Скажи "ні" кібератакам: Що дасть Україні новий закон про кібербезпеки


Опубликованно 31.10.2017 02:08

Скажи

Верховна Рада на засіданні у четвер, 5 жовтня, прийняла в цілому закон про основні засади кібербезпеки України.

Процес від законопроекту до прийняття закону зайняв більше двох років. Вперше проект закону про кібербезпеки був зареєстрований групою депутатів з різних фракцій у червні 2015 року. На початку 2016 року у зв'язку з затвердженням президентом "Стратегії кібербезпеки України" документ втратив актуальність і був відкликаний. Пізніше був зареєстрований вже новий суттєво доопрацьований проект. Документ пройшов перше читання ще у вересні минулого року і тільки зараз нарешті був остаточно прийнятий парламентом. За ухвалення законопроекту проголосували 257 народних депутатів.

Поява цього закону саме зараз актуально як ніколи. Так як одним зі світових трендів є тенденція до значного зростання кількості кібератак, які стають все більш витонченими і малопрогнозованими. Особливою метою кіберзлочинця є критично важливі об'єкти інфраструктури країни. Україна не стала винятком. У червні цього року сталася найбільша кібератака в історії країни, що заблокувала роботу тисяч українських компаній і державних органів.

"Наскільки важливе питання кібербезпеки, я думаю, зараз розуміє кожен з нас. Ми ведемо війну з ворогом, з агресором — Росією. Це гібридна війна, однією з частин якої є кібератаки", — зазначив голова профільного комітету ВР Олександр Данченко, представляючи законопроект до другого читання.

Фінальний текст закону поки не опублікований, проте за даними народного депутата Ольги Червакової, парламент не підтримав поправку "про технологічної інформації", проти якої виступали медійні громадські організації. "Ця поправка, яка встановлює тотальну диктатуру і фактично заперечує доступ громадян до будь-якої інформації, яка становить суспільний інтерес, інформації про життя, здоров'я людей, про небезпеку, екологічних питаннях", — заявила депутат в ході розгляду законопроекту в залі Ради. Основні принципи закону

Новий закон в першу чергу спрямований на формування загальної державної політики кібербезпеки, а також розподіл ролей між різними відомствами. Зокрема, він дає повноваження спецслужб для здійснення кіберзахисту країни. Координувати дії у сфері кібербезпеки за законом буде президент через Раду національної безпеки і оборони (РНБО).

Також передбачено створення Національної системи кібербезпеки, яка об'єднає низку міністерств і відомств. В неї увійдуть Держслужба спеціального зв'язку та захисту інформації, Національна поліція, Служба безпеки України, Міністерство оборони і Генеральний штаб, Національний банк, а також розвідувальні органи.

Закон чітко визначає, яке відомство і за що буде відповідати в сфері кіберзахисту. Координація та здійснення державної політики стають відповідальністю Держспецзв'язку. Нацполиция повинна буде забезпечувати захист громадян, суспільства і держави в кіберпросторі, а також вживати заходів для запобігання кіберзлочинам.

Серед завдань СБУ — розслідування киберинцидентов і кібератак, здійснених проти державних инфосистем. А ось Міноборони і Генштаб повинні будуть готувати держава "до відбиття військової агресії в кіберпросторі". Нацбанк відповідальний за кібербезпека у банківській сфері, зокрема, шляхом створення центру кіберзахисту НБУ.

Крім того, в Україні буде створена Національна телекомунікаційна мережа, в яку увійдуть інформаційні системи бюджетної сфери (органи державної влади та держпідприємства). Порядок її формування покладено на уряд. За захищений доступ держорганів, антивірусний захист і аудит інформаційної безпеки відповідатиме Державний центр кіберзахисту. Об'єкти критичної інфраструктури

Закон передбачає появу переліку об'єктів критичної інформаційної інфраструктури. Відповідальність за розробку правил його формування і роботи, а також критеріїв включення об'єктів до реєстру лежить на Кабміні. Такий же реєстр, тільки в банківській сфері, повинен буде створити і НБУ.

До об'єктів критичної інфраструктури можуть бути віднесені підприємства, що працюють у сфері енергетики (наприклад, АЕС), хімічній промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, а також підприємства банківського і фінансового сектора.

Крім того, до реєстру можуть увійти підприємства у сферах централізованого водопостачання, постачання електричної енергії та газу, виробництва продуктів харчування і охорони здоров'я. Також в реєстр таких підприємств потрапляють ті, які мають потенційно небезпечне виробництво, а також мають стратегічне значення для економіки і безпеки держави.

