І. Рудь, мол. наук. співроб. СІАЗ НБУВ

Закон про кібербезпеку: основні положення, оцінки експертів та розвиток вітчизняного інформаційного простору

 

5 жовтня Верховна Рада України ухвалила Закон «Про основні засади забезпечення кібербезпеки України».

Наразі відповідно до нового Закону політику у сфері кібербезпеки формує і реалізує Кабмін. Це була не перша спроба законотворців впорядкувати питання кібербезпеки – попереднє обговорення 25 травня не увінчалось результативним голосуванням.

Відтепер за кібербезпеку, у рамках своїх повноважень, відповідальні міністерства, місцеві держадміністрації, органи місцевого самоврядування, правоохоронні органи, розвідка і контррозвідка, суб’єкти оперативно-розшукової діяльності.

Крім того, забезпечення кібербезпеки країни покладено також на ВСУ, Нацбанк, підприємства, які належать до об’єктів критичної інфраструктури, підприємства і громадян, які працюють у сфері національних інформаційних ресурсів, інформаційних електронних послуг.

Суб’єкти забезпечення кібербезпеки повинні робити все, що в їх компетенції, щоб не допустити використання кіберпростору у військових, розвідувально-підривних, терористичних, інших незаконних цілях (URL: https://www.epravda.com.ua/news/2017/10/5/629817/). 2017. 5.10).

Об’єктами кібербезпеки в документі названі конституційні права, суспільство, розвиток інформсуспільства, держава, національні інтереси та об’єкти критичної інфраструктури.

Водночас об’єктами кіберзахисту вказані комунікаційні системи і об’єкти критичної інфраструктури. При цьому порядок формування переліку об’єктів критичної інфраструктури має бути затверджений Кабінетом Міністрів.

Законом передбачено, що до об’єктів критичної інфраструктури можуть бути віднесені підприємства й установи, які: ведуть діяльність і надають послуги в галузях хімічної промисловості, енергетики, транспорту, ІКТ, банківському та фінансовому секторі, електронних комунікацій; надають послуги у сфері життєзабезпечення населення; є комунальними, аварійними і рятувальними службами; включені до переліку підприємств, що мають стратегічне значення для економіки.

Закон також вводить поняття Національної системи кібербезпеки, яка є сукупністю суб’єктів забезпечення кібербезпеки і взаємопов’язаних заходів різного характеру.

Дія закону не поширюється на відносини та послуги, пов’язані зі змістом інформації, що обробляється в комунікаційних або в технологічних системах. На соціальні мережі, приватні електронні інформаційні ресурси в мережі Інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси), якщо такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом, відносини та послуги, пов’язані з функціонуванням таких мереж і ресурсів. На комунікаційні системи, які не взаємодіють з публічними мережами електронних комунікацій, не підключені до мережі Інтернет чи інших глобальних мереж передачі даних (крім технологічних систем).

Особи, винні в порушенні законодавства у сфері нацбезпеки, електронних комунікацій і захисту інформації, якщо кіберпростір є місцем або способом злочину, несуть відповідальність відповідно до цивільного, адміністративного і кримінального законодавства.

Зазначений закон вступить у силу через шість місяців з дня його опублікування. При цьому Кабмін має в тримісячний термін з дати опублікування Закону забезпечити прийняття нормативно-правових актів, необхідних для його реалізації (URL: http://24tv.ua/zakon_pro_kiberbezpeku_kogo_i_yak_zahishhatimut_n872977. 2017. 6.10)

Експертні оцінки нового Закону «Про основні засади забезпечення кібербезпеки України» було оприлюднено зразу ж після прийняття  нового законодавчого акта.

Так, фахівець з інтернет-безпеки Д.Снопченковважає щоЗакон досить узагальнений і до якихось безпосередніх дій не приведе. А ось закони і постанови, які будуть на його основі зроблені і реалізовані, мають бути більш конкретні. Експерт зауважив, що відтепер до кіберзахисту залучили Міністерство оборони, крім ДСТСЗІ і СБУ, які займалися цим раніше.

