Держспецзв’язок перетворюють на Роскомнагляд — як не наступити на російські граблі

На розгляді Верховної Ради України перебуває проект Закону України про внесення змін до деяких законів України щодо невідкладних заходів посилення спроможностей із кіберзахисту державних інформаційних ресурсів та об'єктів критичної інформаційної інфраструктури (реєстр. № 8087).

12 січня 2023 року його ухвалили за основу.

Законопроект передбачає внесення змін до низки законів України, зокрема в частині розширення повноважень Державної служби спеціального зв’язку та захисту інформації України (далі — Держспецзв’язку), функціонування національної системи обміну інформацією про інциденти кібербезпеки, кібератаки, здійснення державного контролю за станом технічного захисту інформації та кіберзахисту.

Навесні заступник глави цього відомства з питань цифрового розвитку, цифрових трансформацій і цифровізації Віктор Жора в інтерв’ю агентству «Інтерфакс-Україна» наполягав, що новація дозволяє «реалізовувати та формувати вимоги до об'єктів критичної інформаційної інфраструктури, проводити аудит захищеності цих об'єктів, отримувати підтвердження щодо того, як саме було реалізовано вимоги».

Жора нарікав, що часто керівники ігнорують наказ Держспецзв’язку і не інформують службу про інциденти чи навіть приховують їх. Законопроект запроваджує на об'єктах та в організаціях посаду офіцера (керівника) з кіберзахисту. З ним буде співпрацювати Держспецзв’язку.

Цей законопроект написали на підставі рішень, які були схвалені на засіданні РНБО після атаки 14 січня 2022 року. Утім, не всі в Україні задоволені нормами, якими буде регулюватися кіберпростір і нарікають на можливість повернення до драконівських законів «16 січня».

Держспецзв’язку надаються безпрецедентні повноваження доступу до інформаційних систем підприємств і організацій. По факту це знімає обмеження доступу до серверів, обладнання, інформації, створює можливість для корупції та концентрує всі повноваження у Держспецзв’язку (ДССЗЗІ).

Серед відомств, які вказали законодавцям на необхідність доопрацювання законпроекту, — НАЗК та Міноборони.

Претензії НАЗК

Голова Національного агентства з питань запобігання корупції Олександр НОВІКОВ, який підписав експертизу законопроекту № 8087, зазначає: він містить корупціогенні фактори та потребує суттєвого доопрацювання.

Зокрема, у висновку НАЗК йдеться про такі корупціогенні фактори:

• розширення дискреційних повноважень Державної служби спеціального зв’язку та захисту інформації (далі — ДССЗІ) під час здійснення державного контролю у сферах технічного захисту інформації та кіберзахисту;
• встановлення непрозорого способу уповноваження, надання дозволу на здійснення тестування та доступ до інформаційних, електронних комунікаційних інформаційно-комунікаційних систем, критичної інформаційної інфраструктури учасникам державного контролю у сферахтехнічного захисту інформації та кіберзахисту;
• невиправдане делегування повноважень ДССЗІ встановлювати функції, повноваження, загальні вимоги до підрозділів з кіберзахисту та їх співробітників, загальні вимоги до офіцерів з кіберзахисту, а також відповідальних осіб, які виконують завдання та функції офіцера з кіберзахисту.

У НАЗК окремо зупинилися, наприклад, на тому, що у ст. 26 законопроекту не визначено спосіб надання дозволу на тестування та доступу до інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, критичної інформаційної інфраструктури, а також спосіб їх уповноваження головою або заступником голови ДССЗІ.

Крім того, незрозуміло, які особи, крім співробітників основних суб'єктів забезпечення кібербезпеки України, уповноважуються на безпосереднє здійснення спеціальних заходів.

Застосоване формулювання «співробітники основних суб'єктів національної системи кібербезпеки України» є нечітким, адже такими представниками можуть бути як посадові (службові) особи суб'єктів національної системи кібербезпеки України, так і будь-які особи, яких суб'єкт національної системи кібербезпеки України делегував на участь у заході контролю, — зазначено у висновку НАЗК.

Серед рекомендацій НАЗК: визначити спосіб уповноваження, надання дозволу на здійснення тестування та доступ до інформаційних, електронних комунікаційних та інформаційно-комунікаційних систем, критичної інформаційної інфраструктури співробітникам основних суб'єктів забезпечення кібербезпеки України.

Зауваження Міноборони

Заступник міністра оборони України з питань цифрового розвитку, цифрових трансформацій і цифровізації Віталій Дейнега у квітні 2023 року спрямував керівництву Ради та профільного, безпекового комітету, лист із зауваженнями Міноборони.

Вони стосуються як окремих положень, так і в цілому підходів, закладених у законопроект.

У листі Дейнеги йдеться про те, що проект запроваджує інститут галузевого уповноваженого органу з авторизації, але такий орган не матиме жодних повноважень щодо встановлення порядку проведення авторизації та її особливостей, а фактично буде лише реалізувати таку процедуру.

