Парламент ждал два года, пока вопрос кибербезопасности станет достаточно актуальным, чтобы принять законопроект № 2126а «Об основных принципах обеспечения кибербезопасности Украины» (Закон № 2126а). Хорошо, что за это время наша страна столкнулась с достаточно серьезными кибератаками на отдельные предприятия и государственные порталы, а также познакомилась с вирусом Petya.A с известными всем последствиями (в этом предложении есть сарказм, если что).

Впрочем, надо отдать должное народным избранникам: в 2016 году проект провалили умышленно, так как в него внесли поправки, которые могли серьезно спутать карты внутри такого механизма, как ProZorro. Кстати, закон об электронных доверительных услугах тоже хотели использовать в данных целях — вот уж кому действительно небезразличны телеком- и кибербезопасность, так это борцам с ProZorro.

В целом на фоне других законодательных инициатив в данной сфере (закон о доступе к инфраструктуре, проекты-близнецы о блокировках сайтов, тот же закон об электронных доверительных услугах) законопроект № 2126а был вовсе не на первом плане (к концу статьи будет понятнее почему).

Чего же обыватель может ждать от законопроекта с таким звучным названием, особенно на фоне блокировок российских сайтов и волны ненависти к M.E.doc? Давайте разберемся.

 

Больше блокировок или цензура?

Когда законопроект только появился, активисты сразу заговорили о том, что под соусом безопасности в Сети нам предлагают цензуру (и так происходит почти с каждым нормативным актом в данной сфере). Это не совсем так. Закон вместо цензуры предлагает нам, к примеру, обязанность органов властных полномочий действовать в соответствии с принципами «объективности и правовой определенности, максимально возможного применения национального и международного права в отношении полномочий государственных органов, предприятий, учреждений, организаций, граждан в сфере кибербезопасности» (пункт 2 части 2 статьи 2 Закона № 2126а). Как видите, законодатель решает чрезвычайно важную задачу, касающуюся отсутствия прописанных принципов работы госорганов. Интересно, чем же они (органы) руководствовались до этого?

Если же говорить более серьезно, то Закон № 2126а в части 1 той же статьи 2 прямо говорит о том, что его действие не распространяется на социальные сети и другие интернет-ресурсы (в том числе на блоги, видеохостинги), равно как и на услуги по поддержанию их работы. Также действие Закона № 2126а не распространяется на отношения и услуги, связанные с содержимым информации, обрабатываемой и передаваемой в коммуникационных сетях, и на «коммуникационные системы, которые не взаимодействуют с публичными системами электронных коммуникаций, не подключены к сети Интернет или к другим сетям передачи данных» (пункт 3 части 1 статьи 2 Закона № 2126а).

Если перевести этот текст на человеческий язык, то получается, что цензуры не будет (по крайней мере на основании этого Закона и под предлогом кибербезопасности). Причем забавно, что социальные сети вывели в отдельный пункт — видимо, хотели задобрить социально активных политиков и блогеров. Закон дает четкий посыл хостинг-провайдерам, собственникам контент-платформ, рекламному бизнесу о том, что этим Законом какие-то особые требования к контенту, способам его размещения, условиям договоров между заказчиком и провайдером услуг не вводятся.

Что же касается упомянутого выше пункта 3 части 1 статьи 2 Закона № 2126а, то эта норма вызывает вопросы. Возможно, так законодатель хотел сказать, что корпоративные сети и другие «интранеты» не будут регулироваться этим Законом, что в принципе логично. Вот только мой гуманитарный ум подсказывает, что корпоративные сети все же могут быть интегрированы с внешними сетями вроде Интернет. Если один и тот же набор техники работает и в локальной сети, и в сети Интернет, действует закон или нет?

В итоге Закон № 2126а — не о блокировках и не о цензуре. Хотя по поводу цензуры еще можно спорить, ведь данный акт вносит изменения в Закон Украины «Об информации». Отныне у нас будет еще один вид информации — технологическая информация, которая может иметь ограниченный доступ. Парламентский комитет по вопросам свободы слова заметил, что определение довольно широкое, а значит, под него можно будет «подтянуть» публичную информацию и таким образом ее «закрыть». Пожалуй, это действительно возможно, хотя я бы не исключал и более адекватных вариантов использования этого инструмента.

 

За счет провайдеров?

Обычно законы в сфере кибербезопасности и телекоммуникаций предусматривают внедрение технических средств какого-либо контроля/учета/фиксации. И обычно затраты на такое внедрение предлагается возложить на плечи бизнеса. Так вот, спешу обрадовать бизнес: подобных требований в Законе № 2126а нет. Хотя в остальном есть о чем задуматься. Законом вводится понятие объектов критической инфраструктуры, которое охватывает предприятия и организации вне зависимости от формы собственности. Для таких объектов как раз и предусмотрен особый режим кибербезопасности, требования к которому будут разработаны Кабинетом Министров. Так что предприятия химической промышленности, энергетического комплекса, транспортной, сельскохозяйственной отраслей и даже предприятия сферы здравоохранения, а также банки должны быть готовы к тому, что однажды они получат почетное звание критически важного для государства предприятия или учреждения. Критерии для такого «награждения» разработают Кабинет Министров и Национальный банк Украины (для банков).

