Что может сделать государство для киберзащиты
Обеспечить надежную киберзащиту государственных информационных ресурсов и объектов критической инфраструктуры – вопрос национальной безопасности Украины. Сделать это поможет принятие законопроекта о защите информационной инфраструктуры № 8087.
К сожалению, Украина не имеет действенного законодательства по кибербезопасности. Действующий рамочный закон об основных принципах обеспечения кибербезопасности в свое время принят для формального существования. Именно поэтому наибольшая часть всех предложений законопроекта № 8087 касается внесения изменений в этот Закон, чтобы он отвечал современным вызовам по киберзащите.
Новый закон запустит фундаментальные реформы в украинском киберпространстве и позволит построить надежную защиту в сети. Законопроект уже утвержден как основа, и он прошел всю процедуру подготовки к рассмотрению во втором чтении.
Что изменит принятие законопроекта?
Законопроект № 8087 предусматривает создание национальных, секторальных и региональных команд реагирования на инциденты в области кибербезопасности и обмена информацией о них. Так, в случае атаки на одно госведомство специалисты других учреждений смогут взаимодействовать, изучать кибератаки и выстраивать совместный механизм защиты.
Законопроект также предусматривает создание подразделений киберзащиты в учреждениях, являющихся владельцами или распорядителями информационных систем, обрабатывающих государственные информационные ресурсы или данные с ограниченным доступом. Вводится репозитарий информации об инцидентах кибербезопасности.
Руководителями этих подразделений назначают специалистов по киберзащите. Учреждение будет самостоятельно искать специалиста в соответствии с критериями, которые разработает Кабмин. На последнем этапе согласно действующему закону кандидатуру будет согласовывать Госспецсвязи, чтобы предотвратить ситуацию, когда назначают "своего" человека без квалификации и профессионального образования.
Этот законопроект открывает огромный потенциал для программ государственно-частного партнерства и бизнеса, который имеет специализацию именно в части киберзащиты. Такие команды могут предоставлять услуги по управлению инцидентами кибербезопасности, кибератаками, киберугрозами операторам критической инфраструктуры, органам государственной власти и органам местного самоуправления, а также взаимодействовать с другими субъектами национальной системы реагирования на инциденты кибербезопасности, кибератаки, киберугрозы, в частности, относительно обмена информацией об инцидентах кибербезопасности, кибератаки.
Кроме того, принятие законопроекта позволит установить требования к программным продуктам в информационных системах, где обрабатывают государственные информационные ресурсы или данные с ограниченным доступом. А также к условиям снабжения товарами и услугами, обеспечивающими их функционирование.
Государственные учреждения при выборе программного обеспечения или сетевого оборудования должны пользоваться правилами в соответствии с реестром и порядком, утвержденным Кабинетом министров Украины. Речь идет о реестре запрещенного ПО и оборудования.
Это критически важно, ведь многие предприниматели, работающие с госсектром, до сих пор используют российский продукт.
Также мы видим, что открывается законное направление для компаний, которые могут профессионально проверять уязвимости ИКС. В частности, механизм Bug Bounty для выявления потенциальных уязвимостей в информационных, электронных коммуникационных и информационно-коммуникационных системах, обрабатывающих государственные информационные ресурсы или информацию с ограниченным доступом, требование по защите которой установлено законом. Также на объектах критической информационной инфраструктуры должен быть порядок разработки и проведения программ поиска и выявления уязвимостей за вознаграждение.
Что беспокоит критиков законопроекта?
По мнению части общественности, законопроект предоставляет беспрецедентно широкие полномочия Госспецсвязи. А это, в частности, создает коррупционные риски. НАПК действительно имело замечания относительно первой редакции ЗП. Однако они были учтены во время доработки.
Относительно широких полномочий, то Госспецсвязи имеет право государственного контроля в сфере кибербезопасности уже сейчас, в рамках действующего законодательства. Законопроект № 8087 не концентрирует полномочия в одном органе. Вводит уточнения уже имеющихся полномочий, в частности ролей других основных субъектов кибербезопасности.
К тому же предусматривает принцип децентрализации по многим вопросам по внедрению киберзащиты. Особенно это касается систем и сетей МО и ВСУ, которые говорят, что им нужно работать по стандартам НАТО. Кто мешает? Соблюдайте стандарты НАТО, внедряйте внутри вашей системы. Главное — не забыть об ответственном, который будет отвечать при утечке информации. Я понимаю, что те новации, которые есть в ЗП 8087, не выгодны некоторым государственным учреждениям, потому что придется проводить системные изменения.
Кроме того, критики отмечают, что после принятия законопроекта Госспецсвязи сможет вмешиваться в дела бизнеса, ведь получит право проверять любые предприятия и выдвигать им обязательные для выполнения требования, а также будет иметь доступ к их помещениям, документации и информации.
Однако это не соответствует действительности, ведь законопроект распространяется исключительно на госучреждения и объекты критической инфраструктуры. То есть изменения не будут касаться бизнеса вплоть до момента, пока он не заработает с госсектором. Но, я считаю, это тоже верно. Как обеспечить безопасность на всей цепочке поставки, если одна из цепочек не может выполнить достаточно обычных простых норм по безопасности?
В заключение некоторые критики утверждают, что законопроект не соответствует стандартам ЕС. На самом же деле проект закона частично учитывает четыре документа Евросоюза, которые регулируют сферу киберзащиты. Это NIS2 Directive, Cybersecurity Act, Digital Operational Resilience Act и Cyber Resilience Act. Кроме того, в современных реалиях полномасштабной войны мы не можем полностью интегрировать практику ЕС.
Украина — единственное государство в мире, одновременно воюющее и на поле боя, и в киберпространстве. И поэтому приобретает уникальный опыт в сфере киберзащиты. Европейские коллеги также признают, что их директивы уже не отвечают современным вызовам, они учатся у наших кибервойск и меняют регулирование в соответствии с нашим опытом.