На днях Верховная Рада Украины приняла законопроект «О кибербезопасности», расширяющий полномочия СБУ, Киберполиции и Госцпецсвязи, в том числе — в отношении блокировок сайтов.
В связи с введением в действие Стратегии национальной безопасности Украины, утверждённой Указом Президента Украины Петра Порошенко от 15.03.2016 года, в мае текущего года в Верховную Раду Украины был внесён законопроект «Об основных положениях обеспечения кибербезопасности Украины», который на днях был принят парламентом с учётом внесённых после первого чтения правок.
Украинские СМИ, а также представители отрасли и провайдеры сразу же выразили свою обеспокоенность относительно новых законодательных мер а также рядом других документов методов защиты от масштабных кибератак, как то: жёстким мониторингом интернет-трафика, ограничения права на доступ к информации, а также возможными коррупционными рисками, которые может повлечь за собой окончательное принятие этого законопроекта. Законодательные инициативы предлагают, кроме всего прочего, повторять и «российский репрессивный опыт» — утверждают представители телекоммуникационной отрасли.
Согласно пояснительной записке, законопроект приведён в соответствие с принципами, приоритетами и направлениями вышеупомянутой стратегии, в нём учтены предложения экспертов НАТО и ЕС, уточнены основные термины и обозначения, в частности — «кибербезопасность», «киберзащита», — а также вводятся механизмы применения «лучших европейских и мировых практик и стандартов в части разработки и принятия отраслевых стандартов киберзащиты критически важных объектов инфраструктуры».
Одобренный закон вводит понятия объекта критической инфраструктуры — предприятия, учреждения или организации, чья деятельность связана с важными технологическими процессами, нарушение которых может составлять угрозу национальной безопасности. По словам парламентариев, детальные критерии таких объектов должно отдельно установить правительство, но к ним могут относиться железная дорога, крупные операторы связи и банки, энергогенерирующие и энергораспределительные компании и так далее. IT-системы критической инфраструктуры должны быть защищены государством от будущих атак.
Законопроект также разделяет полномочия и обязанности госорганов в сфере киберзащиты. В частности, в компетенцию СБУ относится борьба с кибертерроризмом, расследование кибератак и на государственные электронные ресурсы, негласная проверка объектов критической инфраструктуры на готовность к новым атакам. При этом предлагается ввести независимый аудит деятельности СБУ, Киберполиции, Госспецсвязи в сфере кибербезопасности. Отчёты прохождения такого аудита будут подаваться в парламентские комитеты по вопросам нацбезопасности и обороны и информатизации и связи.
Кроме этого законопроекта, на деятельность провайдеров и операторов связи уже начал оказывать своё действие Указ, принятый ещё в мае Указ Порошенко и решение Совета национальной безопасности и обороны (СНБО), касающийся блокировки части российских интернет-ресурсов. Теперь качество блокировок будут проверять власти, и в случае ненадлежащего их исполнения провайдеров ждёт разговор с СБУ, как это произошло с киевским Wnet, отказавшегося блокировать российские соцсети, после чего в его офис с обыском нагрянула СБУ.
Идея мониторить, как провайдеры блокируют российские соцсети, обсуждалась ещё в мае этого года. Причём долгое время регламентирующий это процесс документ Госспецсвязи держался в секрете, но представители телеком-отрасли смогли вынести его в конце сентября этого года. В документе «О реализации и мониторинге эффективности персональных специальных экономических и других ограничивающих мер (санкций)» говорится про закупку за госсредства и установку в сетях провайдеров специальных устройств, которые бы отслеживали, как блокируются запрещённые сайты. Напомним, аналог таких устройств уже применяется в российском телекоме — операторы обязаны, кроме всего прочего, устанавливать систему «Ревизор», которая проверяет качество блокировок запрещённых сайтов.
Подобные устройства предлагается установить в сетях 15-ти операторов, которые имеют собственные заграничные выходы, причём список самих операторов не приводится. Сами операторы предполагают, что речь идёт про некие DPI-решения. «Такой «чёрный ящичек», — поясняет глава совета Телекоммуникационной палаты Украины Татьяна Попова, — может не только мониторить блокировку, но и самостоятельно блокировать иностранные ресурсы, отдельный тип данных и много всего другого. Зачем тогда мониторить? Пусть Госспецсвязь сама и блокирует».
