У Верховній Раді провели комітетські слухання з питань кібербезпеки
… кібербезпека та кіберзахист або що замовчують в державних органах
23 грудня 2019 року Комітет ВРУ з питань цифрової трансформації провів слухання на тему «Національна кібербезпека та кіберзахист України, у тому числі у сфері критичної інфраструктури».
Про «переможні гасла» представників органів влади Інформаційне управління Апарату Верховної Ради України поінформувало на сайті ВРУ.
Дивлячись та слухаючи більшість доповідачів здається, що все вже побудовано, покращено, вдосконалено, реформовано, уточнено, узагальнено…
А ось з критичними питаннями проблема. Ні не в тих, хто критикує, а в тих хто її не чує. Не чули в каденції 2014−2019, не чують і сьогодні. Навіть критичні виступи «забули» як завжди оприлюднити в новині того ж Інформаційного управління.
Керівництво усіх рівнів «важко працює», а тут хрясь, і якась критика…
І так з року в рік. Міняються державні очільники та назви органів влади, а змін у питаннях забезпечення у сферах кібербезпеки та кіберзахисту, зокрема законодавчого, фінансового, тощо, фактично немає.
Або у нас все гарно в цих питаннях, або ніхто не розуміє, що треба робити.
Минуло 2 роки з дати прийняття Закону «Про основні засади забезпечення кібербезпеки України», а законодавче забезпечення так і не змінилося.
Уряд прийняв дві постанови, які так і не запрацювали, і сьогодні вже є проект, яким одна з них буде скасована.
З десяток інших нормативно правових актів, що розробляє Держспецзв’язку, ходять по колу тривалий час і не знаходять підтримки, як у органів влади так і у громадськості та суб’єктів господарювання.
З 2014 року відсутність цілого пласту законодавчого забезпечення, штучно доповнюється Указами. В більшості випадків політичні рішення приймаються не маючи відповідного технічного та юридичного обґрунтування, тільки політична доцільність, тому їх виконання дуже низьке, а як його виконати якщо шляхи суперечать і Конституції і законодавству як України так ї ЄС.
Прийнята свого часу поспіхом Стратегія потребує оновлення. В цьому думки громадськості співпали з думками керівництва РНБО. Але на цьому співпадіння завершуються. Бо навіть в тому ж Держспецзв’язку на цей час відсутня інформаціїя чи є робоча група з розробки Стратегії, хто входить до її складу і які завдання і механізми закладатимуться в документ? Який підхід безпеки закладатиметься — КСЗІ, стандартів ISO/IEC 27001, Директиви NIS або ще щось?
Ну і щось треба робити з планами виконання Стратегії, чому вони не є пріоритетом Кабміну, невідомо. Але ж відсутність фінансування на виконання, затягування затвердження по півроку, фактична відсутність на 2019 рік, говорить само за себе.
За попередню владу національна поліція двічі готувала проект закону щодо імплементації Конвенції про кіберзлочинність. Проте ці проекти, більш нагадували намагання на зміну та підрив демократичних принципів у державі, спробу обмежити свободу слова та права людини під приводом захисту національної безпеки, політичне намагання посилити контроль та цензуру в Інтернеті, зокрема через запровадження позасудового блокування Інтернет-ресурсів, цензуру та тотальний контроль.
Через подібні намагання в державі також досі не прийнято закону Про перехоплення інформації, що не дає можливості впровадити рекомендації Резолюції Ради Європи ЕС СОМ 96/С329/01 «Про законне перехоплення телекомунікацій» і ENFOPOL 55 «Про оперативні потреби правоохоронних органів стосовно телекомунікаційних мереж загального користування та послуг зв’язку».
До того ж розробники проектів так і не змогли усвідомити, що в Конституції є 56 стаття, яка визначає право на відшкодування за рахунок держави витрат (шкоди тощо), завданої суб’єктам господарювання діями органів влади їх посадових і службових осіб при здійсненні ними своїх повноважень, і тому потрібно визначати, хто і яким чином має здійснювати компенсування витрат оператору телекомунікацій.
Трирічна робота з підготовки проекту закону про захист критичної інфраструктури також закінчилися ні чим.
