Лист №32 від 28.02.2017 Президенту України щодо Рішення РНБО від 29.12.2016 "Про загрози кібербезпеці держави та невідкладні заходи їх нейтралізації"

28.02.2017
Вихідні реквізити: 
№32
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
Президент України

 

Президенту України

ПОРОШЕНКУ П.О.

 

 

Копія: Прем’єр-міністру України

ГРОЙСМАНУ В.Б.

 

Голові Адміністрації Державної служби спеціального зв’язку та захисту інформації України

Євдоченку Л.О.

Вих. №32

від «28» лютого 2017 року

 

Шановний Петре Олексійовичу!

 

З 16 лютого 2017 року Указом Президента України від 13.02.2017 № 32/2017 введено в дію рішення Ради національної безпеки і оборони України від 29.12.2016 «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації» (далі – Рішення РНБО).

Здійснивши аналіз положень Рішення РНБО, Інтернет Асоціація України (далі – ІнАУ) надає пропозиції задля їх врахування при підготовці законодавчих та нормативно-правових актів та, одночасно, звертає увагу на окремі ризики та негативні наслідки, які можуть мати місце для діяльності операторів, провайдерів телекомунікацій, розвитку телекомунікаційних послуг.

 

1. Відповідно до підпункту 1 пункту 2 Рішення РНБО, Кабінет Міністрів України зобов’язаний невідкладно забезпечити підготовку законодавчих пропозицій, зокрема, стосовно запровадження відповідальності за порушення вимог щодо кіберзахисту відповідних об’єктів та внести в установленому порядку на розгляд Верховної Ради України відповідний законопроект.

Оскільки, відповідно до визначення, даного в пункті 2 Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави, затвердженого постановою Кабінету Міністрів України від 23.08.2016 № 563, об’єкти критичної інфраструктури це підприємства та установи (незалежно від форми власності) таких галузей, як енергетика, хімічна промисловість, транспорт, банки та фінанси, інформаційні технології та телекомунікації (електронні комунікації), продовольство, охорона здоров’я, комунальне господарство, що є стратегічно важливими для функціонування економіки і безпеки держави, суспільства та населення, ІнАУ вважає, що такий підхід при запровадженні відповідальності за порушення вимог щодо кіберзахисту відповідних об’єктів призведе до надмірного та необґрунтованого навантаження на малі та середні підприємства, значну частину з яких, ймовірно, немає ніяких підстав відносити до «об’єктів інфраструктури держави, які є найбільш важливими для економіки та промисловості, функціонування суспільства та безпеки населення і виведення з ладу або руйнування яких може мати вплив на національну безпеку і оборону, природне середовище, призвести до значних фінансових збитків та людських жертв» у розумінні терміну «критична інфраструктура».

Пропозиція: Кабінет Міністрів України при підготовці законодавчих пропозицій для запровадження відповідальності за порушення вимог щодо кіберзахисту у сфері інформаційних технологій та телекомунікацій (електронні комунікації) в обов’язковому порядку повинен чітко визначити: 1) коло суб’єктів, які є власниками (розпорядниками) об’єктів критичної інформаційної інфраструктури, з огляду їх вагомості, зокрема, для національної безпеки і оборони держави, та 2) що саме визначатиметься предметом кіберзахисту – суб’єкти господарювання чи інформаційно-телекомунікаційні системи та телекомунікації (електронні комунікації).

2. Відповідно до підпункту 2 пункту 2 Рішення РНБО Кабінет Міністрів України зобов’язаний забезпечити у місячний строк виконання завдання, передбаченого пунктом 2 постанови Кабінету Міністрів України від 23 серпня 2016 року № 563 «Про затвердження Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави», та вжити в установленому порядку заходів щодо притягнення до відповідальності осіб, які не забезпечили виконання такого завдання у визначений зазначеною постановою строк.

Проте, зобов’язання щодо подання міністерствами, іншими центральними органами виконавчої влади разом із Службою безпеки України, іншими заінтересованими державними органами до Адміністрації Державної служби спеціального зв’язку та захисту інформації пропозицій до переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави практично не може бути виконано за підстав відсутності у пункті 8 Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави, переліку критеріїв щодо визначення оцінки негативних наслідків, до яких може призвести кібератака на інформаційно-телекомунікаційну систему.

Пропозиція: пункт 8 Порядку формування переліку інформаційно-телекомунікаційних систем об’єктів критичної інфраструктури держави доповнити переліком критеріїв щодо визначення оцінки негативних наслідків, до яких може призвести кібератака на інформаційно-телекомунікаційну систему.

