Україна знаходиться на початку формування регуляторного середовища у сфері кібербезпеки. Дуже важливо саме зараз використовувати всі можливості, для того, щоб створити всі необхідні умови для ефективного регулювання.
На сьогодні, першим та єдиним законодавчим актом є Закон України "Про основні засади забезпечення кібербезпеки України".
Слід зазначити, що даний закон, по суті, буде задавати тон для нормотворчості в короткостроковій перспективі, передбачає "народження" ряду інших нормативно-правових актів, які й зіграють ключову роль у створенні екосистеми кібербезпеки в Україні.
Нижче спробуємо описати існуючі процеси і очікування розвитку системи права для сфери кібербезпеки в Україні.
Які нормативно-правові документи очікуються
Для того, щоб система кібербезпеки мінімально почала працювати, передбачається прийняття таких нормативних документів:
- Порядок формування переліку об'єктів критичної інфраструктури;
- Порядок формування переліку об'єктів критичної інформаційної інфраструктури;
- Вимоги до кіберзахисту об'єктів критичної інфраструктури і оцінки кіберзагроз;
- Порядок аудіювання інформаційної безпеки.
Проекти таких нормативно-правових актів у стадії активної підготовки, і багато які з них вже знаходяться в доступі для публічного обговорення. На додаток до цього переліку, як ми вже не раз відзначали, є вкрай доцільним підготовка пакету про державно-приватне партнерство в сфері кібербезпеки. З перерахованих вище проектів, відповідальні державні органи ставлять в основу забезпечення кібербезпеки урядовий підхід.
Україна повинна вийти за рамки такого підходу і зробити акценти на державно-приватне партнерство. У такому партнерстві мають бути задіяні не тільки об'єкти критичної інфраструктури, але й максимально необхідна кількість суб'єктів приватного права, спеціалізацією яких є кібербезпека. Необхідно визнати, що існуюча модель нормативно-правового поля з питань державно-приватного партнерства не найкращим чином підходить для реалізації масштабного, різноманітного і ефективного партнерства між державою і приватним сектором. У зв'язку з цим ми є прихильниками спеціального законодавства для цих цілей. Однак, нам досі невідомо жодної ініціативи з боку держави щодо даного питання.
Визначення переліку об'єктів критичної інфраструктури
Можуть бути різні моделі формування подібного переліку. Разом з тим, ключовими для формування переліку об'єктів критичної інфраструктури будуть критерії ідентифікації об'єктів і/або операторів критичної інфраструктури, критерії значимості наслідків "руйнівного ефекту", категорії об'єктів критичної інфраструктури (або рівні забезпечення кіберзахисту).
Наприклад, відповідно до Директиви ЄС № 1148 від 06.07.2016 року, критеріями верхнього рівня для ідентифікації операторів критичної інфраструктури встановлено такі:
a) суб'єкт надає сервіси, які є істотно важливим для підтримки критичних соціальних і/або економічних активностей;
b) забезпечення таких сервісів залежить від мережі або інформаційних систем; і
c) інцидент може мати істотний руйнівний вплив на надання цих послуг.
Також, Директивою встановлені міжсекторальні фактори, які щонайменше повинні враховуватися для визначення значущості "руйнівного ефекту":
a) кількість користувачів, які залежать від сервісу, що надається суб'єктом;
b) залежність інших секторів від сервісу, що надається суб'єктом;
c) вплив, який інциденти будуть мати, з точки зору ступеня і тривалості на економічну, соціальну діяльність або громадську безпеку;
d) ринкова частка такого суб'єкта;
e) територіальне поширення в результаті впливу інциденту;
f) значимість суб'єкта для підтримки достатнього рівня сервісу, беручи до уваги альтернативність для забезпечення такого сервісу.
Важливим в цьому процесі буде сама процедура визначення об'єктів/суб'єктів за відповідними критеріями. Як ми допускаємо, Україна також може піти шляхом визначення міжсекторальних критеріїв (загальних для всіх) та спеціальних секторальних (галузевих). Одним з відкритих питань залишається також розподіл зон відповідальності формування секторальних критеріїв між державними органами, а також зон відповідальності між держорганами і приватним сектором за підготовку відповідної інформації щодо критичної інфраструктури.
Серед проектів, над якими зараз працюють відповідальні органи, в цілому простежується подібна логіка. Але в силу деякої національної специфіки, можна побачити появу "не європейських" категорій загроз, таких як "імідж держави", "вплив на систему управління державою" або "вплив на політичну ситуацію в Україні". Такі категорії, можливо, ще викличуть не одну хвилю дискусій.
Загальні вимоги до кіберзахисту
Як уже зазначалося вище, передбачається, що одним із нормативно-правових документів в системі права щодо забезпечення кібербезпеки, будуть затверджені урядом "Загальні вимоги до кіберзахисту об'єктів критичної інфраструктури".
Прогнозуємо, що ініціатори такого проекту врахують існуючі міжнародні стандарти, на підставі яких здійснюється оцінка ризиків загроз. Крім того, вкрай небажаним, і можливо, шкідливим, стане, якщо держава піде шляхом, коли для впровадження відповідних вимог щодо кіберзахисту, необхідно буде здійснювати затвердження проекту технічних умов в державній інституції. Другим негативним сценарієм в даному процесі може стати відсилання до процедур для сертифікації КСЗІ.
Аудит інформаційної безпеки
Проект порядку проведення аудиту інформаційної безпеки також можливо знайти в публічному доступі. Сам порядок містить порядок сертифікації осіб, які матимуть право на аудіювання, порядок видачі свідоцтв на право проведення аудиту, і власне, сам порядок проведення аудиту. Порядок вкрай "сирий", над яким хотілося б добряче попрацювати.
Серед "особливостей" цього проекту відразу впадає в очі наступне:
- дивний підхід, при якому пропонується поширити на аудиторів з ІБ сферу впливу Аудиторської палати України і поширення стандартів аудиту;
- відсутність в проекті згадок про застосування міжнародних стандартів або їх імплементація. Такий підхід вже не зовсім вписується принципи, які закладені в Законі "Про основні засади забезпечення кібербезпеки України".
В якості підсумку, можна зазначити, що Україні ще слід багато попрацювати для створення хоча б мінімального "пакету" нормативних актів, аби запустити системний механізм кіберзахисту. На жаль, ми не бачимо активного обговорення з боку приватного сектору. В будь-якому випадку, фахівцям з кібербезпеки потрібно вже зараз долучатись як мінімум до обговорення, а краще – до надання пропозицій зі створення архітектури права в цій сфері.
