Киберэтика — PRAVO.UA
прапор_України
2024

Генеральний партнер 2024 року

Видавництво ЮРИДИЧНА ПРАКТИКА
Головна » Выпуск №20 (1064) » Киберэтика

Киберэтика

Политика государства в сфере информационной безопасности безнадежно устарела и не может противостоять современным угрозам. И все выглядело бы не так угрожающе, если бы государство училось на собственных ошибках. Но нет. Вирус Petya, который в июне 2017 года массово атаковал компьютеры украинских частных и государственных компаний, продемонстрировал полную неготовность Украины к кибератакам. На календаре май 2018-го, и в киберполитике государства практически ничего не изменилось. Помимо, конечно, каких-то общих деклараций.

19 апреля с.г. в Верховной Раде Украины был зарегистрирован законопроект о внесении изменений в Уголовный кодекс (УК) Украины и Уголовный процессуальный кодекс (УПК) Украины относительно разграничения подследственности преступлений, совершенных в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей и сетей электросвязи, государственных информационных ресурсов и объектов критической инфраструктуры № 8304 (законопроект).

Субъект законодательной инициативы — Кабинет Министров Украины (КМУ), хотя сам документ разработан администрацией Государственной службы специальной связи и защиты информации Украины совместно со Службой безопасности Украины (СБУ). Все это сделано во исполнение решения Совета национальной безопасности и обороны Украины (СНБО) «Об угрозах кибербезопасности государства и безотлагательных мерах по их нейтрализации» от 29 декабря 2016 года. Речь идет о поручении правительству подготовить при участии СБУ и подать в установленном порядке на рассмотрение Верховной Рады Украины соответствующий законопроект.

Как отмечается в пояснительной записке к законопроекту, реализация решения СНБО требует разграничения уголовной ответственности за преступления в сфере использования компьютеров и соответствующего разграничения подследственности.

В связи с «гибридной войной» Российской Федерации против Украины значительно повысились количество и мощность кибератак из-за несанкционированного вмешательства в работу государственных информационных ресурсов, объектов критической информационной инфраструктуры, что несет угрозу национальной безопасности Украины, говорится в пояснительной записке к проекту. Авторы законодательной инициативы отмечают, что на эффективность противодействия указанным угрозам влияет отсутствие уголовно-процессуальных рычагов воздействия СБУ на сферу таких преступлений, причиняющих значительный вред государственной безопасности Украины.

Цели законопроект преследует благие — это разработка и внедрение правовых механизмов киберзащиты, направленных на формирование эффективной национальной системы кибербезопасности.

Каким же путем этих целей инициаторы документа намерены достичь?

Давайте сначала рассмотрим терминологию. Порядок формирования перечня информационно-телекоммуникационных систем объектов критической инфраструктуры государства (утвержденный постановлением КМУ от 23 августа 2016 года № 563) «объект критической инфраструктуры» определяет так: предприятия и учреждения (независимо от формы собственности) таких отраслей, как энергетика, химическая промышленность, транспорт, банки и финансы, информационные технологии и телекоммуникации (электронные коммуникации), продовольствие, охрана здоровья, коммунальное хозяйство, являющиеся стратегически важными для функционирования экономики и безопасности государства, общества и населения.

А теперь, пожалуй, перейдем к самому законопроекту.

 

Уголовное усиление

Начнем с материального законодательства.

Законопроект № 8304 предлагает дополнить статью 361 УК Украины «Несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи» двумя новыми частями. Одна из них (часть 3) касается несанкционированного вмешательства в работу объекта критической информационной инфраструктуры. Санкция — лишение свободы на срок от шести до восьми лет с лишением права занятия определенных должностей или занятия определенной деятельностью на срок до трех лет. Другая часть (4) предусматривает ответственность за действия, указанные в предыдущей части, осуществленные повторно или по предварительному сговору группой лиц или причинившие существенный вред. Санкция — лишение свободы на срок от шести до десяти лет.

