Голові Державної служби спеціального
зв’язку та захисту інформації України
Євдоченку Л.О.
Копія: Голові Державної регуляторної
служби України
Ляпіній К.М.
Вих. № 160/1-2
від 18 вересня 2017 року
Щодо проекту постанови КМУ «Про
реалізацію і моніторинг ефективності
персональних спеціальних
економічних та інших обмежувальних заходів
(санкцій)»
Шановний Леоніде Олександровичу!
Інтернет Асоціація України (далі - ІнАУ), яка об'єднує понад 190 підприємств сфери інформаційно-комунікаційних технологій України, засвідчує Вам свою повагу та звертається з наступним.
Адміністрацією Державної служби спеціального зв’язку та захисту інформації України розроблено та опубліковано проект постанови Кабінету Міністрів України «Про реалізацію і моніторинг ефективності персональних спеціальних економічних та інших обмежувальних заходів (санкцій)» (далі – Проект постанови).
Документ підготовлено на виконання Плану організації виконання Указу Президента України від 15.05.2017 № 133 «Про рішення Ради національної безпеки і оборони України від 28 квітня 2017 року «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)» (далі – Указу Президента).
В порядку громадського обговорення направляємо пропозиції та зауваження ІнАУ до Проекту постанови.
1. Згідно Аналізу регуляторного впливу до Проекту постанови, пропонований Проектом постанови шлях виконання Указу Президента не передбачає витрат суб’єктів малого підприємництва, позаяк на суб’єктів малого підприємництва не розповсюджується дія постанови. Разом з тим, Аналіз регуляторного впливу передбачає витрати 15 суб’єктів господарювання, що підпадають під дію регулювання (5 великих та 10 середніх), а саме витрати, пов’язані з адмініструванням заходів державного нагляду і контролю (перевірок, штрафних санкцій, виконання рішень/приписів тощо) у розмірі 37,5 тис. грн. на одного такого суб’єкта господарювання протягом 5 років.
При цьому пункт 6 Проекту постанови приписує встановлення відповідних технічних засобів на телекомунікаційних мережах, що мають взаємоз’єднання з телекомунікаційними мережами інших держав.
Тобто з контексту Проекту постанови та Аналізу регуляторного впливу можна зробити висновок, що розробники Проекту постанови вважають всього 15 суб’єктів господарювання такими, що підпадають під дію регулювання, оскільки мають взаємоз’єднання з телекомунікаційними мережами інших держав.
З метою подання повних зауважень до Проекту постанови просимо надати перелік цих 15 суб’єктів господарювання (5 великих та 10 середніх) та критерії їх відбору серед всіх суб’єктів господарювання України, телекомунікаційні мережі яких мають взаємоз’єднання з телекомунікаційними мережами інших держав.
2. Пункт 1 Проекту постанови приписує операторам, провайдерам телекомунікацій блокувати (обмежити) доступ споживачів до ресурсів, зазначених в додатку 2 до рішення РНБО України від 28 квітня 2017 р. «Про застосування персональних спеціальних економічних та інших обмежувальних заходів (санкцій)», уведеного в дію Указом Президента, за доменним ім’ям (доменними іменами) та відповідною йому ІР-адресою (ІР-адресами).
Звертаємо Вашу увагу, що зазначений додаток 2 не містить ІР-адрес, а лише доменні імена відповідних санкційних ресурсів. Блокування за ІР-адресами, відповідними доменним іменам (URL), несе значні загрози кібербезпеці, адже створює умови для атак з боку власників доменів (тобто представників РФ) на критичну інфраструктуру українського Інтернету шляхом зміни IP-адреси в DNS на адресу жертви. Такі випадки вже мали місце в РФ, поки що стосовно ресурсів всередині самої РФ. Тобто блокування за IP-адресою – це свідома міна уповільненої дії на користь країни-агресора, яка обов'язково спрацює в потрібний їй момент.
3. Пункт 7 Проекту постанови зобов’язує операторів, провайдерів телекомунікацій, які надають послуги доступу до Інтернет, надати уповноваженим представникам Державної служби спеціального зв’язку та захисту інформації та Служби безпеки доступ для встановлення відповідно до технічних вимог технічних засобів на власних та/або орендованих телекомунікаційних мережах та забезпечити їх зберігання.
Звертаємо Вашу увагу, що ця норма не узгоджується з п. 4 ст. 39 Закону України «Про телекомунікації», який зобов’язує операторів телекомунікацій встановлювати на своїх телекомунікаційних мережах технічні засоби, необхідні для здійснення уповноваженими органами виключно оперативно-розшукових заходів.
З огляду на значну загрозу кібернетичній безпеці України, яку несуть закладені в Проекті постанови принципи блокування, невідповідність Проекту постанови діючому законодавству України, а також, оскільки Проект постанови не містить критеріїв щодо визначення суб’єктів господарювання, на які має поширюватись дія постанови, просимо Вас не узгоджувати Проект постанови та не подавати документ на розгляд Кабінету Міністрів України без врахування наведених зауважень і пропозицій.
З повагою,
Голова Правління
Інтернет Асоціації України О.Федієнко