Баги и уязвимости закона о кибербезопасности № 2126а
Двенадцать лет понадобилось парламенту для того, чтобы вопрос кибербезопасности перестал быть второстепенным и превратился в пожарный. В 2005 парламент ратифицировал конвенцию о кибербезопасности. Теперь, вжух, и в 2017 принял законопроект №2126а «Об основных принципах обеспечения кибербезопасности Украины».
Хорошо, что за это время наши аэропорты, атомные станции, банки, и прочие совершенно незначительные с точки зрения национальной безопасности предприятия подверглись кибератакам, вроде Petya.A, Bad Rabbit. Иначе кто знает, сколько еще лет … ай, ладно
Впрочем, надо отдать должное народным избранникам: в 2016 году проект «провалили» умышленно. В него внесли поправки, которые могли серьезно спутать карты внутри «Прозорро».
На фоне других законодательных инициатив в данной сфере, вроде закона о доступе к инфраструктуре, проекты-близнецы о блокироках сайтов, закон об электронных доверительных услугах, наш сабж был вовсе не на первом плане (к концу статьи будет понятнее — почему).
Чего же обыватель может ждать от законопроекта на фоне блокировок российских сайтов и волны ненависти к M.E.doc? Давайте поковыряемся.
Больше блокировок, меньше цензуры
Когда законопроект только появился, активисты само собой заговорили о том, что под соусом безопасности в сети нам предлагают цензуру. Активисты, кстати, так отзываются о каждом нормативном акте в этой сфере и, обычно, не ошибаются.
Хотя наш сабж поначалу довольно безобидный — например, он предусматривает обязательство органов властных полномочий действовать согласно принципам «объективности и правовой определенности, максимально возможного применения национального и международного права в отношении полномочий государственных органов, предприятий, учреждений, организаций, граждан в сфере кибербезопасности» (п.2 ч. 2 ст. 2 Закона).
Законодатель решает чрезвычайно важную задачу — отсутствие выписанных принципов работы госорганов. Серьезно? Интересно, чем же они (органы) руководствовались до этого закона?
Поклонникам здравого смысла есть к чему придраться. А вот для борцов за свободу слова есть и хорошие новости:
- В той же статье 2, ч.1 говорится о том, что его действие не распространяется на социальные сети и другие Интернет-ресурсы (в т.ч. блоги, видеохостинги), равно как и на услуги по поддержанию их работы.
- А еще действие закона не распространяется на отношения и услуги, связанные с содержимым информации, которая обрабатывается или передается в коммуникационных сетях. И не распространяется на коммуникационные системы, которые не взаимодействуют с публичными системами электронных коммуникаций, не подключены к сети интернет или другим сетям передачи данных» (п.3 ч.1 ст.2).
Если перевести этот текст на человеческий язык, то получается, что цензуры не будет. По крайней мере, на основании этого закона и под предлогом “засад” кибербезопасности.
Забавно что социальные сети вывели в отдельный пункт. Не иначе, хотели задобрить «социально» активных политиков и блогеров.
Закон дает четкий посыл хостинг-провайдерам, собственникам контент-платформ, рекламному бизнесу о том, что этим законом какие-то особые требования к контенту, способах его размещения, условиям договоров между заказчиком и провайдером услуг не вводятся.
Что же касается упомянутого выше п.3 ч.1. ст.2, то эта норма будоражит во мне вот такию эмоцию: возможно, так законодатель хотел сказать, что корпоративные сети и другие «интранеты» не будут регулироваться этим законом, что в принципе логично. Вот только мой гуманитарный ум подсказывает, что корпоративные сети всё же могут быть интегрированы с внешними сетями вроде интернет. Если один и тот же набор техники работает и в локальной сети и в интернет — действует закон или нет?
В итоге, закон не о блокировках, и не о цензуре. Хотя погодите. Про цензуру еще можно спорить, ведь сабж вносит изменения в Закон «Об информации».
Отныне у нас будет еще один вид информации — технологическая, которая может быть с ограниченным доступом. Комитет ВРУ по вопросам свободы слова заметил, что определение довольно широкое, а значит под него можно будет «подтянуть» публичную информацию и таким образом её «закрыть». Пожалуй, это действительно возможно, хотя я бы не исключал и более адекватных вариантов использования этого инструмента.