Предлагается усилить санкции, предусмотренные статьей 3611 «Создание с целью использования, распространения или сбыта вредоносных программных или технических средств, а также их распространение или сбыт». Наказание по части 1 предлагается установить следующее: штраф от трех до пяти тысяч необлагаемых минимумов доходов граждан (в действующей редакции — от 500 до 1000 необлагаемых минимумов доходов) или лишение свободы от четырех до шести лет (в действующей редакции предусматриваются исправительные работы на срок до двух лет или лишение свободы на тот же срок). Если эти действия совершены повторно или по предварительному сговору группой лиц или если они причинили значительный вред, устанавливается наказание в виде лишения свободы на срок от шести до девяти лет (в действующей редакции — до пяти лет).

Двумя новыми частями дополняется статья 3612 УК Украины. Новая часть 3 звучит так: несанкционированный сбыт или распространение информации с ограниченным доступом, созданной и защищенной в соответствии с действующем законодательством, обрабатываемой на объектах критической информационной инфраструктуры, наказывается лишением свободы на срок до семи лет. Часть 4 — те же действия, только совершенные повторно, — предусматривает наказание в виде лишения свободы на срок от шести до десяти лет.

Статья 362 УК Украины «Несанкционированные действия с информацией, обрабатываемой в электронно-вычислительных машинах (компьютерах), автоматизированных системах, компьютерных сетях или сохраняющейся на носителях такой информации, совершенные лицом, имеющим доступ к ней» предлагается дополнить частями относительно объектов критической информационной инфраструктуры. Санкция за такие действия — лишение свободы на срок от шести до девяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет. За повторное преступление (или совершенное группой лиц по предварительному сговору или если они причинили существенный вред) грозит лишение свободы от семи до десяти лет или «должностные ограничения» сроком до трех лет.

Не обошел вниманием законодатель и статью о нарушении правил эксплуатации. Действия, касающиеся нарушения правил эксплуатации электронно-вычислительных машин (компьютеров), автоматизированных систем, компьютерных сетей или сетей электросвязи или правил защиты информации, обрабатываемой в них, если это причинило существенный вред, которые совершены лицом, ответственным за их эксплуатацию в отношении объектов критической информационной инфраструктуры, наказываются штрафом от 1000 до 2000 необлагаемых минимумов доходов граждан или ограничением свободы на срок от трех до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет (новая часть 3 статьи 363 УК Украины).

Умышленное массовое распространение сообщений электросвязи, осуществленное без предварительного согласия адресатов, что привело к блокированию информации, обрабатываемой на объектах критической информационной инфраструктуры (новая часть 3 статьи 3631 УК Украины) предлагается наказывать лишением свободы на срок от шести до восьми лет («должностные ограничения» — сроком до трех лет). За эти же действия, совершенные повторно или по предварительному сговору группой лиц или причинившие существенный вред, предусмотрена санкция в виде лишения свободы сроком от семи до десяти лет.

Изменения в процессуальное законодательство намного лаконичнее. Часть 2 статьи 216 «Подследственность» УПК Украины дополняется статьями, досудебное расследование преступлений по которым осуществляется следственными органами безопасности. Речь идет о частях 3 и 4 статьи 361, части 3 статьи 3612, частях 4 и 5 статьи 362, части 2 статьи 363, частях 3 и 4 статьи 3631 УК Украины.

Как видим, одна из деклараций государства в вопросе кибербезопасности приобрела весьма конкретные законодательные черты. Остается надеяться, что парламент не станет дожидаться очередной хакерской атаки, чтобы принять соответствующий законопроект.


Прямая речь

Тонкая грань

Егор АУШЕВ, соучредитель HACKEN.io

Интернет проникает в нашу жизнь все быстрее, и чем больше его мы наблюдаем, тем уязвимее становимся.

Безусловно, сфера кибербезопасности в Украине требует принятия новых законов и внесений изменений в существующие, но это не должно происходить без обсуждения с общественностью и экспертным комьюнити. Существует очень тонкая грань между защитой безопасности и ограничением свободы.

Самые масштабные кибернападения готовятся месяцами и происходят от групп хакеров, которые поддерживаются государством-агрессором. В данном случае законодательные инициативы правительственного законопроекта № 8304 о внесении изменений в Уголовный и Уголовный процессуальный кодексы Украины об разграничении подследственности преступлений, совершенных в «цифровой сфере», не будут иметь никакой фактической силы, поскольку главные враги, хорошо обученные хакеры, не находятся в Украине, и их будет сложно привлечь к ответственности.