 

3. Відповідно до підпункту 3 пункту 2 Рішення РНБО Кабінету Міністрів України доручено у тримісячний строк забезпечити підготовку законодавчих пропозицій щодо посилення відповідальності за невиконання вимог законодавства стосовно захисту інформації в інформаційно-телекомунікаційних системах та законних вимог посадових осіб органів Державної служби спеціального зв'язку та захисту інформації України, а також щодо запровадження відповідальності за невиконання законних вимог посадових осіб Служби безпеки України та внести в установленому порядку на розгляд Верховної Ради України відповідний законопроект.

Проте, з огляду на таке формулювання вказівки РНБО, існує загроза встановлення дискреційних повноважень зазначених державних органів.

Пропозиція: у розробленому законопроекті визначити виключний та конкретний за змістом перелік вимог посадових осіб Державної служби спеціального зв’язку та захисту інформації України та Служби безпеки України, а також встановити чіткі правові механізми пред’явлення таких вимог з визначенням уповноважених на це посадових осіб зазначених державних органів, передбачити юридичну можливість оскарження їх дій в адміністративному та судовому порядку.

 

4. Відповідно до підпункту 3 пункту 2 Рішення РНБО Кабінет Міністрів України зобов’язаний у тримісячний строк внести в установленому порядку на розгляд Верховної Ради України законопроекти щодо імплементації положень Конвенції про кіберзлочинність, ратифікованої Законом України від 7 вересня 2005 року № 2824-IV, передбачивши, зокрема:

- надання правоохоронним органам повноважень щодо внесення обов’язкових до виконання приписів власникам комп’ютерних даних (операторам та провайдерам телекомунікацій, іншим юридичним і фізичним особам) про термінове фіксування та зберігання комп’ютерних даних, необхідних для розкриття злочину, на строк до 90 днів із можливістю продовження такого строку до 3 років, а також унормування порядку внесення зазначених приписів;

- запровадження блокування (обмеження) за рішенням суду операторами та провайдерами телекомунікацій визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу).

Проте, у статті 16 Конвенції про кіберзлочинність мова йде про право компетентним органам видавати ордери на термінове збереження комп’ютерних даних протягом такого періоду, який буде необхідним для того, щоб компетентні органи мали можливість отримати дозвіл на їхнє розкриття, з максимальним терміном у 90 днів. Сторона може передбачити можливість наступного продовження терміну дії такого ордеру.

Мета ордеру, з тексту Конвенції про кіберзлочинність, отримати дозвіл на розкриття комп’ютерних даних. Тому, пропозиція РНБО щодо встановлення у законопроекті можливості «продовження строку припису до 3 років» не відповідає змісту Конвенції про кіберзлочинність. Також не відповідає змісту Конвенції про кіберзлочинність і вимога надання правоохоронним органам повноважень про термінове фіксування (взагалі чинне законодавство не визначає перелік дій оператора, провайдера телекомунікацій при «терміновому фіксуванні комп’ютерних даних»).

Запровадження блокування (обмеження) визначеного (ідентифікованого) інформаційного ресурсу (інформаційного сервісу) також не передбачено положеннями Конвенції про кіберзлочинність.

Всі сучасні технічні методи блокування інформації, навіть китайський «Золотий Щит», дуже легко обходяться шляхом налаштування стандартного програмного забезпечення ПК (VPN, TOR, Proxy тощо). Найважливішою особливістю всіх систем цензурування, що існують, є повна неспроможність заблокувати доступ тим, хто активно шукає доступу до забороненого контенту. Також всі ці механізми обходу блокування змінюють мережеві дані користувача. Для розслідування злочинів, що скоєні за допомогою телекомунікаційної мережі, це означає значні ускладнення або навіть неможливість встановити особу, яка виконала певні дії у мережі.

Єдиним напрямком, де блокування інформації виявився ефективним – це обмеження кола розповсюдження інформації серед користувачів, які користуються популярними джерелами інформації та не бажають налаштовувати програмне забезпечення для обходу блокувань, тобто вплив на широку громадську думку та електоральні переваги населення за рахунок звуження кола розповсюдження «небажаної» інформації.

