Кібербезпека неможлива без IТ-спеціалістів
У «ДК» №42/2017 ми вже писали про законопроект №2126а. Наразі — маємо офіційно оприлюднений текст Закону про кібербезпеку та можемо проаналізувати його докладніше.
Загалом, сам Закон України від 05.10.2017 р. №2163-VIII є радше базовим та встановлює загальні напрями запланованої державою роботи у сфері запобігання кіберзлочинності.
«На сьогодні реальні прояви кібератак малопрогнозовані, а їх результатом є зазвичай значні фінансово-економічні збитки або непередбачувані наслідки порушень функціонування інформаційно-телекомунікаційних систем, які безпосередньо впливають на стан національної безпеки і оборони. У зв'язку з цим існуючі загрози вимагають впровадження комплексних заходів, спрямованих на забезпечення кібербезпеки».
З цього починається пояснювальна записка до проекту коментованого нами Закону про кібербезпеку.
Варто нагадати, що цим законом уперше запроваджуються такі терміни, як «кібератака», «кібербезпека», «кіберзагроза», «кіберзахист» і «кіберзлочин (комп'ютерний злочин)».
Сфера кібербезпеки у цьому законі розглядається як складова нацбезпеки України та координована Президентом України через очолювану ним РНБО.
А вже реалізацію державної політики у сфері кібербезпеки, захист прав і свобод людини і громадянина, національних інтересів України у кіберпросторі, боротьбу з кіберзлочинністю покладено на Кабмін. Причому він не обмежений у засобах та ресурсах функціонування нацсистеми кібербезпеки, фінансування яких здійснюватиметься за рахунок державного та місцевих бюджетів, власних коштів госпсуб'єктів, за кредити банків, кошти міжнародної технічної допомоги.
Говорячи про ресурси, не можна не згадати про використання трудових ресурсів — як свідчить практика IТ-компаній, фахівці цієї сфери на сьогодні є не лише вкрай затребуваними, а й доволі високооплачуваними.
Яким чином держава планує залучати таких фахівців, Президент України визначив у своєму Указі від 30.08.2017 р. №254/2017. Цим Указом затверджене рішення РНБО, яким розглянуто комплекс проблем у сфері забезпечення кібербезпеки, пов'язаних із наслідками здійснених останнім часом (очевидно, йдеться про події 27 червня 2017 року. — Авт.) масованих кібератак. Так, у п. 1 рішення РНБО Кабміну належить визначитися з можливістю запровадити в установленому порядку в межах розвитку державно-приватного партнерства механізм залучення фізичних і юридичних осіб на умовах аутсорсингу.
До речі, коментованим законом цілу статтю 10 відведено державно-приватній взаємодії у сфері кібербезпеки. I вона не обмежується консультаційно-практичною допомогою та обміном інформацією, а також передбачає можливість залучення трудового потенціалу та створення системи підготовки спецкадрів для виконання вимог цього закону.
Водночас не варто радіти наперед, адже Кабміну відповідно до рішення РНБО (пп. 5, 7 п. 1) до кінця 2017 року належить:
1) врегулювати питання щодо заборони держорганам, підприємствам, установам і організаціям державної форми власності закуповувати послуги (укладати договори) з доступу до мережі Iнтернет у операторів (провайдерів) телекомунікацій, які не мають документів про підтвердження відповідності системи захисту інформації встановленим вимогам у сфері захисту інформації;
2) підготувати та внести в установленому порядку на розгляд ВРУ законопроект щодо непоширення дії мораторію на здійснення заходів держнагляду (контролю) госпсуб'єктів незалежно від форми власності у сфері криптографічного та технічного захисту державних інформаційних ресурсів та інформації.
Отже, незабаром слід очікувати чергових змін та нових нормативних актів у сфері кібербезпеки. А оскільки більша частина повноважень передана саме Кабміну (не ВРУ. — Авт.), то навряд чи цей процес буде затягуватися. I це неодмінно вплине на ринок телекомунікаційних послуг, доступ до якого буде для декого обмеженим.
Урядові «спецзагони»
Якщо Кабмін забезпечує формування та реалізацію державної політики у сфері кібербезпеки, то забезпечення формування та реалізації державної політики щодо захисту у кіберпросторі державних інформаційних ресурсів та інформації, здійснення державного контролю та інформування про кіберзагрози та методи захисту від них, упровадження організаційно-технічної моделі кіберзахисту покладається на Держслужбу спецзв'язку та захисту інформації України (надалі — Держспецзв'язок). Окрім Держспецзв'язку, основними суб'єктами нацсистеми кібербезпеки є Нацполіція України, СБУ, Міноборони та Генштаб ЗСУ, розвідувальні органи, НБУ в межах повноважень, визначених для кожного з них у ч. 2 ст. 8 Закону про кібербезпеку.
Водночас не останню роль у реагуванні на кіберінциденти та кібератаки й надалі відіграватиме команда реагування CERT-UA1. Окрім неї, планується створити ще одну структуру — Державний центр кіберзахисту.
1 Нагадаємо, що CERT-UA існує з 2007 році http://cert.gov.ua/ як структурний підрозділ Держспецзв'язку, проте її повноваження на законодавчому рівні визначені вперше.
До речі, функціонування обидвох урядових «спецзагонів» покладається на Держспецзв'язку з різними обсягами повноважень. Утім, найімовірніше, ми побачимо їх інформаційно-організаційну деталізацію в окремих нормативних документах.
Проте наразі зрозуміло, що:
1) Державний центр кіберзахисту опікуватиметься системами захищеного доступу держорганів до Iнтернету, антивірусного захисту, виявлення вразливостей і реагування на кіберінциденти та кібератаки щодо об'єктів кіберзахисту, взаємодії команд реагування на комп'ютерні надзвичайні події тощо;
2) завданнями команди реагування CERT-UA є надання практичної допомоги, організація семінарів з питань кіберзахисту, підготовка рекомендацій щодо протидії сучасним видам кібератак та кіберзагроз, взаємодія з правоохоронними органами та головне — опрацювання отриманої від громадян інформації про кіберінциденти щодо об'єктів кіберзахисту.
Кого захищатиме Закон про кібербезпеку
Важливо, що об'єктами кіберзахисту є:
1) комунікаційні системи всіх форм власності, в яких обробляються націнформресурси та/або які використовуються в інтересах органів держвлади, місцевого самоврядування, правоохоронних органів та військових формувань, утворених відповідно до закону;
2) об'єкти критичної інформаційної інфраструктури;
3) комунікаційні системи, які використовуються для задоволення суспільних потреб та/або реалізації правовідносин у сферах електронного урядування, електронних державних послуг, електронної комерції, електронного документообігу.
Цей Закон не поширюється, зокрема, на соціальні мережі, приватні електронні інформаційні ресурси в Iнтернеті (включаючи блог-платформи, відеохостинги, інші веб-ресурси), якщо такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом, відносини та послуги, пов'язані з функціонуванням таких мереж і ресурсів (п. 3 ч. 1 ст. 2 Закону про кібербезпеку).
Отже, прийняття Закону про кібербезпеку — це перша спроба з протидії викликам та загрозам у цій сфері. I хоча на сьогодні ми перебуваємо лише на початковому етапі, а попередні спроби не мали комплексного характеру, все ж такий початок заслуговує на особливу увагу з боку держави та приватних структур. Хоча останніх сам закон розглядає лише як суб'єктів сприяння кіберзахисту.