Участившиеся хакерские атаки на объекты критической инфраструктуры обнажили глобальную уязвимость киберпространства перед угрозами, исходящими от отдельных стран и групп. Не вызывает сомнений необходимость подготовки государством комплексного ответа на возникающие угрозы.

Радует, что украинские законодатели озаботились вопросами кибербезопасности еще в 2015 году, начав разработку соответствующего законопроекта. Вирус Petya, парализовавший летом 2017 года работу многих органов государственной власти и ключевых для страны предприятий, еще раз подчеркнул потребность в активизации подготовки законопроекта.

В начале октября 2017 года, после более чем двух лет работы и яростного обсуждения, сессионный зал 257 голосами поддержал законопроект № 2126а «Об основах обеспечения кибербезопасности Украины» (Закон).

Став фундаментальным для правового обеспечения кибербезопасности, в процессе рассмотрения профильным комитетом и обсуждения в сессионном зале Закон, к сожалению, не лишился недостатков, на которые справедливо указывали эксперты. Кроме того, он содержит нормы, ­способные стать при недобросовестном применении еще одним инструментом давления на бизнес.

 

Доктринальные бреши

С технико-юридической точки зрения нарекания вызывала терминология Закона. Законодатель ввел много новых терминов, но не сделал их достаточно понятными для субъектов правоотношений. К примеру, термин «кибератака» не только содержит логическую ошибку «круг в определении», но и вводится с помощью таких же непонятных и нигде не определенных терминов.

Более того, многие из введенных терминов не согласовываются с уже существующими законодательными определениями. Так, например, содержащаяся в Законе дефиниция «киберпреступление» не соответствует ни Конвенции о киберпреступности 2001 года, ни Уголовному кодексу Украины. Достаточно небрежное внедрение законодателем новой терминологии может привести к путанице и неопределенности в правоприменительной практике.

Стоит также отметить перегруженность Закона положениями, не выполняющими регулятивную функцию: декларациями, принципами, направлениями. Многие из них дословно заимствованы из Стратегии кибербезопасности Украины, введенной в действие Указом Президента от 15 марта 2016 года № 96/2016. Целесообразность обременения Закона таким количеством норм декларативного характера является как минимум спорной с технико-юридической точки зрения.

Еще один проблемный аспект Закона связан с тем, что парламентарии возложили на себя функции других органов государственной власти. Так, например, Закон предусматривает создание Государственного центра киберзащиты в составе Государственной службы специальной связи и защиты информации, хотя парламент не имеет полномочий создавать подобные структуры. Кроме того, Закон не определяет судьбу уже существующего в составе Госспецсвязи Государственного центра киберзащиты и противодействия киберугрозам.

Похожее замечание касается определения в Законе функций Национального координационного центра кибербезопасности в составе Совета национальной безопасности и обороны. Определение функций и полномочий рабочих органов СНБО является прерогативой Президента.

 

Всеобщая кибероборонная повинность

В числе ключевых новшеств Закона — введение понятия «объект критической инфраструктуры» и установление для таких объектов обязанности проводить регулярный аудит информационной безопасности. Конкретные критерии и порядок отнесения объектов к объектам критической инфраструктуры, их перечень, требования к их кибербезопасности и порядок проведения независимого аудита информационной безопасности предлагается определить Кабинету Министров Украины, а в банковской системе — Национальному банку Украины.

В этом отношении высказывались опасения по поводу возможного превращения аудита информационной безопасности в дополнительный фактор давления на бизнес, поскольку определение «объект критической инфраструктуры» применимо и к мобильным операторам, и к производителям продуктов питания, и банкам и т.д. Не добавляет оптимизма отсутствие законодательно определенных последствий проведения аудита, в том числе ответственности за невыполнение установленных требований информационной безопасности.

Не совсем понятно, как вышеупомянутые требования к информационной безопасности и регулярному проведению аудита соотносятся с положениями Закона Украины «О защите информации в информационно-коммуникационных системах» от 5 июля 1994 года в части обязательств по использованию при работе с подлежащими защите данными комплексной системы защиты информации, прошедшей государственную экспертизу. Похоже, что бизнес может столкнуться с двойным регуляторным бременем.

Еще одним, на первый взгляд малозаметным, но потенциально тектоническим по влиянию можно назвать факт наделения Службы безопасности Украины полномочием негласно проверять готовность объектов критической инфраструктуры к возможным атакам и киберинцидентам. Закон не уточняет, в каком порядке должна проводиться проверка, какими документами оформляться, как будут формироваться списки кандидатов на проверку и пр. В отсутствие детального регулирования такие негласные проверки могут стать инструментом давления на бизнес.

