Кібератака 27 червня цього року на українських платників податків1 змусила державні органи струснути заціпеніння та щось усе-таки зробити в цій сфері. Результатом став прийнятий парламентом 5 жовтня Закон України «Про основні засади забезпечення кібербезпеки України» (далі — Закон).
На жаль, на момент підписання номера до друку, 10 жовтня, ми ще не володіємо остаточним текстом Закону у редакції, прийнятій Верховною Радою. Тому ми розглядаємо цей Закон у його попередній іпостасі — як законопроект №2126а в редакції перед повторним другим читанням. Сподіваємося, що якщо відмінності і є, то вони непринципові.
1 Див. «Дебет-Кредит» №28/2017.
Насамперед звернемо увагу на вкрай загальний характер Закону, що випливає вже з його назви: «Про основні засади». Тобто Закон за своєю природою є концептуальним (зокрема, дає визначення низки термінів, досі відсутніх у вітчизняному правовому полі) і стане підставою для законотворчості на більш конкретному рівні. Між іншим, на декларативність Закону звертало увагу Головне науково-експертне управління ВРУ у висновку щодо первісного тексту законопроекту.
До речі, про декларації. Закон з'явився не на порожньому місці і став не першим декларативним законодавчим актом у галузі кібербезпеки. Указом Президента України від 15.03.2016 р. №96/2016 вже було введено в дію рішення РНБОУ від 27.01.2016 р. «Про Стратегію кібербезпеки України». I, до речі, ця Стратегія не виявилася аж такою порожньою декларацією: наприклад, заявлений у ній контакт-центр для повідомлень про випадки кіберзлочинів та шахрайства у кіберпросторі був реалізований як кол-центр Кіберполіції.
Закон дає визначення таких термінів: індикатори кіберзагроз, інформація про інцидент кібербезпеки, інцидент кібербезпеки (кіберінцидент), кібератака, кібербезпека, кіберзагроза, кіберзахист, кіберзлочин (комп'ютерний злочин), кіберзлочинність, кібероборона, кіберпростір, кіберрозвідка, кібертероризм, кібершпигунство, критично важливі об'єкти інфраструктури (об'єкти критичної інфраструктури), критична інформаційна інфраструктура, національні електронні інформаційні ресурси (національні інформаційні ресурси), Національна телекомунікаційна мережа, об'єкт критичної інформаційної інфраструктури, системи електронних комунікацій (комунікаційні системи), система управління технологічними процесами (технологічна система).
Предметом Закону є кібербезпека, яка розуміється як «захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі».
Визначення, що таке «інформаційне суспільство» та як воно співвідноситься із суспільством у базовому соціологічному розумінні, Закон не дає. Нема цього терміна і в інших законах. До речі, Закон не відсилає за визначенням інших термінів до інших законів — він звертається лише до Закону «Про основи національної безпеки України», де надано визначення термінів «національна безпека», «національні інтереси», «загрози національній безпеці». Поняття «інформаційне суспільство» вживається як самозрозуміле, тобто без визначення, в Законі України «Про Основні засади розвитку інформаційного суспільства в Україні на 2007 — 2015 роки» (до речі, аналогічний закон на подальші роки так і не з'явився) та в Декларації принципів ООН від 12.12.2003 р. «Побудова інформаційного суспільства — глобальне завдання в новому тисячолітті».
Що ж до «інформаційного суспільства», то невідомо, чи йдеться загалом про все суспільство в епоху інформатизації, чи лише про частину суспільства, у повсякденному функціонуванні якої критичну роль відіграють інформаційні технології (зрештою, можна вважати, що з розвитком інформатизації різниця між цими двома визначеннями нівелюється).
Але ж кіберпростір — це середовище (віртуальний простір), яке надає можливості для здійснення комунікацій та/або реалізації суспільних відносин, утворене в результаті функціонування сумісних (з'єднаних) комунікаційних систем та забезпечення електронних комунікацій з використанням мережі Iнтернет та/або інших глобальних мереж передачі даних.
Стаття друга Закону вносить досить істотне обмеження у сферу його правового регулювання — він не поширюється на відносини та послуги, пов'язані зі змістом інформації, що обробляється (передається, зберігається) в комунікаційних та/або в технологічних системах, а також на соціальні мережі, приватні електронні інформаційні ресурси в мережі Iнтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси) (але за умови, що такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом), відносини та послуги, пов'язані з функціонуванням таких мереж і ресурсів. Крім того, що природно, не стосується він комунікаційних систем, які не взаємодіють з електронними мережами загального користування, не підключені до мережі Iнтернет.
У цьому контексті важливо, що одним з принципів застосування цього Закону є принцип мінімально необхідного регулювання. Тобто є надія, що ані сам цей Закон не перетвориться на Закон про Великого Брата на кшталт сумнозвісного російського «пакета Ярової», ані не сприятиме появі такого закону. Бложики, соцмережі, домашні сторінки, відеохостинги — усього цього він не стосується.
Та відійдемо від декларацій. Держспецзв'язку, Нацполіція, СБУ, МО та Генштаб, розвідувальні органи та НБУ разом утворюють Національну систему кібербезпеки, причому кожен із цих держорганів виконує в її межах свої завдання.
Ключова роль тут покладається на Держспецзв'язку. У її структурі діє Державний центр кіберзахисту та протидії кіберзагрозам (ДЦКЗ), а в ньому — спеціалізований структурний підрозділ CERT-UA (скорочення від Computer Emergency Response Team of Ukraine — команда реагування на комп'ютерні надзвичайні події України). Слово «діє» тут означає не «буде створено на підставі Закону», а «діє з 2007 року». Наскільки ефективно діє — ну, кібератаку 27 червня ми пам'ятаємо. CERT-UA брала участь у ліквідації її наслідків, а от з відверненням виявилося трохи складніше.
У Законі CERT-UA приділено окрему статтю 9, причому тут це вже не «спеціалізований структурний підрозділ», а «Урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA». От якраз це підвищення у ранзі є суто номінальним, тому що відповідно до частини 2 цієї статті забезпечення функціонування CERT-UA здійснює Держспецзв'язку «у межах штатної чисельності та виділених обсягів фінансування».
Очікується поповнення в родині державних реєстрів. Мають бути створені: державний реєстр об'єктів критичної інформаційної інфраструктури (у сфері регулювання КМУ), реєстр об'єктів критичної інформаційної інфраструктури у банківській системі України (НБУ), державний реєстр кіберінцидентів (його вестиме CERT-UA).
Важливо зазначити, що за орієнтир у забезпеченні кібербезпеки взято стандарти ЄС та НАТО. Декларується поглиблення співпраці України з ЄС та НАТО з метою посилення спроможності України у сфері кібербезпеки.
У Прикінцевих положеннях Закону вносяться зміни до законів «Про основи національної безпеки України», «Про оборону України», «Про Державну службу спеціального зв'язку та захисту інформації України», «Про інформацію», «Про Національний банк України», «Про розвідувальні органи України», «Про Службу зовнішньої розвідки України».
I насамкінець — законодавець дав дуже тривалий перехідний та підготовчий етап для початку дії цього Закону. Він набере чинності аж через шість місяців з дня опублікування, мало того, ще три місяці відводиться КМУ на приведення своїх нормативно-правових актів у відповідність до цього Закону та прийняття нормативно-правових актів, необхідних для його реалізації. Тому не виключено, що зміни до нього можуть бути внесені ще до набрання ним чинності.
Андрій ПОРИТКО, заступник головного редактора