Проблеми ті ж. Спроби надати СБУ безмежні повноваження, непритаманні їй, покладання на суб’єктів господарювання безпідставних додаткових фінансових зобов’язань стали гальмом при проходженні законопроекту.
Кібертероризм — це серйозна загроза людству, причому ступінь цієї загрози в силу своєї новизни, не до кінця ще усвідомлена і вивчена.
Енергосистеми, критична інфраструктура, банківська система, доступ до інформації, вплив на виборчу систему, все це є ціллю кібертерористів.
Протидія цій новій і небезпечній формі тероризму не може бути результативним без серйозної реформи правоохоронних органів і спеціальних служб. Неготовність правоохоронних органів адекватно протистояти у боротьбі з цими явищами переростає в серйозну державну і міжнародну проблему.
Що ми маємо?
Рамочний закон про кібербезпеку розподілив повноваження, встановив завдання, по суті з другого півріччя 2018 року повинні були прийняті і вступити в силу підзаконні акти. Але їх немає, і перспектива в цьому напрямку дуже примарна. При цьому про кібертероризм лише дві фрази: визначення і завдання СБУ.
Чи стане недавно створені Ситуаційний центр СБУ та Національний координаційний центр кібербезпеки РНБО осередком забезпечення боротьби з кібертероризмом, досі не відомо.
Закон «Про національну безпеку України», який по факту легалізує Стратегії національної безпеки України (прийнята у 2015), воєнної безпеки України, громадської безпеки та цивільного захисту України, розвитку оборонно-промислового комплексу України, кібербезпеки України (прийнята у 2016), Національну розвідувальну програму, які стають документами довгострокового планування, жодним словом не говорить про кібертероризм! Як і Концепція боротьби з тероризмом в Україні, що прийнята Указом від 5 березня 2019 року.
При цьому, тема дискусії якого балансу між метою боротьби з кібертероризмом і захистом прав людини потрібно досягти державі, поки навіть не розпочалася.
А поки можновладці думають як боротися з кібертероризмом, спритні громадяни продовжують руйнувати інфраструктуру телекомунікацій та мережі управління. А запобіжники досі не прийняті депутатами.
Всі питання з префіксом кібер — не можуть ефективно існувати без системи оперативно-технічного управління телекомунікаційними мережами в інтересах оборони.
Проте, спроба побудувати її за старою радянською системою, коли все було на базі державного підприємства, фактично безкоштовно, хибна справа сьогодні.
Вже давно потребує перегляд як постанови КМУ, так і питань діяльності центру в мирний час, в умовах надзвичайних ситуації, а також в інтересах оборони, коли управління переходить до Генерального штабу.
А тим часом у державі шостий рік йде невизнана війна, агресор не збирається віддавати окупований Крим та частину Донбасу. Україна продовжує бути полігоном, на якому випробовуються всілякі технології та механізми втручання в життєзабезпечення держави. А державні «мужі» думають — можливо пронесе…
Скелет законодавчого забезпечення кібер- питань починає повільно обростати м’язами, але поки продовжує виглядає як «людина невидимка», можливо щось і приховано, чого ми не знаємо? Чи є зацікавленість в державні змінити ситуацію?
По тому як державні очільники та керівники відвідують Форуми та конференції, що проводять громадські організації, цього не скажеш. Приїжджають представники міжнародних організацій, експерти Ради Європи, ООН, а наші свого цураються.
З таким підходом важко говорити про якесь партнерство. А хочеться що б державні рішення були виважені і корисні для держави, суспільства, бізнесу. І що б проекти законів, перед тім, як потрапити до парламенту, проходили експертизу, а не відкликалися через норми та положення, які не сприймаються суспільством, або в загалі не відповідають Конституції та законодавству.
Доречи, анонсована участь народних депутатів з комітетів з питань національної безпеки та оборони, правоохоронної діяльності, гуманітарної та інформаційної політики на слуханнях так і стала лише анонсом. Це ж не слухання з питань землі, там можна поштовхатися, а тут що?
Відповідь на запитання: коли зможе Україна захистити себе, як маленька кібер- Естонія, залишилась за лаштунками.
Переглянути повну версію запису слухань можна за посиланням, моя доповідь на цьому відео з 1:18:40.