Политика государства в сфере информационной безопасности безнадежно устарела и не может противостоять современным угрозам. И все выглядело бы не так угрожающе, если бы государство училось на собственных ошибках. Но нет. Вирус Petya, который в июне 2017 года массово атаковал компьютеры украинских частных и государственных компаний, продемонстрировал полную неготовность Украины к кибератакам. На календаре май 2018-го, и в киберполитике государства практически ничего не изменилось. Помимо, конечно, каких-то общих деклараций.
19 апреля с.г. в Верховной Раде Украины был зарегистрирован законопроект о внесении изменений в Уголовный кодекс (УК) Украины и Уголовный процессуальный кодекс (УПК) Украины относительно разграничения подследственности преступлений, совершенных в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей и сетей электросвязи, государственных информационных ресурсов и объектов критической инфраструктуры № 8304 (законопроект).
Субъект законодательной инициативы — Кабинет Министров Украины (КМУ), хотя сам документ разработан администрацией Государственной службы специальной связи и защиты информации Украины совместно со Службой безопасности Украины (СБУ). Все это сделано во исполнение решения Совета национальной безопасности и обороны Украины (СНБО) «Об угрозах кибербезопасности государства и безотлагательных мерах по их нейтрализации» от 29 декабря 2016 года. Речь идет о поручении правительству подготовить при участии СБУ и подать в установленном порядке на рассмотрение Верховной Рады Украины соответствующий законопроект.
Как отмечается в пояснительной записке к законопроекту, реализация решения СНБО требует разграничения уголовной ответственности за преступления в сфере использования компьютеров и соответствующего разграничения подследственности.
В связи с «гибридной войной» Российской Федерации против Украины значительно повысились количество и мощность кибератак из-за несанкционированного вмешательства в работу государственных информационных ресурсов, объектов критической информационной инфраструктуры, что несет угрозу национальной безопасности Украины, говорится в пояснительной записке к проекту. Авторы законодательной инициативы отмечают, что на эффективность противодействия указанным угрозам влияет отсутствие уголовно-процессуальных рычагов воздействия СБУ на сферу таких преступлений, причиняющих значительный вред государственной безопасности Украины.
Цели законопроект преследует благие — это разработка и внедрение правовых механизмов киберзащиты, направленных на формирование эффективной национальной системы кибербезопасности.
Каким же путем этих целей инициаторы документа намерены достичь?
Давайте сначала рассмотрим терминологию. Порядок формирования перечня информационно-телекоммуникационных систем объектов критической инфраструктуры государства (утвержденный постановлением КМУ от 23 августа 2016 года № 563) «объект критической инфраструктуры» определяет так: предприятия и учреждения (независимо от формы собственности) таких отраслей, как энергетика, химическая промышленность, транспорт, банки и финансы, информационные технологии и телекоммуникации (электронные коммуникации), продовольствие, охрана здоровья, коммунальное хозяйство, являющиеся стратегически важными для функционирования экономики и безопасности государства, общества и населения.
А теперь, пожалуй, перейдем к самому законопроекту.
Уголовное усиление
Начнем с материального законодательства.
Законопроект № 8304 предлагает дополнить статью 361 УК Украины «Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи» двумя новыми частями. Одна из них (часть 3) касается несанкционированного вмешательства в работу объекта критической информационной инфраструктуры. Санкция — лишение свободы на срок от шести до восьми лет с лишением права занятия определенных должностей или занятия определенной деятельностью на срок до трех лет. Другая часть (4) предусматривает ответственность за действия, указанные в предыдущей части, осуществленные повторно или по предварительному сговору группой лиц или причинившие существенный вред. Санкция — лишение свободы на срок от шести до десяти лет.
Предлагается усилить санкции, предусмотренные статьей 3611 «Создание с целью использования, распространения или сбыта вредоносных программных или технических средств, а также их распространение или сбыт». Наказание по части 1 предлагается установить следующее: штраф от трех до пяти тысяч необлагаемых минимумов доходов граждан (в действующей редакции — от 500 до 1000 необлагаемых минимумов доходов) или лишение свободы от четырех до шести лет (в действующей редакции предусматриваются исправительные работы на срок до двух лет или лишение свободы на тот же срок). Если эти действия совершены повторно или по предварительному сговору группой лиц или если они причинили значительный вред, устанавливается наказание в виде лишения свободы на срок от шести до девяти лет (в действующей редакции — до пяти лет).
Двумя новыми частями дополняется статья 3612 УК Украины. Новая часть 3 звучит так: несанкционированный сбыт или распространение информации с ограниченным доступом, созданной и защищенной в соответствии с действующем законодательством, обрабатываемой на объектах критической информационной инфраструктуры, наказывается лишением свободы на срок до семи лет. Часть 4 — те же действия, только совершенные повторно, — предусматривает наказание в виде лишения свободы на срок от шести до десяти лет.
Статья 362 УК Украины «Несанкционированные действия с информацией, обрабатываемой в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или сохраняющейся на носителях такой информации, совершенные лицом, имеющим доступ к ней» предлагается дополнить частями относительно объектов критической информационной инфраструктуры. Санкция за такие действия — лишение свободы на срок от шести до девяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. За повторное преступление (или совершенное группой лиц по предварительному сговору или если они причинили существенный вред) грозит лишение свободы от семи до десяти лет или «должностные ограничения» сроком до трех лет.
Не обошел вниманием законодатель и статью о нарушении правил эксплуатации. Действия, касающиеся нарушения правил эксплуатации электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи или правил защиты информации, обрабатываемой в них, если это причинило существенный вред, которые совершены лицом, ответственным за их эксплуатацию в отношении объектов критической информационной инфраструктуры, наказываются штрафом от 1000 до 2000 необлагаемых минимумов доходов граждан или ограничением свободы на срок от трех до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет (новая часть 3 статьи 363 УК Украины).
Умышленное массовое распространение сообщений электросвязи, осуществленное без предварительного согласия адресатов, что привело к блокированию информации, обрабатываемой на объектах критической информационной инфраструктуры (новая часть 3 статьи 3631 УК Украины) предлагается наказывать лишением свободы на срок от шести до восьми лет («должностные ограничения» — сроком до трех лет). За эти же действия, совершенные повторно или по предварительному сговору группой лиц или причинившие существенный вред, предусмотрена санкция в виде лишения свободы сроком от семи до десяти лет.
Изменения в процессуальное законодательство намного лаконичнее. Часть 2 статьи 216 «Подследственность» УПК Украины дополняется статьями, досудебное расследование преступлений по которым осуществляется следственными органами безопасности. Речь идет о частях 3 и 4 статьи 361, части 3 статьи 3612, частях 4 и 5 статьи 362, части 2 статьи 363, частях 3 и 4 статьи 3631 УК Украины.
Как видим, одна из деклараций государства в вопросе кибербезопасности приобрела весьма конкретные законодательные черты. Остается надеяться, что парламент не станет дожидаться очередной хакерской атаки, чтобы принять соответствующий законопроект.
Тонкая грань
Егор АУШЕВ, соучредитель HACKEN.io
Интернет проникает в нашу жизнь все быстрее, и чем больше его мы наблюдаем, тем уязвимее становимся.
Безусловно, сфера кибербезопасности в Украине требует принятия новых законов и внесений изменений в существующие, но это не должно происходить без обсуждения с общественностью и экспертным комьюнити. Существует очень тонкая грань между защитой безопасности и ограничением свободы.
Самые масштабные кибернападения готовятся месяцами и происходят от групп хакеров, которые поддерживаются государством-агрессором. В данном случае законодательные инициативы правительственного законопроекта № 8304 о внесении изменений в Уголовный и Уголовный процессуальный кодексы Украины об разграничении подследственности преступлений, совершенных в «цифровой сфере», не будут иметь никакой фактической силы, поскольку главные враги, хорошо обученные хакеры, не находятся в Украине, и их будет сложно привлечь к ответственности.
Если принять изменения в том виде, как они прописаны, мы отдалим себя от возможности комплексного повышения уровня кибербезопасности в нашей стране. Во всем мире для проверки безопасности государственных и частных компаний используют специальные площадки баг-баунти, на которых так называемые белые хакеры пытаются взломать систему, например, госоргана и получают вознаграждение, если им это удастся. Такими площадками пользуются все самые крупные организации, в том числе Федеральное бюро расследований (ФБР), Пентагон, армия США, Европейская комиссия и практически все известные коммерческие организации. По приблизительным расчетам американской компании h1, в среднем заказчик экономит до 85 % средств налогоплательщиков, выплачивая деньги только за выявленные уязвимости, по сравнению с обычным аудитом безопасности, методы проведения которого являются менее эффективными и в большинстве случаев устарелыми.
В наших реалиях госорганы, к сожалению, не могут, а с новыми изменениями и не смогут заказывать подобные услуги «белых хакеров», поскольку это будет фактически взломом инфраструктуры со всеми вытекающими последствиями. Единственный способ защитить свою систему — проводить регулярные ее тестирования. Изменениями в законодательство это будет сделать сложно, находясь в состоянии кибервойны.
Изменения нужно вносить таким образом, чтобы, с одной стороны, усилить ответственность, а с другой — создать возможность использовать «белых хакеров» для киберзащиты нашей страны и объектов критической инфраструктуры.
© Юридична практика, 1997-2024. Всі права захищені
Кількість адвокатських балів | Вартість |
---|---|
Відеокурс з адвокатської етики | 650 грн |
10 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 2200 грн |
16 адвокатських балів (включаючи 2 бали за курс з адвокатської етики) | 3500 грн |
8 адвокатських балів (без адвокатської етики) | 1800 грн |
Щодо додаткової інформації
Email: [email protected]
Тел. +38 (050) 449-01-09
Пожалуйста, подождите…