Безусловно, вместе с признанием появятся новые обязанности — объекты критической инфраструктуры должны будут проходить независимый аудит информационной безопасности (ежегодно), в то время как собственники и руководители предприятий будут обязаны информировать CERT-UA (это подразделение внутри Госспецсвязи) об инцидентах кибербезопасности. В общем, теперь собственники крупнейших украинских финансово-промышленных групп наверняка озадачены — круг их обязательств перед государством может расшириться за счет мер кибербезопасности, ведь их предприятия с большой вероятностью попадут под понятие критической инфраструктуры.

Что касается аудита, то следует сказать, что обеспечить его проведение поручено, согласно Закону № 2126а, Госспецсвязи, для чего этот орган наделяется полномочиями формировать требования к аудиторам и определять порядок их аттестации. За данным процессом действительно стоит понаблюдать — новая разрешительная (аттестационная) процедура в нашей стране всегда подвержена коррупционным рискам, а вероятное ограниченное предложение таких услуг аудита может повлечь за собой даже вопросы в части конкурентного законодательства.

Получается, что Законом № 2126а в карман бизнесу сходу не лезут. Тем не менее стоит следить за его реализацией на практике — думаю, нас ждут интересные кейсы как в части формирования списков ключевой инфраструктуры, так и в части аудита таких структур.

 

Расширенные полномочия органов власти?

Да. И речь не только об упомянутых выше полномочиях КМУ, НБУ, Госспецсвязи, но и о полномочиях парламента. Как ни странно, но контроль за соблюдением законодательства в сфере кибербезопасности будет осуществлять Верховный Совет (в лице комитета по телекоммуникациям, по всей видимости). Кстати, статья, в которой это предусмотрено, называется «Контроль за законностью», так что специалисты в сфере конституционного права над этим моментом призадумались. Но, во-первых, кого останавливало легкое расхождение между теорией Монтескье и украинской практикой? Во-вторых, наверное, лучше это, чем то, что предлагали более ранние редакции этого документа, наделяя полномочиями надзора в сфере кибербезопасности прокуратуру.

 

Новые виды правонарушений?

Вообще нет. Закон № 2126а, конечно, вводит массу новой и несколько спорной терминологии (то же киберпространство не имеет какой-то территориальной привязки, так что регулируем все и всюду), но в части правонарушений пока ничего нового не предвидится, закон вежливо кивает в сторону Уголовного кодекса.

 

Вместо итога

Закон № 2126а действительно подчистили перед окончательным голосованием — спустя два года он стал лучше первичных вариантов. Хотя от основного «бага», на мой взгляд, он так и не избавился — Главное экспертное управление парламента не зря критиковало его как содержащего слишком большое количество декларативных норм (и очевидных тоже). И это особенно удручает, когда сравниваешь Закон № 2126а с нормативными актами, например, США, где законы, касающиеся кибербезопасности, — прикладные по своей сути. Оценивать же качество Закона в целом не совсем правильно, так как самое интересное будет спрятано в других документах. Для меня он все еще больше «договор о намерениях» в вопросах кибербезопасности, и это, наверное, неплохо.

 

БЕРЕГОВОЙ Денис — партнер, соучредитель Axon Partners, г. Киев

---

Комментарии

Системообразующий акт

Владислав ЧУПРИНА, юрист LEMAN International Law Group

Принятый парламентом Закон «Об основах обеспечения кибербезопасности Украины» оставляет больше вопросов, чем ответов о формировании эффективной государственной политики в этой сфере и, самое главное, о механизмах реализации такой политики. По сути Закон имеет декларативный характер и содержит в себе бланкетные нормы, выступая скорее системообразующим актом, разделяющим функции по киберзащите между разными органами и определяющим основные принципы и термины в этой сфере.

Но после его вступления в силу предстоит еще огромная работа по принятию целого массива подзаконных нормативных актов. Нечто подобное мы уже наблюдали при исполнении решения СНБО «Об угрозах кибербезопасности государства и неотложных мерах по их нейтрализации», веденного в действие Президентом весной этого года, в котором также давались поручения различным ведомствам. К сожалению, исполнение этого решения (к слову, принятого еще в конце 2016 года) все еще продолжается без видимых результатов. Так или иначе, но Закон принят, и теперь чиновники, на которых возложена ответственность, должны эффективно и быстро реализовать поставленные перед ними задачи и создать слаженный и действенный механизм киберзащиты, о котором лишь упоминается в Законе.

 

Расходы для бизнеса

Иван БОЖКО, адвокат ЮФ «Ильяшев и Партнеры»

Сегодня требования к аудиту информационной безопасности объектов критической инфраструктуры не установлены — их разработкой еще только предстоит заняться Кабинету Министров Украины. Вместе с тем новые требования могут обернуться для бизнеса значительными финансовыми расходами, связанными с покупкой нового оборудования и даже с увеличением количества наемных работников или оформлением аутсорсинговых отношений со специализированными фирмами.

Помимо этого в случае отсутствия надлежащего контроля со стороны государства новый механизм инспектирования может стать новым инструментом давления на бизнес. Подобное имело место совсем недавно, когда в 2016 году по Украине прокатилась целая волна проверок IT-компаний, поставившая под угрозу развитие целой индустрии. С другой стороны, усиление мер киберзащиты будет способствовать своевременному информированию публичного и частного сектора и более эффективному отражению потенциальных угроз. Уже сегодня мы видим, что своевременное предупреждение и применение ряда превентивных мер помогает уменьшить негативные последствия противоправных действий отдельных субъектов или вовсе их избежать.