Верховная Рада хочет расширить полномочия Госспецсвязи. Минобороны и НАПК предупреждают о рисках
В Верховной Раде Украины подготовили к рассмотрению во втором чтении законопроект №8087 о киберзащите государственных информационных ресурсов и объектов критической информационной инфраструктуры, что следует из карточки проекта на сайте парламента.
Законопроект "О внесении изменений в некоторые законы Украины относительно неотложных мер усиления способностей по киберзащите государственных информационных ресурсов и объектов критической информационной инфраструктуры" был зарегистрирован в сентябре 2022 года и прошел первое чтение в январе. Законодатели завершили работу над поправками, профильный комитет рекомендовал принять закон во втором чтении и в целом.
После начала полномасштабного вторжения количество угроз национальной безопасности в киберпространстве постоянно растет, отметили авторы законопроекта. За год Украина испытала более 3000 DDoS-атак, "постоянно распространяется вредное программное обеспечение, осуществляются фишинговые рассылки", говорится в пояснительной записке.
Чтобы справиться с этими угрозами, депутаты решили значительно расширить полномочия Государственной службы специальной связи и защиты информации (Госспецсвязь) и возложить на нее обязанности по контролю за соблюдением требований законодательства в сфере технической защиты информации и киберзащиты, по стандартизации, созданию национальной системы реагирования на инциденты кибербезопасности, кибератаки, а также национальной системы обмена информацией об инцидентах кибербезопасности и другие. Таким образом законодатель дает Госспецсвязи значительные полномочия для доступа к информационным системам украинских предприятий и организаций – к серверам, оборудованию и информации компаний.
Национальное агентство противодействия коррупции (НАПК) опасается, что такое расширение полномочий может способствовать злоупотреблениям и коррупции. В антикоррупционной экспертизе, подписанной главой НАПК Александром Новиковым, указывается, что проект закона нуждается в "существенной доработке". Среди факторов риска эксперты отметили широкие возможности для Госспецсвязи действовать по собственному усмотрению в области технической защиты информации и киберзащиты, поскольку закон не содержит ясного определения оснований и ситуаций, в которых могут задействоваться сотрудники национальной системы кибербезопасности.
Еще одним фактором риска, по мнению НАПК, является нечеткая регламентация прав. В документе отсутствует ясное определение процедуры предоставления разрешения на проведение тестирования и получение доступа к информационным, электронным коммуникационным и информационно-коммуникационным системам, а также критической и информационной инфраструктуре. Также неясно, кто именно, кроме сотрудников основных субъектов обеспечения кибербезопасности Украины, получит полномочия для реализации специальных мероприятий.
Проект закона дает Госспецсвязи право назначать "офицера по киберзащите" в органах государственной власти и на предприятиях критической инфраструктуры, устанавливать их функции и полномочия. В НАПК считают, что предоставление полномочий назначать таких специалистов и одновременно согласовывать такие назначения, предусмотренные в законопроекте, создают условия для коррупционных злоупотреблений. Поэтому НАПК рекомендовало авторам доработать законопроект перед рассмотрением во втором чтении.
Замечания к законопроекту №8087 высказали в Министерстве обороны Украины. 28 апреля начальник Генерального штаба Вооруженных сил Украины Сергей Шаптала направил в Верховную Раду письмо, в котором обратил внимание на недоработки документа.
В частности, в документе, который находится в распоряжении редакции, Шаптала отметил, что законопроект "ограничивает возможности подразделений ВСУ в защите информации" и "внедрении технологических решений по защите информации в интересах обороны". Поскольку Госспецсвязи получит одновременно полномочия по государственному контролю в сфере криптографической, технической защиты информации и киберзащиты и по определению стандартов, то возникают риски, связанные с сочетанием в одном органе таких функций.
В МОУ считают, что законодатель необоснованно поставил в один ряд требования по киберзащите гражданских и военных объектов.
"Для использования в информационно-коммуникационных системах разрешены только те программные и аппаратные средства защиты информации и программное обеспечение, которые отвечают требованиям Госспецсвязи и имеют положительное экспертное заключение по результатам государственной экспертизы в порядке, установленном Госспецсвязи, что делает невозможным быстрое внедрение систем защиты информации с учетом особых (специальных) условий эксплуатации, в которых ценность информации зависит существенно от временных показателей (обмен информацией в ходе ведения боя) и защищенных средств засекреченной связи, уже имеющих соответствующие сертификаты стран ЕС. Положения законопроекта ставят в один ряд требования к субъектам сферы обороны и гражданским ведомствам, без учета особенностей функционирования Вооруженных сил Украины. Вместе с тем для сферы обороны критически важна самостоятельность в вопросах контроля технической защиты и киберзащиты", – подчеркнул Шаптала.
Он предложил дать возможность Министерству обороны Украины самостоятельно устанавливать требования и определять порядок согласования офицеров по защите информации, а также предусмотреть право Минобороны на установление правил защиты информации и обращения с информацией в сфере обороны.