Скажи "нет" кибератакам: Что даст Украине новый закон о кибербезопасности

Верховная Рада на заседании в четверг, 5 октября, приняла в целом закон об основных принципах кибербезопасности Украины.

Процесс от законопроекта до принятия закона занял более двух лет. Впервые проект закона о кибербезопасности был зарегистрирован группой депутатов из разных фракций в июне 2015 года. В начале 2016 года в связи с утверждением президентом "Стратегии кибербезопасности Украины" документ потерял актуальность и был отозван. Позднее был зарегистрирован уже новый существенно доработанный проект. Первое чтение документ прошел еще в сентябре прошлого года и только сейчас наконец был окончательно принят парламентом. За принятие законопроекта проголосовало 257 народных депутатов.

Появление этого закона именно сейчас актуально как никогда. Так как одним из мировых трендов является тенденция к значительному росту количества кибератак, которые становятся все более изощренными и малопрогнозируемыми. Особенной целью киберпреступников являются критически важные объекты инфраструктуры страны. Украина не стала здесь исключением. В июне этого года произошла крупнейшая кибератака в истории страны, заблокировавшая работу тысяч украинских компаний и государственных органов.

"Насколько важен вопрос кибербезопасности, я думаю, сейчас понимает каждый из нас. Мы ведем войну с врагом, с агрессором — Россией. Это гибридная война, одной из частей которой являются кибератаки", — отметил глава профильного комитета ВР Александр Данченко, представляя законопроект ко второму чтению.

Финальный текст закона пока не опубликован, однако по данным народного депутата Ольги Черваковой, парламент не поддержал поправку "о технологической информации", против которой выступали медийные общественные организации. "Эта поправка, которая устанавливает тотальную диктатуру и фактически отрицает доступ граждан к любой информации, которая составляет общественный интерес, информации о жизни, здоровье людей, об опасности, экологических вопросах", — заявила депутат в ходе рассмотрения законопроекта в зале Рады.

Основные принципы закона

Новый закон в первую очередь направлен на формирование общей госполитики кибербезопасности, а также распределение ролей между различными ведомствами. В частности, он дает полномочия спецслужбам для осуществления киберзащиты страны. Координировать действия в сфере кибербезопасности по закону будет президент через Совет национальной безопасности и обороны (СНБО).

Также предусмотрено создание Национальной системы кибербезопасности, которая объединит ряд министерств и ведомств. В нее войдут Госслужба специальной связи и защиты информации, Национальная полиция, Служба безопасности Украины, Министерство обороны и Генеральный штаб, Национальный банк, а также разведывательные органы.

Закон четко определяет, какое ведомство и за что будет отвечать в сфере киберзащиты. Координация и осуществление госполитики становятся ответственностью Госспецсвязи. Нацполиция должна будет обеспечивать защиту граждан, общества и государства в киберпространстве, а также предпринимать меры для предотвращения киберпреступлений.

Среди заданий СБУ — расследование киберинцидентов и кибератак, осуществленных против государственных инфосистем. А вот Минобороны и Генштаб должны будут готовить государство "к отражению военной агрессии в киберпространстве". Нацбанк ответственен за кибербезопасность в банковской сфере, в частности, путем создания центра киберзащиты НБУ.

Кроме того, в Украине будет создана Национальная телекоммуникационная сеть, в которую войдут информационные системы бюджетной сферы (органы государственной власти и госпредприятия). Порядок ее формирование возложен на правительство. За защищенный доступ госорганов, антивирусную защиту и аудит информационной безопасности будет отвечать Государственный центр киберзащиты.

Объекты критической инфраструктуры

Закон предполагает появление перечня объектов критической информационной инфраструктуры. Ответственность за разработку правил его формирования и работы, а также критериев включения объектов в этот реестр лежит на Кабмине. Такой же реестр, только в банковской сфере, должен будет создать и НБУ.

К объектам критической инфраструктуры могут быть отнесены предприятия, работающие в сфере энергетики (например, АЭС), химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, а также предприятия банковского и финансового сектора.

Кроме того, в реестр могут войти предприятия в сферах централизованного водоснабжения, снабжения электрической энергии и газа, производства продуктов питания и здравоохранения. Также в реестр таких предприятий попадают те, которые имеют потенциально опасное производство, а также имеющие стратегическое значение для экономики и безопасности государства.

