Закон про кібербезпеку, або Тотальний контроль за бізнесом

Закон про кібербезпеку, або Тотальний контроль за бізнесом

Незважаючи на те, що введення багатьох вимог у сфері кібербезпеки має благу мету, на практиці це створить чимало проблем для ведення бізнесу.(Рос.)
Середа, 13 вересня 2017, 16:00
керівник практик Інтелектуальної власності, Технологій та Захисту даних PwC Legal в Україні, арбітр Центру з Арбітражу та Посередництва Всесвітньої Організації Інтелектуальної Власності

30 августа 2017 года президент подписал важный для страны указ "о кибербезопасности".

Тем самым гарант ввел в действие Решение СНБО "Об угрозе кибербезопасности государства и неотложные меры по их нейтрализации".

Документ описывает программу действий для правительства и Службы безопасности Украины в сфере кибезбезопасности.

Очевидно, что кибербезопасность сегодня стала очень важной составляющей национальной безопасности любого государства — из-за последних кибератак государства несут огромнейшие убытки. Но можно ли на самом деле разработать эффективную систему кибербезопасности в свете повсеместного использования сети Интернет?

Реклама:

В подписанном документе предусматривается немало новшеств, одно из них —государственные органы теперь смогут заключать договора только с теми Интернет-операторами, которые имеют надлежащие документы, подтверждающие соответствие систем защиты информации таких операторов установленным определенным требованиям.

Несмотря на то, что данное положение на первый взгляд очень важно для защиты от всевозможных кибератак в государственном секторе, это неизбежно приведет к тому, что сложится ситуация, когда только "избранные" операторы (провайдеры) смогут предоставлять свои услуги. Навряд ли это лучшим образом отразится на рынке телекоммуникаций.

Указом также предусматривается разграничить уголовную ответственность за преступления в сфере использования компьютеров, совершенные в отношении отдельно государственных и отдельно других информационных ресурсов, в отношении отдельно объектов критической информационной инфраструктуры и отдельно других объектов.

Нужно полагать, что за указанные преступления в отношении государственных информационных ресурсов и объектов критической инфраструктуры уголовная ответственность будет более суровой.

Однако абсолютно непонятно, о каких "других" ресурсах и объектах идет речь и как это отразится в Уголовном кодексе. Получается, что практически все ресурсы и объекты могут подпадать под данное положение, что, в свою очередь, даст возможность применять уголовную ответственность тогда, когда это кому-нибудь будет выгодно.

В соответствии с указом Кабинет министров должен внедрить механизм дополнительного стимулирования мотивации к труду специалистов госорганов, которые непосредственно связаны с противодействием кибербезопасности. К слову, ранее в августе, Кабмин уже увеличил на 20% заработные платы таким служащим.

Насколько возможна реальная мотивация IT-специалистов для работы на госслужбе сегодня? Учитывая востребованность таких специалистов на мировом рынке, их зарплаты должны соответствовать хотя бы европейским зарплатам, что представляется сомнительным в госсекторе.

Однако, учитывая, что указом также предусмотрена возможность привлечения физических и юридических лиц на условиях аутсорсинга, может быть, целесообразней и дешевле было бы поднять зарплату своим штатным специалистам до надлежащего уровня. Хотя, конечно же, самым главным в данной ситуации является вопрос наличия достаточного опыта у IT-специалистов.

Указом также предусматривается отменить ограничение на проведение проверок тех предприятий, которые задействованы в сфере криптографической и технической защиты государственных информационных ресурсов и информации.

Получается, что контролирующие органы могут получить полномочия на проведения проверок практически всех предприятий, так или иначе имеющих отношение к защите указанной информации. Еще один неприятный звоночек.

Все это больше похоже на "тотальный контроль" за субъектами хозяйствования, независимо от форм собственности. И, несмотря на то, что введение многих требований в сфере кибербезопасности имеет благую цель, на практике это создаст немало проблем для ведения бизнеса в нашей стране.

На данный момент на рассмотрении Верховной рады находится проект Закона Украины "Об основных принципах обеспечения кибербезопасности Украины" (№ 2126а).

Документ закрепляет определение понятий "кибербезопасность" и "кибератака", содержит перечень предприятий, учреждений и организаций, которые относятся к критическим инфраструктурным объектам, содержит перечень общих функций субъектов национальной системы кибербезопасности

Примечательно, что критическими инфраструктурными объектами могут быть, по сути, любые предприятия, которые, в свою очередь, в отношении защиты государственных информационных ресурсов или информации с ограниченным доступом должны внедрить так называемую "комплексную систему защиты информации", определенную Законом Украины "О защите информации в информационно-телекоммуникационных системах".

При этом такие средства защиты информации должны иметь сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы.

Несложно догадаться, какие возможности для коррупционных действий это создает, и насколько процессы одобрения "соответствия фирм" требованиям законодательства ограничат круг субъектов предпринимательской деятельности в данной сфере.

В целом законопроект носит больше декларативный характер, содержит большое количество отсылочных норм и не закрепляет никоим образом никаких положений о конкретных необходимых действиях в сфере киберзащиты.

Недостатком всех нормативных актов в отношении кибербезопасности является также то, что, по сути, ни один государственный орган не наделяется полномочиями глобального управления внедрением системы кибербезопасности в государстве.

Понятие "кибербезопасность" — ново для Украины, и естественно, что ни материально, ни организационно наше государство пока не готово обеспечить надлежащий уровень защиты от кибератак.

Стратегия кибербезопасности Украины была принята только в марте 2016 года, которая и стала, по сути, отправной точкой в понимании существования такой проблемы на государственном уровне.

Для системы кибербезопасности Украины важно разработать в первую очередь эффективные средства мониторинга угроз кибератак, их предупреждения и конечно же — средства незамедлительного ликвидации их последствий.

Конечно же, очевидно, что для эффективной работы закона о кибербезопасности необходимы колоссальные денежные средства для достижения всех целей, закрепленных в нем. Однако, поскольку вопрос кибербезопасности неразрывно связан с безопасностью государства в целом, то есть с эффективной работой службы безопасности, разведки, правоохранительных органов, важно сначала создать эффективную систему национальной безопасности , и на ее основе уже строить "кибербезопасность".

Колонка є видом матеріалу, який відображає винятково точку зору автора. Вона не претендує на об'єктивність та всебічність висвітлення теми, про яку йдеться. Точка зору редакції «Економічної правди» та «Української правди» може не збігатися з точкою зору автора. Редакція не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія.
Реклама: