Закон і Бізнес


Киберзащита для избранных

Раздолью информационных преступлений закон не помешает


№23 (1373) 09.06—15.06.2018
Вероника ВОЛИК
7489

Еще один незаметный акт, призванный охранять общество от кибератак, бессилен без подзаконных положений. Их обещают принять до конца года. А чтобы не сидеть без дела, уполномоченные органы проведут цикл проверок на предприятиях.


Тузи в рукавах закону

Майже місяць тому набрав чинності закон «Про основні засади забезпечення кібербезпеки України», який торік активно обговорювався. Однак його текст подекуди нагадує гостросюжетний художній твір, сповнений прихованих інтриг і непередбачуваних героїв.

Своїми прогнозами щодо розвитку подій у зв’язку з його появою експерти поділилися на засіданні комітету малого та середнього бізнесу Київської торгово-промислової палати «Кібербезпека: бізнес без небезпеки».

Хоча в преамбулі акта й закріплюється гарантування захисту життєво важливих інтересів людини і громадянина, суспільства та держави в кіберпросторі, пощастить не всім.

Виявилося, що законодавці подбали про охорону лише тих установ, які мають стосунок до державного сектору.

Так, інформаційне забезпечення стане обов’язковим для власників та операторів комунікаційних систем. Але тільки тих, які використовуються в інтересах державних органів, органів місцевого самоврядування, правоохоронних органів або військових формувань. Або для забезпечення електронних урядування, держпослуг, комерції та документообігу. Проте найбільш загадковим є положення щодо обов’язкового кіберзахисту об’єктів критичної інфраструктури. Оскільки політ фантазії правників, бізнесменів і тим більше авторів акта безмежний, то віднесенню установи до «критичних»,  по суті, нічого не перешкоджає.

Найбільш доцільним є твердження, що під цю категорію підпадуть об’єкти з потенційно небезпечними технологіями й виробництвом. А також ті, що мають стратегічне значення для економіки та безпеки держави. Та все ж без конкретики в цьому питанні не обійтись.

У невизначеність сюжету обіцяють утрутитися Кабінет Міністрів і Національний банк. Орієнтовно у вересні (можливо, пізніше) урядовці складуть якщо не список підприємств, які отримають такий статус, то хоча б критерії їх віднесення до цієї категорії. А НБУ розробить документ щодо банківської галузі, зазначив керівник Центру аналітично-правової інформації компанії «Ліга: Закон» Олександр Попов.

Адже якщо постаратися, то до сфери критичних підприємств можна залучити представників ІТ-сектору, харчової індустрії та сільгоспвиробників. Їм захист держави від інформаційних злочинців точно не завадив би.

Гірше, ніж кібератака

Ще однією новиною для підприємств стане розширення переліку органів контролю, які будуть опікуватись інформаційною безпекою. Проте не всі з команди державних кібервартових будуть виконувати такі функції, а про діяльність окремих із них ніхто й не знатиме.

Ключові особи згідно із законом визначені в чіткому ієрархічному порядку. І якщо Президент свою місію вже виконав, то деякі структури лише вступають у гру. Найголовнішим органом контролю в цій сфері є Рада національної безпеки та оборони. Однак, попри свою позицію, участі у врегулюванні заходів щодо кіберзахисту РНБО не братиме, посилаючись на координаційне призначення. Інші глобальні органи, такі як Міністерство оборони, НБУ та розвідувальні установи, також виступатимуть як сторонні наглядачі.

Першою ж рушійною силою в охороні кіберпростору стане Державна служба спеціального зв’язку та захисту інформації. Саме їй надано широкий обсяг повноважень інспектора, хоча ще місяць тому функції цього органу обмежувалися забезпеченням урядових комунікацій. Утім, ще один обов’язок Держспецзв’язку — реалізація державної політики у сферах криптографічного та технічного захисту інформації — дещо перегукується з його новими повноваженнями.

Служба матиме підрозділ аудиторів кібербезпеки, яких О.Попов охрестив новою сферою бізнесу. Вимоги до ревізорів інформаційної безпеки та порядок їх атестації визначатиме Держспецзв’язок. І нехтування обов’язком запросити їх на перевірку розцінюватиметься як порушення закону. Але те, чи зможуть вони забезпечити всіх, кого навідали, сертифікатами безпеки, поки що невідомо.

Свою посильну участь у забезпеченні кіберзахисту візьме також Служба безпеки. Чи не єдиним її завданням буде проведення таємних перевірок підприємств. А метою таких шпигунських ігор окреслили виявлення, наприклад, умов закупівлі технічного обладнання, щоб у майбутньому дати рекомендації щодо критеріїв придбання електронних пристроїв усім організаціям. Можливо, такі інспекції й мають сенс у світлі загроз кібербезпеці Міноборони з причин не надто якісного обладнання. Проте таємний спосіб їх проведення полоскоче нерви всім потенційним об’єктам перевірок.

Повноваження Національної поліції у сфері охорони інформації не зміняться. Її спеціальний департамент, розбудова якого ніяк не дійде до фінального етапу, поки що не забезпечує свого представництва на гідному рівні. Та і його обмежений склад не має можливості реалізовувати всі визначені законом функції.

Тільки підрозділ Держспецзв’язку під назвою CERT-UA, на думку експертів, здатен пролити світло на боротьбу з кіберзлочинами.

Саме команда реагування на комп’ютерні надзвичайні ситуації в Україні, як розшифровується іншомовна абревіатура, надаватиме послуги щодо кіберзахисту. Сама служба займається аналізом інцидентів, веде їх державний реєстр. І, що найголовніше, надає підприємствам практичну допомогу з питань запобігання, виявлення та усунення наслідків кіберутручань.

Відірватися від реалій

Поки фактична вседозволеність у державі, яка не вживає запобіжних заходів щодо інформаційної безпеки, приваблює кіберзлочинців, громадяни самотужки борються з атаками в мережі.

Представники бізнесу невтомно стежать за новітніми технологіями, які забезпечать захист їхніх даних. Однак застрахованими від непроханих комп’ютерних гостей власники підприємств, які становлять неабиякий інтерес для хакерів, себе не відчувають. Імовірно, через те, що знають: у випадку успішної кібератаки винні відповідальності не понесуть.

Як зазначив старший юрист компанії Pragnum Олексій Некрасов, за останні 3,5 року в реєстрі судових рішень він знайшов лише 86 вироків, винесених за скоєння кіберзлочинів. Хоча 6 статей Кримінального кодексу та сприятливі умови для інформаційних атак мали б зумовлювати в рази більше число. Хоча такі випадки трапляються чи не щодня, виявити злочинця та притягнути його до відповідальності правоохоронним органам не під силу.

Новий виклик для кібербезпеки з’явився після затвердження 25.05.2018 Генерального регламенту із захисту персональних даних (GDPR). Українці не думали, що нові вимоги Європейського Союзу так уплинуть на перебіг подій.

Проте всі компанії, які так чи інакше контактують із громадянами ЄС, повинні дотримуватися нової директиви. І якщо станеться просочення інформації, повідомити про цей факт потрібно буде протягом 72 год., а за цей час його треба хоча б виявити. Тому такий серйозний стандарт кібербезпеки, як GDPR, зовсім скоро дасть про себе знати.

Схоже, що ситуація поступово змінюється й увага, прикута до сфери кіберзахисту, зумовлює резонанс. Адже  інформація в сучасному світі дорожча від золота.