Ура, снова сертификация
Украинская правовая доктрина любит пихать в законы сферы кибербезопасности и телекома всякий государственный контроль/учет/фиксацию. Причем, затраты на такое внедрение предлагается возложить на плечи бизнеса.
Спешу обрадовать бизнес — подобных требований в этом законе нет. Хотя в остальном есть, о чем задуматься.
Законом вводится понятие объектов критической инфраструктуры, которое охватывает предприятия и организации вне зависимости от формы собственности. Для таких объектов как раз и предусмотрен особый режим кибербезопасности, правда, не ясно, какой именно, потому как требования должен будет когда-то там разработать Кабинет Министров.
Так что, предприятия химической промышленности, энергетического комплекса, транспорта, сельского хозяйства, охраны здоровья, банки, а возможно даже юридические фирмы, должны быть готовы к тому, что однажды они получат почетное звание критически важного для государства предприятия или учреждения. Критерии для такого «награждения» разработают Кабинет Министров и Нацбанк (для банков).
Само собой, вместе с признанием появятся новые обязанности — объекты критической инфраструктуры должны будут проходить независимый аудит информационной безопасности (ежегодно), в то время как собственники и руководители предприятий будут обязаны информировать CERT-UA (это подразделение внутри Госспецсвязи) об инцидентах кибербезопасности. В общем, теперь собственники крупнейших украинских ФПГ наверняка заерзали в своих креслах — круг их обязательств перед государством может расшириться за счет мер кибербезопасности. Угадайте, за чей счет будет этот весь банкет?
Требования к аудиторам сформирует не какой-нибудь рынок со своей конкуренцией, а Госспецсвязь. Проверит и сертифицирует аудиторов тоже суровая, но справедливая Госспецсвязь. Она же обеспечит проведения этого самого аудита.
За этим действительно стоит понаблюдать более пристально чисто из эстетических соображений. Ведь разрешительная (аттестационная) процедура в Украине — это всегда кристально чистый процесс, не подверженный коррупции by design.
Получается, что этим законом в карман бизнесу сходу не лезут. Посмотрим, что там напринимает Кабмин и НБУ со списком объектов ключевой инфраструктуры и процедуры аудита.
Расширенные полномочия органов власти
И речь не только об упомянутых выше полномочиях Кабмина, НБУ, Госспецсвязи, но и о самой Верховной Рады. Как ни странно, но контроль за соблюдением законодательства в сфере кибербезопасности будет осуществлять Верховная Рада (в лице всех 900 внимательных и подозрительных депутатских глаз, ну или комитета по телекоммуникациям, в крайнем случае).
Кстати, статья, в которой это предусмотрено, называется «контроль за законностью» — так что специалисты в сфере конституционного права на этом моменте призадумались. Во-первых, кого останавливало легкое расхождение между теорией Монтескье и украинской практикой? Во-вторых, наверное, лучше так, нежели то, что предлагали более ранние редакции этого закона — наделяли полномочиями надзора в сфере кибербезопасности прокуратуру.
Новых видов правонарушений не будет
Закон, конечно, вводит массу новой и несколько спорной терминологии (то же киберпространство не имеет какой-то территориальной привязки, так что регулируем все и всюду), но в части правонарушений пока ничего нового не предвидится, закон вежливо кивает в сторону уголовного кодекса.
Жирная точка
Закон действительно подчистили перед окончательным голосованием: у парламентариев было на это 2 года, или 100 спринтов, или 300+ рабочих дней. Хотя основной баг они за это время так и не нашли— Главное экспертное управление ВРУ не зря его критиковало как содержащий слишком большое количество декларативных норм (и капитан-очевидных тоже).
Ну и да, если текст вам ОК, то подписывайтесь на наш канал на Medium| YouTube | Facebook
Особенно удручает, когда сравниваешь этот закон с нормативными актами, например, США, где законы, касающиеся кибербезопасности, более прикладные по своей сути. Оценивать же качество закона в целом — не совсем правильно, т.к. самое интересное будет спрятано в других документах. Хорошо, если без грифа “секретно”.
Для меня он больше «договор о намерениях» в вопросах кибербезопасности — то что нужно для по факту воюющей страны, не так ли?
Вот тут еще несколько способов, как законодатель может выглядеть умным, если нечего сказать:
