Що може зробити держава для кіберзахисту
Забезпечити надійний кіберзахист державних інформаційних ресурсів та об’єктів критичної інфраструктури — питання національної безпеки України. Зробити це допоможе ухвалення законопроєкту про захист інформаційної інфраструктури № 8087.
На жаль, Україна не має дієвого законодавства в питанні кібербезпеки. Чинний рамковий закон про основні засади забезпечення кібербезпеки свого часу ухвалено для формального існування. Саме тому найбільша частина всіх пропозицій законопроєкту № 8087 стосується внесення змін до цього Закону, щоб він відповідав сучасним викликам з кіберзахисту.
Новий закон запустить фундаментальні реформи в українському кіберпросторі й дасть змогу побудувати надійний захист у мережі. Законопроєкт уже затверджено як основу, і він пройшов усю процедуру підготовки до розгляду в другому читанні.
Що змінить ухвалення законопроєкту?
Законопроєкт № 8087 передбачає створення національних, секторальних та регіональних команд реагування на інциденти у сфері кібербезпеки й обміну інформацією про них. Так, у разі атаки на одне держвідомство фахівці інших установ зможуть взаємодіяти, вивчати кібератаки та вибудовувати спільні механізми захисту.
Законопроєкт також передбачає створення підрозділів кіберзахисту в установах, які є власниками або розпорядниками інформаційних систем, де обробляють державні інформаційні ресурси або дані з обмеженим доступом. Запроваджується репозитарій інформації про інциденти кібербезпеки.
Керівниками цих підрозділів призначають фахівців з кіберзахисту. Установа самостійно шукатиме спеціаліста відповідно до критеріїв, які розробить Кабмін. На останньому етапі згідно з чинним законом кандидатуру погоджуватиме Держспецзв’язку, щоб запобігти ситуації, коли призначають "свою" людину без кваліфікації та фахової освіти.
Цей законопроєкт відкриває величезний потенціал для програм державно-приватного партнерства та для бізнесу, який має спеціалізацію саме в частині кіберзахисту. Такі команди можуть надавати послуги з управління інцидентами кібербезпеки, кібератаками, кіберзагрозами операторам критичної інфраструктури, органам державної влади та органам місцевого самоврядування, а також взаємодіяти з іншими суб’єктами національної системи реагування на інциденти кібербезпеки, кібератаки, кіберзагрози, зокрема, щодо обміну інформацією про інциденти кібербезпеки, кібератаки.
Крім того, ухвалення законопроєкту дасть змогу встановити вимоги до програмних продуктів у інформаційних системах, де обробляють державні інформаційні ресурси або дані з обмеженим доступом. А також до умов постачання товарів, робіт та послуг, що забезпечують їхнє функціонування.
Державні установи під час вибору програмного забезпечення або мережевого обладнання повинні користуватися правилами відповідно до реєстру та порядку, затвердженого Кабінетом міністрів України. Ідеться про реєстр забороненого ПЗ та обладнання.
Це критично важливо, адже багато підприємців, які працюють з держсектором, досі використовують російський продукт.
Також бачимо, що відкривається законний напрям для компаній, які можуть фахово перевіряти вразливості ІКС. Зокрема, механізм Bug Bounty для виявлення потенційних вразливостей в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, у яких обробляють державні інформаційні ресурси або інформацію з обмеженим доступом, вимогу щодо захисту якої встановлено законом. Також на об’єктах критичної інформаційної інфраструктури має бути порядок розроблення й проведення програм пошуку та виявлення вразливостей за винагороду.
Що непокоїть критиків законопроєкту?
На думку частини громадськості, законопроєкт надає безпрецедентно широкі повноваження Держспецзв’язку. А це, зокрема, створює корупційні ризики. НАЗК дійсно мало зауваження щодо першої редакції ЗП. Однак їх було враховано під час доопрацювання.
Щодо широких повноважень, то Держспецзв’язку має право державного контролю у сфері кібербезпеки вже зараз, у межах чинного законодавства. Законопроєкт № 8087 не концентрує повноваження в одному органі. Натомість запроваджує уточнення вже наявних повноважень, зокрема ролей інших основних субʼєктів кібербезпеки.
До того ж передбачає принцип децентралізації в багатьох питаннях з упровадження кіберзахисту. Особливо це стосується систем та мереж МО та ЗСУ, які кажуть, що їм потрібно працювати за стандартами НАТО. Хто заважає? Беріть стандарт НАТО, впроваджуйте всередині вашої системи. Головне — не забути про відповідального, який відповідатиме в разі витоку інформації. Я розумію, що ті новації, які є у ЗП 8087, не вигідні деяким державним установам, бо доведеться проводити системні зміни.
Крім того, критики зазначають, що після ухвалення законопроєкту Держспецзв’язку зможе втручатися в справи бізнесу, адже отримає право перевіряти будь-які підприємства та висувати їм обов’язкові для виконання вимоги, а також матиме доступ до їхніх приміщень, документації та інформації.
Проте це не відповідає дійсності, адже законопроєкт розповсюджується виключно на держустанови та об’єкти критичної інфраструктури. Тобто зміни не стосуватимуться бізнесу аж до моменту, поки він не почне працювати з держсектором. Але, я вважаю, це теж правильно. Як забезпечити безпеку на всьому ланцюжку постачання, якщо один з ланцюжків не може виконати досить звичайних простих норм з безпеки?
Насамкінець, деякі критики стверджують, що законопроєкт не відповідає стандартам ЄС. Насправді ж проєкт закону частково враховує чотири документи Євросоюзу, які регулюють сферу кіберзахисту. Це NIS2 Directive, Cybersecurity Act, Digital Operational Resilience Act та Cyber Resilience Act. Крім того, у сучасних реаліях повномасштабної війни ми не можемо стовідсотково інтегрувати практику ЄС.
Україна — єдина держава у світі, яка одночасно воює і на полі бою, і в кіберпросторі. І тому набуває унікального досвіду у сфері кіберзахисту. Європейські колеги також визнають, що їхні директиви вже не відповідають сучасним викликам, вони вчаться в наших кібервійськ та змінюють регулювання відповідно до нашого досвіду.