Также представители отрасли допускают, что для этого проекта могут использовать системы, подобные российскому СОРМ (система оперативно-разыскных мероприятий), который позволяет вести онлайн-слежку за пользователями, а также «оперативно блокировать ресурсы, которые в России признаны экстремистскими, а спецслужбам — непрерывно иметь доступ к трафику, что проходит в сетях всех провайдеров» (ну, вот так широко украинская отрасль представляет себе функционал СОРМ, — прим. РосКомСвободы). Власти в беседе с журналистами ответили, что да, система близка к российскому СОРМ.
Между тем, магистральные провайдеры уже вынуждены работать под внимательным взором спецслужб. В сентябре СБУ уже отчитывалась про раскрытие «преступной схемы маршрутизации трафика» и провела обыски в офисах более десяти провайдеров Киева, Харькова и Одессы.
Кроме контроля над трафиком, СНБО предлагает основать несколько новых государственных IT-проектов. В частности, речь идёт о создании защищённого центра обработки данных (ЦОД), в котором разместят веб-сайты госорганов, базы данных и реестров, например, судебных решений, электронных деклараций или юридических лиц. Многие эксперты видят в данной инициативе возможность для коррупции.
Также шла речь о создании национальной телекоммуникационной Сети, к которой подключат часть госорганов. Кроме этого, должен заработать национальный центр оперативно-технического управления сетями связи.
Относительно государственного ЦОДа совладелец телеком-операторы «Адамант» Иван Петухов высказывается положительно, тем более, что это общемировая практика, но только «при условии, что его потом не приватизируют», и он останется в госсобственности. Однако в Украине подобные проекты нередко превращались в коррупционные сделки. Самой скандальной историей последних лет можно назвать дата-центр «Парковый», построенный в Киеве фирмами, близкими к окружению бывшего Президента Виктора Януковича. Не менее скандальный опыт был в отношении защищённой национальной телекоммуникационной сети и т.п.
Эксперты украинского телеком-рынка весьма скептически оценивают затеянные государством изменения в вышеназванных сферах. Особенно в плане требований к операторам. Например, «установленные требования в сфере защиты информации», говорит Иван Петухов, были разработаны ещё в 2000-х годах и потребуют от операторов, подключенных к заграничным сетям, установку определённого защитного оборудования, например, для противодействия DDoS-атакам.
«Но эти требования неадекватны современной ситуации на рынке, современным методам кибербезопасности, — говорит глава парламентского комитета по вопросам информатизации Александр Данченко. — К тому же, могут дать возможность создания своего рода «карманного» оператора». В целом к законопроекту Данченко относится скептически.
Кроме этого, несколько пунктов последнего решения СНБО остаются засекреченными, что заставляет нервничать участников телеком-рынка. Особенно с учётом сведений, полученных журналистами от источников, знакомых с процессом согласования решения СНБО, который говорит, что в засекреченных пунктах могут содержаться поручения относительно СБУ, полномочия которой значительно усилились.
Несколько источников в телекоммуникационной отрасли пояснили, что речь идёт скорее всего про передачу расследования множества «важных» киберпреступлений от Киберполиции к СБУ, а также о разделении уголовной ответственности и подследственность обычных от стратегических атак на госресурсы. Правда, в предыдущем решении СНБО законодательных инициатив, расширяющих полномочия правоохранителей в борьбе с киберпреступлениями, было ещё больше.
Как бы там ни было, но планируемые нововведения, к которым украинские игроки на рынке телеком-услуг не привыкли, заставляют их достаточно сильно нервничать. Особенную нервозность вызывают те пункты, которые уж слишком напоминают «российский опыт».
Читайте также:
Украина запретила Яндекс, MailRu, ВК, ОК и множество других российских сервисов
?
Порошенко пообещал ещё сократить долю российских сайтов в UAнете
?
Украинские власти начинают борьбу с VPN
?
Верховная Рада может принять существенно ограничивающие свободу слова законы
?
Порошенко утвердил новую доктрину информационной безопасности Украины с упором на «российскую угрозу»
Главное за неделю в области права.
23 декабря 2022 года Минюст включил Роскомсвободу в реестр незарегистрированных общественных объединений, выполняющих функции иностранного агента. Мы не согласны с этим решением и обжалуем его в суде.