Loading results ...

EN UA

Menu

Key contacts
Industries
Source: Yuridicheskaya Practika

Cyberlink (in Russian)

Остается надеяться, что государство будет использовать лучшие практики ЕС и сфокусируется не на репрессивных мерах в отношении пострадавших от кибератак, а на оказании им помощи

Есть опасения по поводу возможного превращения аудита информационной безопасности в дополнительный фактор давления на бизнес

Участившиеся хакерские атаки на объекты критической инфраструктуры обнажили глобальную уязвимость киберпространства перед угрозами, исходящими от отдельных стран и групп. Не вызывает сомнений необходимость подготовки государством комплексного ответа на возникающие угрозы.

Радует, что украинские законодатели озаботились вопросами кибербезопасности еще в 2015 году, начав разработку соответствующего законопроекта. Вирус Petya, парализовавший летом 2017 года работу многих органов государственной власти и ключевых для страны

предприятий, еще раз подчеркнул потребность в активизации подготовки законопроекта.

В начале октября 2017 года, после более чем двух лет работы и яростного обсуждения, сессионный зал 257 голосами поддержал законопроект № 2126а «Об основах обеспечения кибербезопасности Украины» (Закон).

Став фундаментальным для правового обеспечения кибербезопасности, в процессе рассмотрения профильным комитетом и обсуждения в сессионном зале Закон, к сожалению, не лишился недостатков, на которые справедливо указывали эксперты. Кроме того, он содержит нормы, способные стать при недобросовестном применении еще одним инструментом давления на бизнес.

Доктринальные бреши

С технико-юридической точки зрения нарекания вызывала терминология Закона. Законодатель ввел много новых терминов, но не сделал их достаточно понятными для субъектов правоотношений. К примеру, термин «кибератака» не только содержит логическую ошибку «круг в определении», но и вводится с помощью таких же непонятных и нигде не определенных терминов.

Более того, многие из введенных терминов не согласовываются с уже существующими законодательными определениями. Так, например, содержащаяся в Законе дефиниция «киберпреступление» не соответствует ни Конвенции о киберпреступности 2001 года, ни Уголовному кодексу Украины. Достаточно небрежное внедрение законодателем новой терминологии может привести к путанице и неопределенности в правоприменительной практике.

Стоит также отметить перегруженность Закона положениями, не выполняющими регулятивную функцию: декларациями, принципами, направлениями. Многие из них дословно заимствованы из Стратегии кибербезопасности Украины, введенной в действие Указом Президента от 15 марта 2016 года № 96/2016. Целесообразность обременения Закона таким количеством норм декларативного характера является как минимум спорной с технико-юридической точки зрения.

Еще один проблемный аспект Закона связан с тем, что парламентарии возложили на себя функции других органов государственной власти. Так, например, Закон предусматривает создание Государственного центра киберзащиты в составе Государственной службы специальной связи и защиты информации, хотя парламент не имеет полномочий создавать подобные структуры. Кроме того, Закон не определяет судьбу уже существующего в составе Госспецсвязи Государственного центра киберзащиты и противодействия киберугрозам.

Похожее замечание касается определения в Законе функций Национального координационного центра кибербезопасности в составе Совета национальной безопасности и обороны. Определение функций и полномочий рабочих органов СНБО является прерогативой Президента.

Всеобщая кибероборонная повинность

В числе ключевых новшеств Закона — введение понятия «объект критической инфраструктуры» и установление для таких объектов обязанности проводить регулярный аудит информационной безопасности. Конкретные критерии и порядок отнесения объектов к объектам критической инфраструктуры, их перечень, требования к их кибербезопасности и порядок проведения независимого аудита информационной безопасности предлагается определить Кабинету Министров Украины, а в банковской системе — Национальному банку Украины.

В этом отношении высказывались опасения по поводу возможного превращения аудита информационной безопасности в дополнительный фактор давления на бизнес, поскольку определение «объект критической инфраструктуры» применимо и к мобильным операторам, и к производителям продуктов питания, и банкам и т.д. Не добавляет оптимизма отсутствие законодательно определенных последствий проведения аудита, в том числе ответственности за невыполнение установленных требований информационной безопасности.

Не совсем понятно, как вышеупомянутые требования к информационной безопасности и регулярному проведению аудита соотносятся с положениями Закона Украины «О защите информации в информационно-коммуникационных системах» от 5 июля 1994 года в части обязательств по использованию при работе с подлежащими защите данными комплексной системы защиты информации, прошедшей государственную экспертизу. Похоже, что бизнес может столкнуться с двойным регуляторным бременем.

Еще одним, на первый взгляд малозаметным, но потенциально тектоническим по влиянию можно назвать факт наделения Службы безопасности Украины полномочием негласно проверять готовность объектов критической инфраструктуры к возможным атакам и киберинцидентам. Закон не уточняет, в каком порядке должна проводиться проверка, какими документами оформляться, как будут формироваться списки кандидатов на проверку и пр. В отсутствие детального регулирования такие негласные проверки могут стать инструментом давления на бизнес.

Насколько эффективным окажется Закон, во многом зависит от подзаконных актов, принятых для его исполнения. Чтобы предугадать возможное направление развития законодательства в сфере кибербезопасности, необходимо ознакомиться с соответствующим опытом Европейского союза, тем более что Закон провозглашает курс на адаптацию государственной политики в сфере кибербезопасности к стандартам ЕС.

Европейский вектор

Среди основополагающих актов ЕС в сфере кибербезопасности следует назвать Директиву о безопасности сетевых и информационных систем (Directive (EU) 2016/1148, Директива). В отличие от украинского Закона Директива распространяется не только на объекты критической инфраструктуры, но и на цифровые сервисы, к которым относятся онлайн-маркетплейсы, поисковые движки и сервисы облачных вычислений.

Основной фокус Директивы — оперативный обмен информацией о киберинцидентах между всеми заинтересованными сторонами. Примечательно, что Директива четко указывает на недопустимость возложения дополнительной ответственности на лицо, извещающее о киберинциденте. Напротив, Директива подчеркивает право пострадавших от киберинцидентов на получение посильной помощи от команд быстрого реагирования (аналоги украинской CERT-UA).

Остается надеяться, что государство, реализуя Закон, будет использовать лучшие практики ЕС и сфокусируется не на репрессивных мерах в отношении пострадавших от кибератак, а на оказании им помощи в преодолении атак.

Related publications

20 April 2023

Publications
Corporate M&A 2023. Law and practice
Read more
22 March 2023

Publications
Building resilience: Ukrainian law firms one year into the war
Read more
10 March 2023

Publications
Ukraine overview
Read more

STAY UP TO DATE

Discover the latest best practices and keep up to date
with insights from Sayenko Kharenko.

    Whoops! That doesn't look right.

    I have read the Privacy Policy and agree to its terms.

    Thank you!

    Thanks for subscribing to our newsletter.
    You should receive a confirmation email soon.

    Go to Main page
    Notification cookies

    We use cookies to analyze the behavior of visitors
    of our website and improve it. By using our website, you consent to these cookies in accordance with our Cookie Policy.