Внесли поняття про відповідальність не тільки за кіберзлочини, а й за неякісний захист власників інформації цієї самої інформації, яку вони зобов’язані будуть захищати. В основному це буде стосуватися держорганів, і сподіваюся, що вони будуть з більшою увагою ставитися до кіберзахисту і не тримати свої поштові скриньки на російських серверах – як мінімум. Приватного сектору це теж буде стосуватися, якщо та чи інша компанія оперує персональними даними користувача або державною інформацією.

Закон передбачає участь України в міжнародних і європейських системах забезпечення кібербезпеки, що дасть можливість поліпшити комунікації з багатьма фахівцями і підняти рівень знань наших фахівців.

Згадано в Законі про освіту не тільки у вишах для фахівців, а й для суспільства, для підняття загальної освіченості населення в питаннях кіберзахисту, тому прості користувачі теж стануть більш захищеними.

Так само вивели в окремий термін «контент-провайдер», тепер відповідальність будуть нести не тільки компанії, які просто надають інтернет-канали, інтернет-провайдери, а й компанії, які генерують і поширюють інформацію по цих каналах.

Кібербезпека – досить дорогий захід, і попри те, що Закон передбачає оплату з держбюджету, у якому обсязі і як регулярно це буде – невідомо.

Загалом, Закон можна вважати першим заставним каменем у загальній політиці України в напрямі кібербезпеки. Подальший її розвиток залежить тільки від кропіткої роботи фахівців, які впроваджують системи на місцях. У найближчі півроку-рік будуть розроблятися документи, що описують, як це реалізувати конкретно, виділятимуться бюджети тощо, але початок покладено.

Експерт Лабораторії цифрової безпеки В. Гудимавважає, що Закон «Про основні засади забезпечення кібербезпеки України» є головним чином рамковим документом, він юридично визначає ключові поняття у сфері кібербезпеки і робить спробу, відверто кажучи, невдалу, розподілити сфери відповідальності державних органів у сфері захисту інформації. Частина законопроекту просто переказує ключові положення Стратегії кібербезпеки і не містить чогось нового. Тому якихось швидких чи суттєвих змін від цього закону очікувати не варто.

Якщо вірити стенограмі засідання Ради, небезпечну для доступу до публічної інформації поправку Лук’янчука щодо віднесення «технологічної інформації» до інформації з обмеженим доступом було провалено, що є безумовним позитивом. Утім, слід дочекатися публікації остаточного тексту законопроекту, адже від моменту ухвалення тексту закону до його публікації можуть ставатись різні неприємні «несподіванки».

Однак залишилася нерозв’язаною проблема систематичних обшуків та необґрунтованих вилучень обладнання в IT-компаніях.

Важливо стежити за іншими законопроектами у сфері захисту інформації та кібербезпеки, що вже подані, або готуються до подання в Раду – там містяться суттєві ризики обмеження свободи Інтернету, наприклад, блокування веб-сайтів без санкції суду, чи вимога до інтернет-провайдерів зберігати трафік користувачів, використовуючи «ліцензоване» обладнання, що, окрім проблем із приватністю, є ще й величезним корупційним ризиком

(URL: http://24tv.ua/do_pitan_natsionalnogo_kiberzahistu_neobhidno_zaluchati_

biznes__ekspert_n876292. 2017. 13.10)

Одним з істотних моментів у прийнятому Законі є фактичне прирівнювання злочинів у кіберпросторі до звичайних. Так, Закон вводить у правову площину саме поняття «кіберзлочини», яке позначається як суспільно небезпечне діяння, за яке передбачена кримінальна відповідальність.

На думку візіонера проекту CIOneer А. Погорілого, незважаючи на те що Закон неідеальний, він «дозволить зробити якісний крок в питаннях кібербезпеки країни, в тому числі при захисті критичної інфраструктури». При цьому правильним, на його думку, є проведення щорічного аудиту не тільки відповідно до міжнародних стандартів, але і щоб він здійснювався міжнародними аудиторами. «І найголовніше, щоб цей потужний інструмент використовувався за прямим призначенням, а не для тиску на “неугодних” і обмеження свобод громадян України», – додав А. Погорілий.