Если принять изменения в том виде, как они прописаны, мы отдалим себя от возможности комплексного повышения уровня кибербезопасности в нашей стране. Во всем мире для проверки безопасности государственных и частных компаний используют специальные площадки баг-баунти, на которых так называемые белые хакеры пытаются взломать систему, например, госоргана и получают вознаграждение, если им это удастся. Такими площадками пользуются все самые крупные организации, в том числе Федеральное бюро расследований (ФБР), Пентагон, армия США, Европейская комиссия и практически все известные коммерческие организации. По приблизительным расчетам американской компании h1, в среднем заказчик экономит до 85 % средств налогоплательщиков, выплачивая деньги только за выявленные уязвимости, по сравнению с обычным аудитом безопасности, методы проведения которого являются менее эффективными и в большинстве случаев устарелыми.

В наших реалиях госорганы, к сожалению, не могут, а с новыми изменениями и не смогут заказывать подобные услуги «белых хакеров», поскольку это будет фактически взломом инфраструктуры со всеми вытекающими последствиями. Единственный способ защитить свою систему — проводить регулярные ее тестирования. Изменениями в законодательство это будет сделать сложно, находясь в состоянии кибервойны.

Изменения нужно вносить таким образом, чтобы, с одной стороны, усилить ответственность, а с другой — создать возможность использовать «белых хакеров» для киберзащиты нашей страны и объектов критической инфраструктуры.

Поділитися

Підписуйтесь на «Юридичну практику» в Facebook, Telegram, Linkedin та YouTube.

Баннер_на_сайт_тип_1
YPpicnic600x900
баннер_600_90px_2
2024
tg-10
Legal High School

Зміст

VOX POPULI

Самое важное

Обходной путь

Государство и юристы

Верно поданный

Государство и юристы

Новости законотворчества

Ответственность за незаконную продажу билетов на футбольные матчи

Зарегистрирован законопроект, регламентирующий права бывших заложников

Государство и юристы

Исполнительный подход

Фотостарт

Слепо вверить

Киберэтика

Государство и юристы

Новости законотворчества

Предусматривается создание Единого государственного реестра судебных экспертиз

Деловая практика

Рекомендательная участь

Новости из Евросуда

Судебная практика

Решение о передаче детей на усыновление в целях их безопасности не содержит нарушения права на уважение к семейной жизни

Выход журналиста за рамки критики и оправдание терроризма не означает, что вмешательство в его право на свободу выражения было необходимым

ВС высказался по вопросу подсудности дела о нарушении в интернете

ВС мотивировал образцовое решение о выдаче справки органами прокуратуры

Новости из-за рубежа

Тема номера

Суд ЕС высказался о выдворении иностранцев — родственников граждан ЕС

Создан арбитражный суд по вопросам искусства

Новости юридических фирм

Частная практика

Aequo признана самой инновационной юридической фирмой года в Украине по версии IFLR Europe Awards 2018

Spenser & Kauffmann подвели итоги стипендиального конкурса в сфере International Corporate and Tax Structuring

Asters — советник Nestlе по антимонопольному праву относительно двух сделок общей стоимостью более 5 млрд долл. США

Interlegal дважды в рамках одного дела взыскал долг для клиента

Kinstellar — юридический советник Marriott по вопросам открытия отеля Aloft Kiev

Отрасли практики

Спасти и сохранить

Знак допроса

Придать норму

Административное задание

Рабочий график

Карта событий

Самое важное

Дополнить ряды

На перспективу

Первые прошли

Судебная практика

Выжать все сроки

Не оправдала ожидания

Оценочное суждение

Судебная практика

Судебные решения

Опубликование планов-графиков документальных плановых проверок возможно лишь относительно проверокна 2018 год

Судебная практика

Проблемы подсудности

Судебная практика

Судебные решения

О привлечении к админответственности за нарушение правил перемещения автомобиля через границу в таможенном режиме «транзит»

Тема номера

Спориться — дело

Поисковая операция

Спорный запрос

Возвращение строптивого

Прямая наводка

Взять на баланс

Частная практика

Поймать кадр

Публичное выступление

Інші новини

PRAVO.UA