Фактично уповноважений орган з авторизації буде залежним від положень нормативних актів Держспецзв’язку.

У Міноборони також помітили, що законодавець встановив вимоги до постачальників товарів, робіт, послуг, що забезпечують функціонування інформаційно-комунікаційних систем, а також порядок визначення замовниками та операторами критичної інфраструктури рівня ризику та відповідних до рівня ризику заходів безпеки інформації.

Вказані норми зумовлюють істотні ризики, оскільки можуть мати наслідком втручання в господарську діяльність постачальників товарів, робіт, — йдеться у листі заступника міністра оборони.

Інший ризик пов’язаний з поєднанням в одному органі функцій стандартизації та контролю. Це прямо суперечить одній з директив ЄС, а міжнародний досвід, який передбачає розподіл таких функцій.

Загалом у листі Міноборони є кілька десятків норм та вимог законопроекту, яку на думку відомства треба видозмінити чи врахувати.

Комплексна атака на медіа?

Тотальний державний контроль за медіа в Україні — не фільм жахів далекого майбутнього.

Йдеться про більший чи менший контроль за інформацією, яку можна отримати в інтернеті шляхом блокування «неугодних» ресурсів за рішенням чиновників, імена яких — нікому невідомі і котрі підзвітні лише владній вертикалі.

Наприкінці січня 2023 року Національний центр оперативно-технічного управління мережами (НЦОТУМ) при Державній службі спеціального зв’язку та захисту інформації видав розпорядження № 67/850 «Про впровадження системи фільтрації фішингових доменів». Згідно з цим документом, українські інтернет-провайдери до 2 березня 2023 року мали встановити систему блокування доступу до вебресурсів, яка кожні 15 хвилин автоматично завантажувала б на сервер провайдера перелік сайтів для автоматичного блокування.

Передбачалось, що цей перелік буде розміщуватись на окремому ресурсі, адмініструватиме його (читай — вноситиме сайти, які слід заблокувати) СSIRT-NBU — спеціальна структура Нацбанку при Центрі кіберзахисту НБУ. А власником всієї системи блокування небажаних ресурсів буде РНБО. Варто нагадати, що публічно декларованою метою створення цієї системи була саме протидія фішингу. Але навіщо потрібен такий розподіл повноважень, який стосунок РНБО має до банківської системи — у Розпорядженні не пояснили.

У документі також відсутні алгоритми оскарження рішення про відмову виключити сайт зі списку на блокування — це цілком і повністю залежить від думки СSIRT-NBU, по суті, групи людей, які блокують доступ до інтернет-ресурсу на власний розсуд.

Експерти наголошують і на збиранні даних користувачів. У коментарі «Буквам» виконавчий директор ІнАУ Володимир Куковський сказав, що після реєстрації оператора в системі фільтрації, вона автоматично отримуватиме інформацію про користувача, який намагався перейти на заблокований системою ресурс. Ці дані можуть включати, зокрема, IP-адресу та дані про клієнтський пристрій: браузер, що використовується, операційну систему тощо. Перелік не є вичерпним, і зміст Регламенту, яким регулюється робота системи, допускає збирання іншої інформації, а також її передавання іншим державним органам.

Через спротив частини учасників ринку та профільних організацій у березні запуск такої системи відтермінували на невизначений термін, а на момент публікації своєї новини «Букви» не отримали відповіді на запит щодо стану впровадження новинок.

Кібер-спільнота підготувала пропозиції, які б дозволити уникнути ризиків щодо безпеки, збирання даних користувачів та незаконного блокування ресурсів, які не є фішинговими. Але Володимир Куковський припускає, що система фільтрації вже частково запрацювала, оскільки деякі оператори добровільно зареєструвались як її учасники. РНБО ж не поспішає комунікувати з ринком та профільними організаціями.

Інша небезпека криється у законопроекті № 9250. Він фактично легалізує вже створену та частково запущену систему фільтрації.

Закон про внесення змін до Закону України «Про електронні комунікації" (щодо протидії фішингу)» запроваджує законодавче визначення поняття «фішинг». Йдеться про «неправомірні дії в мережі Інтернет, наслідком яких є або може бути виманювання персональних даних та інших даних абонентів, в тому числі реквізитів платіжних карток та паролів, ідентифікаційних номерів, номерів банківських рахунків тощо».

Тобто, запроваджується новий вид неправомірної поведінки. При цьому, законопроект не передбачає доповнення законодавства, що регулює цивільні правовідносини, Кодексу України про адміністративні правопорушення (або запровадження адмінвідповідальності самим законом, КУпАП це допускає) чи Кримінального кодексу України нормами, що визначають обсяг відповідальності за цей вид неправомірної поведінки.

«Букви» також пишуть, що законопроект № 9250 пропонує боротись із крадіжками, конфісковуючи вкрадене майно в дохід держави, а не караючи злодіїв. Якщо продовжити цю аналогію, то він дозволяє конфіскувати у вас будь-яке майно сьогодні, бо, теоретично, його у вас можуть вкрасти злочинці завтра.