 Керуючий партнер Адвокатського об’єднання «Бауман Кондратюк» адвокат Ю. Бауман прокоментував прийнятий Закон з юридичного боку. Зокрема він заявив: «Влітку цього року державні установи та українські компанії зазнали масової кібератаки, вірусу Petya. А. Це була одна з найбільш масштабних кібератак в історії України. Атака показала, що держава була абсолютно не готове до кіберзагрозам. Закон України “Про основні засади забезпечення кібербезпеки України” (Реєстраційний № 2126), є позитивним нормативно-правовим актом, оскільки він визначає правові та організаційні засади забезпечення захисту життєво важливих інтересів української держави в сфері кібербезпеки й визначає принципи координації їх діяльності державних органів щодо забезпечення кібербезпеки».

Як вважає експерт, Закон про кібербезпеку має певний вплив на юридичних осіб приватного права. Може виникнути питання, яким чином? Справа в тому, що ст. 6 Закону визначено перелік об’єктів критичної інфраструктури: підприємства в галузі енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, у тому числі із застосуванням авторизованих електронних майданчиків та / або веб-порталів органів державної влади, у банківському і фінансовому секторі та ін. З метою дотримання стандартів безпеки бізнесу доведеться виділяти кошти на придбання спеціальних програмних продуктів, системи безпеки будуть проходити стрес-тести, а у випадку недотримання вимог передбачена фінансова відповідальність (штрафи.)

Закон є новаторським документом, оскільки він ввів у законодавство України багато важливих визначень: кіберзагроза, кібершпіонаж, кіберзлочинність, кібератака. Крім того, держава отримала розуміння того, хто за що відповідає у сфері кібербезпеки. Фактично розподілено ролі й сектора відповідальності між спеціальними суб’єктами: за НБУ закріплюються питання кібрбезопасності банків, уряд відповідає за розробку державної політики у сфері державної безпеки і т. ін.

Закон визначає необхідність впровадження єдиної (універсальної) системи індикаторів кіберзагроз з урахуванням міжнародних стандартів з питань кібербезпеки і кіберзахисту. Які це можуть бути стандарти? Це NIST Cybersecurity Framework – фреймворк з кібербезпеки, розроблений американським інститутом стандартів, а також серія міжнародних стандартів ISO-27XXX – з інформаційної кібербезпеки. Позитивно чи бачення таких стандартів безпеки для іміджу України? Відповідь однозначна, так, позитивно (URL: https://news.dtkt.ua/state/laws-and-regulations/45514. 2017. 8.10)

На сьогодні актуальним постає питання вдосконалення українського інформаційного законодавства у сфері створення, поширення та використання інформації відповідно до сучасних потреб і викликів.  

На думку значної кількості вітчизняних правознавців, таке вдосконалення має відбуватися шляхом кодифікації – розробки та прийняття Інформаційного кодексу України (Кодексу України про інформацію). Слід зауважити, що про необхідність розробки такого кодексу йшлося ще в Указі Президента України Л. Кучми «Про рішення Ради національної безпеки і оборони України від 31 жовтня 2001 р. «Про заходи щодо вдосконалення державної інформаційної політики та забезпечення інформаційної безпеки України». Крім того, необхідність прийняття Інформаційного кодексу України законодавчо закріплено в «Основних засадах розвитку інформаційного суспільства в Україні на 2007–2015 роки».  

Таким чином впродовж більше ніж десяти останніх років ведуться численні дискусії про необхідність розробки та прийняття Інформаційного кодексу України та про те, яким він має бути. Найбільшого поширення при цьому набули три підходи.  