Для фактичного блокування потрібно перебудувати всі мережі всіх українських операторів, а саме: замінити мережеве обладнання на таке, що підтримує функцію цензури, налаштувати відповідне програмне забезпечення. Це потребує 1-2 років часу та, за попередніми підрахунками, до $1 млрд інвестицій. Таке переобладнання змусить значну частину операторів, провайдерів телекомунікацій лишити ринок, що істотно знизить конкуренцію, призведе до значного росту цін на доступ до Інтернету та до падіння якості надання цих послуг.

Крім цього, жодна із технічних систем цензури, що існують, неспроможна забезпечити 100% блокування доступу до ресурсів, що підпадають під дію цензури. Будь-хто, хто цілеспрямовано шукає доступ до таких ресурсів, завжди отримає до них доступ. Єдине, на що придатні системи цензури – обмежити доступ до сайтів лише тим, хто не шукає цього доступу цілеспрямовано. Таким чином, єдина реальна практично досяжна мета цензури – звуження кола розповсюдження інформації. Ця мета ідеально підходить для політичної цензури, але повністю непридатна для заборони розповсюдження дитячого порно, інформації про засоби планування терактів, інформації, що порушує авторські права, гральні сервіси та інше, на що звертають увагу захисники ідеї впровадження цензури.

Впровадження технічного механізму блокування доступу до Інтернету поставить Україну до одного ряду з такими країнами, де цей механізм існує: Китаю, Ірану, Росії. Водночас країни західної цивілізації із розвиненою демократію, до яких Україна декларує прагнення, такого механізму принципово не мають, наприклад: Швеція, Фінляндія, США.

Відтак, ІнАУ схиляється до висновку, що справжні цілі впровадження Рішенням РНБО блокування інформації є суто створення політичної цензури.

 

5. Відповідно до підпункту 3 пункту 2 Рішення РНБО Кабінет Міністрів України зобов’язаний у тримісячний строк внести в установленому порядку на розгляд Верховної Ради України законопроекти щодо імплементації положень Конвенції про кіберзлочинність, ратифікованої Законом України від 7 вересня 2005 року № 2824-IV, передбачивши, зокрема, установлення вимог щодо надання операторам та провайдерам телекомунікацій на вимогу правоохоронних органів інформації, необхідної для ідентифікації постачальників послуг і маршруту, яким було передано інформацію.

Проте, зі змісту даного зобов’язання не зрозуміло, про яких постачальників послуг йде мова.

Пропозиція: визначати чіткий та вичерпний перелік (обсяг) інформації, яка може вимагатись правоохоронними органами при виконанні ними повноважень та повинна надаватись операторами та провайдерами телекомунікацій на вимогу правоохоронних органів, необхідної саме для ідентифікації постачальників послуг і маршруту, яким було передано інформацію. А також дати визначення, хто саме підпадає під визначення «постачальника послуг».

 

6. Відповідно до підпункту 4 пункту 2 Рішення РНБО Кабінет Міністрів України зобов’язаний у шестимісячний строк забезпечити створення єдиних основного та резервного захищених дата-центрів збереження інформації і відомостей державних електронних інформаційних ресурсів.

Пропозиція: організувати та здійснити громадське обговорення технічно-економічного обґрунтування створення єдиних основного та резервного захищених дата-центрів збереження інформації і відомостей державних електронних інформаційних ресурсів.

 

7. Відповідно до підпункту 7 пункту 2 Рішення РНБО Кабінет Міністрів України зобов’язаний забезпечити протягом року створення та розгортання національної телекомунікаційної мережі, а також підключення до неї інформаційно-телекомунікаційних систем органів державної влади, інших державних органів, підприємств, установ та організацій державної форми власності.

Пропозиція: організувати та здійснити громадське обговорення технічно-економічного обґрунтування створення та розгортання національної телекомунікаційної мережі.

 

Інтернет Асоціація України, до складу якої входить понад 180 суб’єктів господарювання України у сфері інформаційно-комунікаційних технологій та напрямком діяльності якої є сприяння розвитку українського сегменту глобальної мережі Інтернет та розвитку ІКТ України, закликає до виваженого підходу, який буде ґрунтуватись виключно на положеннях Конституції України та інших законодавчих актів України, при розробленні комплексу законодавчих та нормативно-правових актів, направлених на вирішення проблем у сфері забезпечення кібербезпеки, що загрожує національній безпеці держави, а також запобіганню до необґрунтованого втручання правоохоронних органів в здійсненні діяльності операторами, провайдерами телекомунікацій.

 

 

 

З повагою,

 

Голова Правління

Інтернет Асоціації України                                                                                О.Федієнко