Коли реєстри знову хакнуть, про це вже не дізнаємося — експерт про законопроєкт № 11290

Про це заявив фахівець із кібербезпеки Костянтин Корсун.

«Згідно вже прийнятого за основу законопроекту 11290, „інформація про інцидент кібербезпеки щодо електронних систем об’єктів критичної інформаційної інфраструктури є інформацією з обмеженим доступом“. https://cutt.ly/ae2p7V1N. Тож проблема кібербезпеки вирішена: ми просто забороняємо повідомляти про голи у наші ворота. Фух, нарешті перемога. Навіщо вирішувати проблему, якщо можна її просто засекретити? Геніально. Тепер навіть сам факт інциденту заборонено розголошувати. А якщо хакнули „суб'єкт сектору безпеки та оборони“ — то інформація про це тепер взагалі буде державною таємницею. До якою тепер віднесено»…стан, заходи і порядок здійснення кібероборони, забезпечення кібербезпеки". А зламаний ресурс — це і є поточний «стан кібербезпеки. Тобто якщо гроші на кібербезпеку були виділені, але кудись закотилися — прутня тобі, а не інформації.», — каже К. Корсун.

За його словами, якщо/коли рашн-хакерс вчергове хакнуть поштові сервери МВС — це вже державна таємниця і видавати її за журналістськими запитами ніяк не можна.

«І що характерно, народні обранці називають своє голосування за законопроєкт 11290 — потужною реакцією на кібератаки проти реєстрів Мінюсту. Для мене абсолютно ясно, що ніхто з проголосувавших не читав шо там написано — крім хитрого автора. А якщо хтось і глянув — не мав клепки зрозуміти. Скажу по секрету: навіть мені було непросто продертися через 38 сторінок старанно заплутаної казуїстики. Але я ж всього лише експерт з кібербезпеки з юридичною освітою, куди мені до інтелектуальної величі членів парламенту.

У самому кінці законопроекту тихенько втиснута норма, яка дозволяє представникам «об'єднаної групи» — а це РНБО, Держспецзв’язку, Нацполіція та СБУ — «безперешкодний доступ до інформаційно-комунікаційних та технологічних систем військових формувань». Звісно, «з метою локалізації кібератак і інцидентів кібербезпеки, наслідки яких можуть призвести чи призвели до кризової ситуації».

Ця ж норма була у законопроєкті 8087, який ми усі разом тричі відбили. Цього ж разу спроба стала вдалою завдяки зміні тактики: непомітними абзацами, ретельно захованими серед величезної купи законодавчого непотрібу", — каже К. Корсун.

Також за його словами, у законопроєкті 11290 знайшлося місце і веселощам.

«Так, Міністерство Імені Федорова тепер буде відповідальне за „безпечний Інтернет“ в Україні, зокрема для дітей. Цитата: „…забезпечує формування та реалізацію державної політики у сфері безпечного користування Інтернетом та цифровими технологіями для захисту користувачів, у тому числі дітей, у кіберпросторі“. Тепер усім зрозуміло кому писати скарги на усі шахрайства в Інтернеті?», — зазначає К. Корсун.

І до менш важливих нововведень: до переліку «основних суб’єктів національної системи кібербезпеки» додано МЗС. І тепер разом з НКЦК РНБО їх стало 12.

«Дванадцять няньок — і жодного відповідального, класно ж? Просто раніше їх було 11, хоча тоді теж ніхто ні за що не ніс відповідальності. А ось тепер, з 12 заживемо, еге ж?

До речі, ще один прикол на цю ж тему. Один і той же законопроєкт 11290 нарізає дуже схожі завдання «координації» з питань кіберзахисту двом різним організаціям: Держспецзв’язку та РНБО", — підкреслює К. Корсун.

Ось, порівняйте.

Це завдання Держспецзв’язку:

«111) Координація діяльності об’єктів критичної інфраструктури з питань кіберзахисту у разі введення надзвичайного стану або воєнного стану;

110−112) Забезпечення функціонування національних систем реагування та обміну інформацією стосовно інцидентів кібербезпеки, кібератак, кіберзагроз."

А це — завдання РНБО: «здійснює координацію суб’єктів національної системи реагування, зокрема під час функціонування національної системи обміну інформацією».

За словесними хитросплетіннями приховано бажання внести хаос та залишити систему загальної безвідповідальності — щоб у випадку серйозного інциденту кожен орган зміг перекинути провину на інший. Маючи на це законодавчу основу.

Отже, резюме: наші законодавці, у якості відповіді на росіянські кібератаки проголосували за а) засекречення інформації про кіберінциденти; б) дозвіл силовикам втручатися у військові мережі та в) посилення хаосу у і без того слабкому та протирічному кібер-законодавстві.

Я перепрошую: а це точно про «вивчення уроків» та «врахування помилок»?

Тому мені здається риторичним питання «чи слід очікувати наступного гучного інциденту» — як було з було з реєстрами, Медком, Прикарпаттяобленерго, Дією чи Київстаром.

Допоки кібербезпекою країни займаються агресивні смарагдові невігласи — потік кіберінцидентів залишатиметься стабільним, до ворожки не ходи.