Насколько эффективным окажется Закон, во многом зависит от подзаконных актов, принятых для его исполнения. Чтобы предугадать возможное направление развития законодательства в сфере кибербезопасности, необходимо ознакомиться с соответствующим опытом Европейского союза, тем более что Закон провозглашает курс на адаптацию государственной политики в сфере кибербезопасности к стандартам ЕС.

 

Европейский вектор

Среди основополагающих актов ЕС в сфере кибербезопасности следует назвать Директиву о безопасности сетевых и информационных систем (Directive (EU) 2016/1148, Директива). В отличие от украинского Закона Директива распространяется не только на объекты критической инфраструктуры, но и на цифровые сервисы, к которым относятся онлайн-маркетплейсы, поисковые движки и сервисы облачных вычислений.

Основной фокус Директивы — оперативный обмен информацией о киберинцидентах между всеми заинтересованными сторонами. Примечательно, что Директива четко указывает на недопустимость возложения дополнительной ответственности на лицо, извещающее о киберинциденте. Напротив, Директива подчеркивает право пострадавших от киберинцидентов на получение посильной помощи от команд быстрого реагирования (аналоги украинской CERT-UA).

Остается надеяться, что государство, реализуя Закон, будет использовать лучшие практики ЕС и сфокусируется не на репрессивных мерах в отношении пострадавших от кибератак, а на оказании им помощи в преодолении атак.

 

ТРИКУР Максим — юрист Sayenko Kharenko, г. Киев

---

Комментарии

Ответственность за киберзащиту

Игорь РЕУТОВ, руководитель департамента АФ «Грамацкий и Партнеры», адвокат

Анализируя положения нового Закона в контексте возложения дополнительной (повышенной) ответственности и сравнивая их с регулированием, содержащимся в Директиве ЕС 2016/1148 относительно мер, необходимых для высокого уровня безопасности сети и информационных систем в ЕС, необходимо отметить, что Закон, в отличие от Директивы, не содержит упоминаний о том, что на лицо, сообщившее о киберинциденте, не должна возлагаться дополнительная ответственность.

Более того, Закон возлагает на собственников и/или руководителей предприятий, учреждений и организаций, которые относятся к объектам критической инфраструктуры, ответственность как за неинформирование правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT-UA об инцидентах кибербезопасности, так и за обеспечение киберзащиты. Таким образом, лицо, курирующее объекты критической инфраструктуры, в случае информирования о киберинциденте может быть привлечено как минимум к ответственности за необеспечение киберзащиты.

Следует также отметить, что в ближайшее время необходимо ожидать принятия законопроекта, подготовленного при участии СБУ, относительно разграничения уголовной ответственности за преступления в сфере использования компьютеров, компьютерных сетей, сетей электросвязи, которые совершены в отношении государственных и прочих информационных ресурсов, а также объектов критической информационной инфраструктуры. Такие меры принимаются в рамках исполнения Указа Президента Украины № 254/2017 от 30 августа 2017 года, которым приведено в действие решение СНБО от 10 июля 2017 года.

 

Кибербезопасность по-украински

Виталий ВАДОВСКИЙ, младший юрист ЮК EQUITY

Подписанный Пре­зидентом Ук­раины 7 ноября с.г. Закон «Об основах обеспечения кибербезопасности Украины» фактически легализовал проверки IT- и других компаний, ведь сегодня любая компания тесно связана с киберпространством (программное обеспечение, интернет-ресурсы, почтовые приложения и т.д.). Поэтому вполне возможно, что под видом борьбы с кибертерроризмом и кибершпионажем можно будет прийти куда угодно, в том числе и к простым гражданам.

Кроме того, не исключены и взлом аккаунтов граждан в социальных сетях, и несанкционированный доступ к почтовым клиентам, и блокирование работы различных интернет-ресурсов со стороны сотрудников СБУ на основании действий по предотвращению и выявлению преступлений в кибер-
пространстве.

Поскольку большинство положений нового Закона имеет декларативный и размытый характер, это может привести к ряду негативных последствий: например, к проблемам правоприменения, росту коррупционной составляющей, формированию неоднозначной судебной практики по обжалованию действий Службы безопасности Украины в кибер-сфере.