Законопроект 8087 виявив наміри влади перевершити Януковича щодо придушення бізнесу
Вже кілька днів ІТ видання України рясніють постами шокованих експертів.
Після статті Івана Пєтухова про наміри влади залізти в кишені до підприємців.
Вчора з’явився в фейсбуці допис Маихайла Комісарука з детальним розбором прихованих намірів лобістів цього ЗП. Раптом фейсбук суворо обмежив доступ до цього посту. Щож доведеться його тут прорекламувати - ось посилання.
Сьогодні до критиків 8087 імені Януковича (згадаймо блокування податкових накладних, та масове виймання серверів заради незаконного зняття інформації) добавився Ігор Дядюра.
Щодо законопроєкту 8087, що аж не можу не приєднатись... Щодо об'єктів контролю, предмета контролю, перевірок і приписів.
"Об'єкт контролю є, але немає предмета контролю"
"Та ні, і предмет контролю теж є, але вимоги відсутні, тому перевірки неможливі"
І т.д.
Я не вірю, що Держспецзв'язку після прийняття 8087 почне перевіряти інтернет-магазини, сільських провайдерів чи списки клієнтів у ФОПів, але... Але законодавство, як на мене - це не предмет віри. Воно має бути чітким, зрозумілим, і не потребувати батла кращих юристів для тлумачення простих сутностей, як то "буде у мене маски-шоу чи не буде".
Щобільше, у мене трохи не вкладається, як це: лікарська таємниця є, адвокатська таємниця є, вимога до операторів/провайдерів охороняти інформацію клієнтів є, персональні дані в країні бігають аж бігом терабайтами, а ... "технічних вимог немає". І оскільки їх немає, то "не бійтесь, ви є в об'єктах контролю, але перевіряти нічого неможливо, бо немає технічних вимог".
Якась дивна конструкція. Мені б більше подобалося, якби технічні вимоги були, був час на впровадження, була б організована допоміжна робота, розвинувся б приватний бізнес з впровадження/аудиту/реагування/вдосконалення, ну і потім, там де це потрібно, можна було б переходити до контролів, зі зрозумілими і прозорими процедурами, захищеними від "тлумачень", дискрецій, свавілля і корупції.
Як в Європі з "об'єктами контролю", "предметами контролю", "вимогами"? Подивімося.
NIS2 (Network and Information Security Directive, версія 2) прийнята, опублікована, і має бути імплементована в національне законодавство країн-членів ЄС до 17 жовтня 2024 року. Очевидно, що і нам теж треба, ми ж рухаємось в ЄС.
Це велика (у всіх сенсах, в тому числі і за обсягом) директива, я зосереджуюсь виключно на "об'єктах і предметах".
Об'єкти контролю:
1. Essential Entities (необхідні сутності, щось таке, без чого не обійтися).
Визначені 11 секторів.
(енергетика) Energy (electricity, oil, gas, heat, hydrogen)
(охорона здоров'я) Health (utilities, laboratories, R&D, pharmaceuticals)
(транспорт) Transport (air, rail, water, road)
(банки) Banks
(фінансові ринки) Financial markets
(чиста вода для пиття) Drinking Water Companies and suppliers
(витратна вода) Wastewater Companies and suppliers
(цифра) Digital (provider of: Internet Exchange Points (IXP), DNS service providers, TLD name registries, data centre services, cloud computing service providers, content delivery networks, trust services)
(ІКТ) ICT service management
(космос) Space
(державне управління) Public administration
!!! Визначені межі Essential Entities, стосується лише великого бізнесу: більше 250 працівників, оборот понад 50 мільйонів євро, баланс більше 43 мільйонів євро.
Ви тут бачите провайдера Інтернет чи Інтернет-магазин?
Я бачу точки обміну трафіком, провайдерів DNS (кореневі сервери, домени другого рівня, в т.ч. домени країн), хмарних операторів, дата-центри, реєстраторів доменних імен. Великих, "понад 50 мільонів євро".
2. Important entities (важливі сутності, щось таке, без чого важко)
Ще 7 секторів.
(пошта) Postal services
(Кур'єрські служби) Courier services
(відходи) Waste management
(хімія) Chemicals
(харчові продукти) Food
(промисловість) Industry (technology and engineering)
(цифрові сервіси) Digital services (online marketplaces, online search engines, social networks)
(дослідження) Research
!!! Також визначені межі: оборот від 10 до 50 мільйонів євро, від 50 до 250 працівників.
Великі інтернет-магазини (Розетка явно попаде), пошуковики (привіт Гугл), соціальні мережі (привіт Марку). Інтернет-провайдерів знову немає. В Європі розуміють, що захист має бути на об'єкті, а не тоді, коли полетіло вже в Мережу...
Зверніть увагу, малого і середнього (для України) бізнесу - взагалі не стосується. Формулюваннями типу "всі, у кого є інформація з обмеженим доступом, вимоги до захисту якої встановлені законом" - навіть не пахне.
А, ще. Контроль для "необхідних" - проактивний. Тобто "можуть приходити перевіряти за власною ініціативою". А для "важливих" - тільки реактивний, тобто можуть приходити тільки якщо відбувся кіберінцидент.
Крім чіткого визначення об'єктів (як мав би, на мою думку, обмежитись "державним" і "критичною інфраструктурою" і 8087, без оцієї розмитої "інформації з обмеженим доступом"), визначений і предмет, що конкретно має бути: (не буду перекладати):
- risk assessment and management
- cybersecurity training
- security policies
- crisis management
- supply chain security
- vulnerability and incident handling and reporting
- data encryption
Логіку бачу, послідовність, мету і шлях.
В конструкції "ти будеш в об'єктах, разом з адвокатською таємницею і лікарською, але ми не будемо тебе перевіряти, бо вимоги не затверджені" - не бачу ні логіки, ні мети, ні шляху.
Вірю в здоровий глузд і правильні формулювання.
Головна проблема вирішується заміною "інформації з обмеженим доступом" на "таємну і службову інформацію".
Чому ми звертаємо увагу читачів на цей допис?
Тому, що «прапор» лобістів цього ЗП – є продовження політики придушення бізнесу часів Януковича. Який зараз з Ростову докоряє Азарову, Пшонці та Клименко, що не тім вони займалися!
Необмежений доступ без суддівського контролю до будь-яких даних, будь-якого об’єкта господарювання, за невеликими виключеннями – то була їхня блакитна мрія, яку поховала революція Гідності.
Як бачите, посилання авторів 8087 на Європейські норми - то прихована гра, по перевдяганню вовка в овечу шкуру. Мета - приховати копію російської практики від розумників з ФСБ.
А зараз - найцікавіше!
Якісь диваки (на літеру М) раптово обмежили доступ до процитованих нами постів у Фейсбуці. Може помітили там ознаки фішингу в варіанті гестапо???