Перший підхід був запропонований і розроблявся Державним комітетом телебачення і радіомовлення України. Він засновувався на тому, що в основу Інформаційного кодексу мали бути покладені «Концепція національної інформаційної політики», а також змінений відповідно до сучасних вимог суспільного розвитку Закон України «Про інформацію». Проте з огляду на те, що впродовж останніх 10 років зазнали фіаско всі спроби прийняти й «Концепцію державної інформаційної політики», такий підхід вбачається недоцільним.  

Другий підхід було розроблено групою фахівців Інституту держави і права ім. В. Корецького. На їхню думку Інформаційний кодекс має складатися з чотирьох частин: 1) базова (загальна), яка містила б системо-утворюючі норми, що регулюють базові відносини у сфері інформації та інформатизації; 2) галузева частина, яка має регулювати інформаційні відносини в окремих сферах життя особи, держави, суспільства; 3) третя частина має містити видові норми і регулювати інформаційні відносини суб’єктів у сфері створення, пошуку, одержання, використання, зберігання та поширення окремих видів (категорій) інформаційної продукції або в окремих складових інформаційного процесу; 4) частина щодо спеціальних норм, яка регулює відносини стосовно створення і використання інформаційних технологій та телекомунікаційних систем.

Третій підхід було запропоновано Урядовою комісією з питань інформаційно-аналітичного забезпечення діяльності органів виконавчої влади у проекті «Концепції реформування законодавства України у сфері суспільних інформаційних відносин». Цей підхід передбачав здійснювати систематизацію інформаційного законодавства в три етапи: 1) інкорпорація законодавства – визначення ієрархічної системи та структури інформаційного законодавства на рівні правової доктрини; 2) виокремлення в системі законодавства галузі та її закріплення у Зводі законів України як розділу – «Інформаційне законодавство»; 3) кодифікація – розробка і прийняття Верховною Радою України такого нормативного акта, як Кодекс України про інформацію. При цьому систематизація інформаційного законодавства, на думку розробників, мала проводитися методом агрегації – удосконалення окремих правових норм чи створення нових міжгалузевих правових інститутів не повинно було порушувати цілісність та призначення інформаційного законодавства, а покращувати його дієвість у цілому.   Проте, незважаючи на різні підходи, правознавці наполягають на необхідності розробки та прийняття Інформаційного кодексу України та вважають за необхідне об’єднати в ньому механізми регулювання провідних суспільних відносин, об’єктом яких є інформація незалежно від форми, способу, засобу чи технології її поширення. Такий кодекс, на їхню думку, має чітко визначити об’єкт, предмети інформаційного права, суб’єкти інформаційних правовідносин, правовий режим доступу до інформації, а також передбачити механізми забезпечення інформаційного суверенітету України та забезпечення інформаційної безпеки громадян, суспільства та держави як складових національної безпеки України.    (URL: http://www.niss.gov.ua/articles/1189/).

Отже, на сьогодні інформаційна сфера України  є безумовним лідером у кількості законів, які її регулюють. Аналіз попереднього чинного вітчизняного законодавства засвідчує низку прогалин у законодавстві, зокрема в питаннях унормування діяльності з поширення інформації в мережі Інтернет; вдосконалення захисту інтелектуальної власності в умовах поширення інтернет-технологій; вдосконалення правових вимог. В умовах гібридної війни на перший план в інформаційній сфері для Української держави стала виходити кібербезпека. Закон «Про основні засади забезпечення кібербезпеки України» відкриває нові можливості для впорядкування ситуації  в цій сфері. Незважаючи на тривалі дискусії і побоювання певних експертів щодо можливості появи надмірного контролю від держави в кіберсфері, цей Закон дає змогу в перспективі перевести розвиток вітчизняного інформаційного простору на якісно новий рівень.

 

Рудь І. Закон про кібербезпеку: основні положення, оцінки експертів та розвиток вітчизняного інформаційного простору[ Електронний ресурс] / І. Рудь // Україна: події, факти, коментарі. – 2017. – № 19. – С. 42–48. – Режим доступу: http://nbuviap.gov.ua/images/ukraine/2017/ukr19.pdf. – Назва з екрану.