Якщо підприємство потрапляє в подібний перелік, згідно із законом, його власники чи керівники автоматично стають відповідальними за забезпечення кіберзахисту комунікаційних систем і захисту технологічної інформації. Крім того, керівники підприємств повинні будуть невідкладно інформувати урядову команду реагування на комп'ютерні надзвичайні події CERT-UA про інциденти кібербезпеки.

CERT-UA буде аналізувати дані про інциденти, допомагати запобігати кібератаки і усувати їх наслідки в разі необхідності. Крім того, на критично важливих підприємствах буде здійснюватися щорічно незалежний аудит відносно ефективності систем кібернетичного захисту.

В правове поле також вводиться державно-приватне взаємодія як один із принципів забезпечення кібербезпеки. Взаємодія передбачає обмін інформацією про інциденти кібербезпеки, реалізацію спільних науково-дослідних проектів, навчання кадрів у цій сфері та інше.

Закон також передбачає посилення міжнародного співробітництва у сфері захисту кіберпростору в першу чергу, з Європейським Союзом і НАТО. Водночас закон обмежує участь у кіберзахисту будь-яких компаній і установ з Росії, а також подсанкционных осіб або інших країн.

Фінансувати кібербезпека за законом можна як за бюджетні кошти, так і приватні чи кредитні. Можливе також використання міжнародної технічної допомоги та інших джерел, які не заборонені законодавством.

Закон вступить в силу через 6 місяців з дня опублікування. Що змінює прийняття цього закону?

Одним з істотних моментів в прийнятому законі є фактичне прирівнювання злочинів у кіберпросторі до звичайних. Так, закон вводить в правову площину саме поняття "кіберзлочин", яке позначається як суспільно небезпечне діяння, за яке передбачена кримінальна відповідальність.

На думку візіонера проекту CIOneer Андрія Погорілого, незважаючи на те, що закон не ідеальний, він "дозволить зробити якісний крок у питаннях кібербезпеки країни, в тому числі при захисту критичної інфраструктури". При цьому правильним, на його думку, є проведення щорічного аудиту не тільки у відповідності з міжнародними стандартами, але і щоб він здійснювався міжнародними аудиторами.

"І найголовніше, щоб цей потужний інструмент використовувався за прямим призначенням, а не для тиску на "неугодних" і обмеження свобод громадян України", — додав Погорілий.

Коментар юриста

Керуючий партнер Адвокатського об'єднання "Бауман Кондратюк" адвокат Юрій Бауман

Влітку цього року державні установи і українські компанії зазнали масовій кібератаці, вірусу Petya. А. Це була одна з найбільш масштабних кібератак в історії України. Атака показала, що держава було абсолютно не готове до кіберзагрозам. Закон України "Про основні засади забезпечення кібербезпеки України" (Реєстраційний № 2126), є позитивним нормативно-правовим актом, оскільки він визначає правові та організаційні засади забезпечення захисту життєво важливих інтересів української держави у сфері кібербезпеки і визначає принципи координації їх діяльності державних органів щодо забезпечення кібербезпеки.Закон має певний вплив на юридичних осіб приватного права. Може виникнути питання, яким чином ? Справа в тому, що ст. 6 Закону визначено перелік об'єктів критичної інфраструктури: підприємства в області енергетики, хімічної промисловості, транспорту, інформаційно-комунікаційних технологій, електронних комунікацій, в тому числі із застосуванням авторизованих електронних майданчиків та/або веб-порталів органів державної влади, в банківському та фінансовому секторі та інші. З метою дотримання стандартів безпеки бізнесу доведеться виділяти кошти на придбання спеціальних програмних продуктів, системи безпеки будуть проходити стрес-тести, а у випадку не дотримання вимог передбачена фінансова відповідальність (штрафи.)Закон є новаторським документом, оскільки він ввів в законодавство України багато важливих ухвал: киберугроза, кибершпионаж, кіберзлочинність, кібератака. Крім того, держава отримала розуміння того, хто за що відповідає в сфері кібербезпеки. Фактично розподілені ролі і сектора відповідальності між спеціальними суб'єктами: за НБУ закріплюються питання кибрбезопасности банків, уряд відповідає за розроблення державної політики у сфері держбезпеки і так далі.Закон визначає необхідність впровадження єдиної (універсальної) системи індикаторів кіберзагроз з урахуванням міжнародних стандартів з питань кібербезпеки і кіберзахисту. Які це можуть бути стандарти? Це NIST Cybersecurity Framework — фреймворк з кібербезпеки, розроблений американським інститутом стандартів, а також серія міжнародних стандартів ISO-27XXX — з інформаційно - й кібербезпеки. Позитивно бачення таких стандартів безпеки для іміджу України? Відповідь однозначна, та позитивно



Категория: Автотехника