Если предприятие попадает в подобный перечень, согласно закону, его собственники или руководители автоматически становятся ответственными за обеспечение киберзащиты коммуникационных систем и защиту технологической информации. Кроме того, руководители предприятий должны будут безотлагательно информировать правительственную команду реагирования на компьютерные чрезвычайные события CERT-UA об инцидентах кибербезопасности.

CERT-UA будет анализировать данные об инцидентах, помогать предотвращать кибератаки и устранять их последствия в случае необходимости. Кроме того, на критически важных предприятиях будет ежегодно осуществляться независимый аудит относительно эффективности систем киберзащиты.

В правовое поле также вводится государственно-частное взаимодействие как один из принципов обеспечения кибербезопасности. Взаимодействие предусматривает обмен информацией об инцидентах кибербезопасности, реализацию совместных научно-исследовательских проектов, обучение кадров в этой сфере и другое.

Закон также предполагает усиление международного сотрудничества в сфере защиты киберпространства в первую очередь с Европейским Союзом и НАТО. В то же время закон ограничивает участие в киберзащите любых компаний и учреждений из России, а также подсанкционных лиц или других стран.

Финансировать кибербезопасность по закону можно как за бюджетные средства, так и частные или кредитные. Допустимо также использование международной технической помощи или других источников, которые не запрещены законодательством.

Закон вступит в силу через 6 месяцев со дня опубликования.

Что меняет принятие этого закона?

Одним из существенных моментов в принятом законе является фактическое приравнивание преступлений в киберпространстве к обычным. Так, закон вводит в правовую плоскость само понятие "киберпреступление", которое обозначается как общественно опасное действие, за которое предусмотрена уголовная ответственность.

По мнению визионера проекта CIOneer Андрея Погорелого, несмотря на то, что закон не идеален, он "позволит сделать качественный шаг в вопросах кибербезопасности страны, в том числе при защите критической инфраструктуры". При этом правильным, по его мнению, является проведение ежегодного аудита не только в соответствии с международными стандартами, но и чтобы он осуществлялся международными аудиторами.

"И самое главное, чтобы этот мощный инструмент использовался по его прямому назначению, а не для давления на "неугодных" и ограничение свобод граждан Украины", — добавил Погорелый.

Комментарий юриста

Управляющий партнер Адвокатского объединения "Бауман Кондратюк" адвокат Юрий Бауман

Летом этого года государственные учреждение и украинские компании подверглись массовой кибератаке, вирусу Petya. А. Это была одна из наиболее масштабных кибератак в истории Украины. Атака показала, что государство было абсолютно не готово к киберугрозам. Закон Украины "Об основных принципах обеспечения кибербезопасности Украины" (Регистрационный № 2126), является позитивным нормативно-правовым актом, поскольку он определяет правовые и организационные основы обеспечения защиты жизненно важных интересов украинского государства в сфере кибербезопасности и определяет принципы координации их деятельности государственных органов по обеспечению кибербезопасности.
Закон имеет определенное влияние на юридических лиц частного права. Может возникнуть вопрос, каким образом ? Дело в том, что ст. 6 Закона определен перечень объектов критической инфраструктуры: предприятия в области энергетики, химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, в том числе с применением авторизованных электронных площадок и/или веб-порталов органов государственной власти, в банковском и финансовом секторе и другие. С целю соблюдение стандартов безопасности бизнесу придется выделять средства на приобретение специальных программных продуктов, системы безопасности будут проходить стресс-тесты, а в случаи не соблюдение требований предусмотрена финансовая ответственность (штрафы.)
Закон является новаторским документом, поскольку он ввел, в законодательство Украины много важных определений: киберугроза, кибершпионаж, киберпреступность, кибератака. Кроме того, государство получило понимание того, кто за что отвечает в сфере кибербезопасности. Фактически распределены роли и сектора ответственности между специальными субъектами: за НБУ закрепляются вопросы кибрбезопасности банков, правительство отвечает за разработку государственной политики в сфере госбезопасности и так далее.
Закон определяет необходимость внедрения единой (универсальной) системы индикаторов киберугроз с учетом международных стандартов по вопросам кибербезопасности и киберзащиты. Какие это могут быть стандарты? Это NIST Cybersecurity Framework — фреймворк по кибербезопасности, разработанный американским институтом стандартов, а также серия международных стандартов ISO-27XXX — с информационно- и кибербезопасности. Позитивно ли видение таких стандартов безопасности для имиджа Украины? Ответ однозначен, да позитивно