Кого и как должен защитить в Украине закон о кибербезопасности

Принятый парламентом закон о кибербезопасности Украины должен стать основой для развития государственной системы защиты от сетевых угроз. Что следует о нем знать?

Когда в конце июня ряд компьютерных систем всколыхнула одна из крупнейших в истории Украины хакерских атак, вирус Petya, эксперты снова заговорили о том, что, если бы в Украине была надлежащая нормативная база, то защитить прежде всего стратегически важные объекты было бы проще. Теперь основы этой базе заложены: 5 октября Верховная Рада 257 голосами "за" наконец окончательно приняла законопроект "Об основных принципах обеспечения кибербезопасности Украины" - работа над ним продолжалась более двух лет.

"Закон является чрезвычайно важным с точки зрения создания системы обеспечения кибербезопасности государства в целом", - считает Виктор Жора, соучредитель компании InfoSafe, которая осуществляла защиту серверов ЦИК во время кибератак в 2014 году. До сих пор вопрос кибербезопасности в Украине регулировали лишь утвержденная Советом нацбезопасности и обороны (СНБО) в 2016 году "Стратегия кибербезопасности", три указа президента и решения СНБО по борьбе с киберугрозами. Принятый ВР закон должен стать "отправной точкой" для последующих значительно более конкретных шагов в этой сфере. Теперь должен быть написан целый ряд подзаконных актов, которые детально регулируют меры по кибербезопасности, отмечает эксперт.

Кого и что должен защитить закон о кибербезопасности 

После неоднократных доработок законопроект в итоге стал вдвое лаконичнее и более структурированным. В нем определено, кого и что должны защищать от кибератак и кто это должен делать. Под защиту попадают коммуникационные системы, которыми, в частности, пользуются органы власти и правопорядка, и ресурсы в сферах электронного управления и коммерции. Кроме того, защищенными должны быть "критически важные объекты инфраструктуры", под которыми законодатель понимает целый ряд предприятий и учреждений, например, в области энергетики, инфраструктуры, банковского сектора, стратегических предприятий. Однако список этих предприятий еще предстоит создать, что также предусмотрено законом. Этим должно заняться правительство, а в рамках банковской системы - НБУ.

Такой шаг эксперт по кибербезопасности Никита Кныш считает логичным и правильным.

"До сих пор в нормативно-правовых актах Украины использовали понятие "критических объектов инфраструктуры". Прекрасно, что теперь наконец их решили все же внести в какого-то реестра. Это запоздалое, но абсолютно правильное решение", - отмечает эксперт.

Проверять соблюдение информационной безопасности на таких критических объектах будут с помощью независимого аудита, что должно проходить по стандартам ЕС и НАТО. "Лично меня очень радует, что мы не будем "изобретать очередной велосипед" в плане аудитов, а возьмем то, что уже используют другие страны, и постараемся это улучшить", - говорит Кныш. Но при этом он отмечает, что из закона непонятно, кто будет проводить аудит таких ведомств, как полиция, СБУ или министерство обороны, где есть информация с ограниченным доступом.
На чьи плечи ляжет защита от киберугроз

Новый закон вводит такое понятие как национальная система кибербезопасности. Основными ее субъектами, то есть тем, на чьи плечи ляжет ответственность за обеспечение кибербезопасности, должны стать Госспецсвязи, нацполиция, СБУ, министерство обороны, генштаб ВСУ, разведка и НБУ. Первичное реагирование на киберинциденты закон возлагает на созданную еще в 2007 году правительственную команду реагирования на компьютерные чрезвычайные события Украины CERT-UA. Эта структура действует при Государственной службе специальной связи и защиты.

Кроме этого, в законе речь идет про так называемое "государственно-частное взаимодействие в сфере кибербезопасности. Документ обязывает госучреждения, предприятия и даже отдельных граждан содействовать органам госбезопасности, сообщая, например, о киберугрозах.

Важным в этом законе является и то, что он вводит ответственность, в том числе уголовную, за преступления, совершенные именно в киберпространстве. А также - толкуются сами понятия "кибербезопасности", "киберзащиты" и "киберпреступности", которые уже более десятилетия используют в юридической практике, в том числе в связи с совершенными в сети преступлениями, но которые до сих пор не были нигде закреплены в документах.

Блокировки "неудобных" сайтов не будет?

Ранее высказывались опасения, что закон о кибербезопасности может открыть возможности для злоупотреблений, например, блокировки "неудобных сайтов". По словам юриста Анатолия Грабового, СБУ действительно будет иметь возможность ограничения и блокировки доступа к ресурсам, которые используются для целей кибертерроризма. "Но такая возможность есть почти во всех государствах. Поэтому ситуация уже будет зависеть не от закона и "правил игры", а от добросовестности самого СБУ в целом и ее сотрудников", - говорит эксперт.

Виктор Жора напоминает также о контроле со стороны государства и общества за законностью мер по обеспечению кибербезопасности, который также предусмотрен законом. Он возлагается на Верховную Раду, президента и правительство, а деятельность субъектов обеспечения кибербезопасности, в свою очередь, подлежит ежегодному независимому аудиту.

Будет ли в жизни так, как на словах. Итак, новый закон устанавливает правила игры на поле киберзащиты и содержит очень много планов и намерений. Эксперты в целом одобряют его принятие - как базового документа, хоть в нем и есть целый ряд недоработок. Вместе с тем, по мнению аналитиков, еще рано говорить об эффективности этого закона для повышения уровня кибербезопасности.

"Пока не будут сформированы субъекты, которые непосредственно будут заниматься оперативным реагированием на киберинциденты, пока у этих субъектов не будет надлежащей технической базы и высококвалифицированных специалистов, что в свою очередь требует надлежащего финансирования, - все заявленные в законопроекте положения так и останутся на бумаге", - убежден Анатолий Грабовой. Его поддерживает и Виктор Жора. "Теперь дело за правительством, субъектами обеспечения кибербезопасности, которые должны разработать требования к защите критических инфраструктур, новые стандарты и методики и обеспечить контроль за эффективностью киберзащиты", - отмечает эксперт.

Закон о кибербезопасности вступит в силу через шесть месяцев со дня его опубликования.

  1. Последние новости
  2. Популярные новости
Шенгенская виза: категории и оформление рейтинги Украины
Соглашение об ассоциации

О нас

Метки