направила главе Комитета ВРУ по вопросам информатизации и связи Александру Данченко письмо с рядом замечаний и предложений.
Выдержки из письма ИнАУ:
- "1. У проекті Закону пропонується ввести низку термінів, які відсутні в законодавстві України. Тому, необхідно звернути увагу на обґрунтованість та відповідність меті правового регулювання наступних термінів.
Так, базовий для проекту Закону термін «кібербезпека» запропоновано визначити як «захищеність життєво важливих інтересів людини і громадянина, суспільства та держави в кіберпросторі, за якого забезпечується сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі».
Разом з цим, запропонована дефініція не акцентує увагу на запобіганні шкоди, яка може мати місце в результаті реалізації загроз кібербезпеки, що не дозволяє вичерпно сформулювати мету правового регулювання".
"4. Частиною другою статті 6 проекту Закону визначено, що РНБО здійснює координацію та контроль діяльності суб’єктів сектору безпеки і оборони, які забезпечують кібербезпеку України.
Разом з цим, залишається невизначеним, хто буде відповідати за забезпечення кібербезпеки у інших сегментах, зокрема: органів державної влади та державного управління, економіки, судової системи, приватного сектору, тощо".
"9. Виходячи зі змісту статті 9 проекту Закону, зокрема частини другої, залишається не визначеним, який державний орган у повному обсязі матиме повноваження щодо формування державної політики задля забезпечення кібербезпеки України."
"Враховуючи надані суттєві зауваження, ІнАУ пропонує проект Закону України «Про основні засади забезпечення кібербезпеки України» (реєстраційний № 2126а від 19.06.2015), з урахуванням редакції від 14.04.2016, не погоджувати та направити авторам на доопрацювання".
Также требования доработать законопроект содержаться и в заключении Главного научно-экспертного управления Рады.
Вопросы обеспечения кибербезопасности чрезвычайно актуальны для Украины. Однако предложенный законопроект, вероятно, имеет уязвимые места, а также не коррелируется с другими законодательными актами. Поэтому остается только надеяться, что после первого чтения парламентарии учтут замечания экспертов и доработают текст законопроекта, не сделав его еще "лучше".