Пока мы все отдыхали, в силу вступил Закон Украины "Про основні засади забезпечення кібербезпеки України". Закон, который с момента подписания осенью 2017 года был основательно всеми подзабыт.
Безусловно, главный результат принятия этого Закона в том, что киберпространство теперь подлежит законодательному регулированию. В правовом поле наконец появились понятия "киберпространство", "кибератака", "кибертерроризм", "кибербезопасность" и т. д. Как говорится, принятие факта существования проблемы — первый шаг на пути к ее решению. Украина этот шаг сделала.
Подробный разбор текста Закона — тема отдельной большой дискуссии. Здесь мы зафиксируем несколько основных моментов, которые, на мой взгляд, могут оказать наибольшее влияние на бизнес и общество.
Во-первых, в статье 1 Закона введено понятие "объект критической инфраструктуры", причем явно указано — независимо от формы собственности.
С одной стороны, крупному бизнесу (например — операторам сотовой связи) это может добавить хлопот, а с другой — это может сдвинуть с "мертвой точки" вопросы кибербезопасности. В любом случае, игнорировать вопросы обеспечения кибербезопасности уже не получится. При этом, согласно данному в Законе определению, теперь даже в "далеких" от кибербезопасности структурах (а это, например, различные горводоканалы с их водопроводом, канализацией, очистными сооружениями) — постепенно будет ликвидирован бардак в их сетях. Все помнят серию инцидентов 2015-2016 гг. с отключением подстанций в Ивано-Франковской области и в Киеве в результате кибератак? Не хочется повторения подобного в других социально значимых службах.
А по опыту работы с банками и финучреждениями можно уверенно сказать, что жесткие нормы в области кибербезопасности, которые они вынуждены выполнять, согласно требованиям международных платежных систем (VISA, MasterCard) и других регуляторов, идут на пользу в первую очередь именно нам с вами — обычным клиентам.
Во-вторых, Закон явно обозначил вектор дальнейшего развития нормативно-правовой базы в области кибербезопасности — в сторону гармонизации с Европейским Союзом и стандартами НАТО. Учитывая текущее плачевное состояние этой отрасли в Украине (и снова — это также может быть предметом большой отдельной дискуссии), у нас появляется шанс использовать действительно передовой опыт США и стран Западной Европы и в кратчайшие сроки сформировать в поддержку нового Закона весь необходимый пакет подзаконных актов — базируясь на цивилизованных принципах.
Отдельно хотелось бы отметить еще один момент, который принципиально отличает этот Закон от аналогичных по направленности документов Российской Федерации и почему это хорошо.
Так, из поля действия Закона Украины в явном виде исключены "…відносини та послуги, пов'язані із змістом інформації, що обробляється…" и "…соціальні мережі, приватні електронні інформаційні ресурси в мережі Інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси), якщо такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом, відносини та послуги, пов'язані з функціонуванням таких мереж і ресурсів…".
Здесь нужно вспомнить, что на протяжении последнего десятилетия в ООН много раз обсуждался проект "Конвенции об обеспечении международной информационной безопасности", инициатором которой была РФ. В конечном счете документ так и не прошел. Что с ним было не так? А вот что. Помимо собственно киберугроз, в проекте этой конвенции говорилось о "…воздействии на индивидуальное и общественное сознание…" и о других подобных угрозах.
То есть фактически на международном уровне предполагалось под красивым соусом протащить банальную цензуру.
Во что превращается Рунет сегодня не обсуждал только ленивый. Особенно впечатлила последняя "операция" Роскомнадзора по блокировке популярного мессенджера Telegram. Учитывая, что в ходе "операции" были заблокированы десятки миллионов (!) адресов, принадлежащих в первую очередь Google и Amazon, все думающие люди задались вопросом: "а был ли многострадальный мессенджер целью или это просто подготовка к поднятию "железного занавеса в Интернет?".
Ну и, в-третьих, в Законе достаточно много внимания уделено описанию принципа его применения. Главное для нас с вами — явно зафиксирована необходимость следовать принципу минимально необходимого регулирования. Разумеется, само по себе это не может гарантировать отсутствие попыток злоупотреблений. Однако наличие такой "буквы закона" является фундаментом для построения действительно работающей системы Национальной кибербезопасности — и работающей не на чьи-то кулуарные интересы, а именно на нас с вами.
Алексей Швачка,
технический директор компании Octava Cyber Defence
Немає коментарів: