Що дасть Україні новий закон про кібербезпеки

(викладено мовою оригіналу)

Верховная Рада на заседании в четверг, 5 октября, приняла в целом закон об основных принципах кибербезопасности Украины.

Процесс от законопроекта до принятия закона занял более двух лет. Впервые проект закона о кибербезопасности был зарегистрирован группой депутатов из разных фракций в июне 2015 года. В начале 2016 года в связи с утверждением президентом "Стратегии кибербезопасности Украины" документ потерял актуальность и был отозван. Позднее был зарегистрирован уже новый существенно доработанный проект. Первое чтение документ прошел еще в сентябре прошлого года и только сейчас наконец был окончательно принят парламентом. За принятие законопроекта проголосовало 257 народных депутатов.

Появление этого закона именно сейчас актуально как никогда. Так как одним из мировых трендов является тенденция к значительному росту количества кибератак, которые становятся все более изощренными и малопрогнозируемыми. Особенной целью киберпреступников являются критически важные объекты инфраструктуры страны. Украина не стала здесь исключением. В июне этого года произошла крупнейшая кибератака в истории страны, заблокировавшая работу тысяч украинских компаний и государственных органов.

Финальный текст закона пока не опубликован, однако парламент не поддержал поправку "о технологической информации", против которой выступали медийные общественные организации. Эта поправка, которая устанавливает тотальную диктатуру и фактически отрицает доступ граждан к любой информации, которая составляет общественный интерес, информации о жизни, здоровье людей, об опасности, экологических вопросах.

Основные принципы закона

Новый закон в первую очередь направлен на формирование общей госполитики кибербезопасности, а также распределение ролей между различными ведомствами. В частности, он дает полномочия спецслужбам для осуществления киберзащиты страны. Координировать действия в сфере кибербезопасности по закону будет президент через Совет национальной безопасности и обороны (СНБО).

Также предусмотрено создание Национальной системы кибербезопасности, которая объединит ряд министерств и ведомств. В нее войдут Госслужба специальной связи и защиты информации, Национальная полиция, Служба безопасности Украины, Министерство обороны и Генеральный штаб, Национальный банк, а также разведывательные органы.

Закон четко определяет, какое ведомство и за что будет отвечать в сфере киберзащиты. Координация и осуществление госполитики становятся ответственностью Госспецсвязи. Нацполиция должна будет обеспечивать защиту граждан, общества и государства в киберпространстве, а также предпринимать меры для предотвращения киберпреступлений.

Среди заданий СБУ — расследование киберинцидентов и кибератак, осуществленных против государственных инфосистем. А вот Минобороны и Генштаб должны будут готовить государство "к отражению военной агрессии в киберпространстве". Нацбанк ответственен за кибербезопасность в банковской сфере, в частности, путем создания центра киберзащиты НБУ.

Кроме того, в Украине будет создана Национальная телекоммуникационная сеть, в которую войдут информационные системы бюджетной сферы (органы государственной власти и госпредприятия). Порядок ее формирование возложен на правительство. За защищенный доступ госорганов, антивирусную защиту и аудит информационной безопасности будет отвечать Государственный центр киберзащиты.

Объекты критической инфраструктуры

Закон предполагает появление перечня объектов критической информационной инфраструктуры. Ответственность за разработку правил его формирования и работы, а также критериев включения объектов в этот реестр лежит на Кабмине. Такой же реестр, только в банковской сфере, должен будет создать и НБУ.

К объектам критической инфраструктуры могут быть отнесены предприятия, работающие в сфере энергетики (например, АЭС), химической промышленности, транспорта, информационно-коммуникационных технологий, электронных коммуникаций, а также предприятия банковского и финансового сектора.

Кроме того, в реестр могут войти предприятия в сферах централизованного водоснабжения, снабжения электрической энергии и газа, производства продуктов питания и здравоохранения. Также в реестр таких предприятий попадают те, которые имеют потенциально опасное производство, а также имеющие стратегическое значение для экономики и безопасности государства.

Если предприятие попадает в подобный перечень, согласно закону, его собственники или руководители автоматически становятся ответственными за обеспечение киберзащиты коммуникационных систем и защиту технологической информации. Кроме того, руководители предприятий должны будут безотлагательно информировать правительственную команду реагирования на компьютерные чрезвычайные события CERT-UA об инцидентах кибербезопасности.

CERT-UA будет анализировать данные об инцидентах, помогать предотвращать кибератаки и устранять их последствия в случае необходимости. Кроме того, на критически важных предприятиях будет ежегодно осуществляться независимый аудит относительно эффективности систем киберзащиты.

В правовое поле также вводится государственно-частное взаимодействие как один из принципов обеспечения кибербезопасности. Взаимодействие предусматривает обмен информацией об инцидентах кибербезопасности, реализацию совместных научно-исследовательских проектов, обучение кадров в этой сфере и другое.

Закон также предполагает усиление международного сотрудничества в сфере защиты киберпространства в первую очередь с Европейским Союзом и НАТО. В то же время закон ограничивает участие в киберзащите любых компаний и учреждений из России, а также подсанкционных лиц или других стран.

Финансировать кибербезопасность по закону можно как за бюджетные средства, так и частные или кредитные. Допустимо также использование международной технической помощи или других источников, которые не запрещены законодательством.

Закон вступит в силу через 6 месяцев со дня опубликования.

Что меняет принятие этого закона?

Одним из существенных моментов в принятом законе является фактическое приравнивание преступлений в киберпространстве к обычным. Так, закон вводит в правовую плоскость само понятие "киберпреступление", которое обозначается как общественно опасное действие, за которое предусмотрена уголовная ответственность.

Несмотря на то, что закон не идеален, он "позволит сделать качественный шаг в вопросах кибербезопасности страны, в том числе при защите критической инфраструктуры". При этом правильным, по его мнению, является проведение ежегодного аудита не только в соответствии с международными стандартами, но и чтобы он осуществлялся международными аудиторами.

И самое главное, чтобы этот мощный инструмент использовался по его прямому назначению, а не для давления на "неугодных" и ограничение свобод граждан Украины.

Источник: https://delo.ua/