Лист № 06 від 22.01.2019 Мінекономрозвитку щодо не підтримання проекту постанови КМУ «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури»

22.01.2019
Вихідні реквізити: 
Вих. № 06 від 22.01.2019
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
Міністерство економічного розвитку і торгівлі України

Першому віце-прем’єр-міністру України – Міністру економічного розвитку і торгівлі України,

Голові Урядового комітету з питань економічної, фінансової та правової політики,

розвитку паливно-енергетичного комплексу, інфраструктури,

оборонної та правоохоронної діяльності

Кубіву С.І.

 

Копія:

Державна служба спеціального зв’язку та захисту інформації України

вул. Солом’янська, 13, м. Київ, 03110

 

Антимонопольний комітет України

вул. Митрополита Василя

Липківського, 45, м. Київ, 03035

 

Національна комісія, що здійснює державне регулювання

у сфері зв’язку та інформатизації

вул. Хрещатик, 22, м. Київ, 01001

Вих. № 06

від 22 січня 2019 року

 

Щодо не підтримання проекту

постанови Кабінету Міністрів України

 

 

Шановний Степане Івановичу!

Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 200 підприємств сфери ІКТ, серед яких, в переважній більшості, оператори та провайдери телекомунікацій, засвідчує Вам свою повагу та звертається з приводу наступного.

Листом від 29.11.2018 № 202 ІнАУ вже зверталась до Вас з пропозицією на Урядовому комітеті розглянути питання про вилучення пункту 10 з тексту проекту Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, які є додатком до проекту постанови Кабінету Міністрів України «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури» (далі – проект постанови КМУ), розробленої Адміністрацією Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) та повернути розробнику на доопрацювання проект постанови КМУ.

09 січня 2019 року ІнАУ отримано від ДССЗЗІ лист від 27.12.2018 № 05/02-4125, у якому надано роз’яснення щодо наведених ІнАУ у листі від 29.11.2018 № 202 зауважень до проекту постанови КМУ (зі змістом листа ДССЗЗІ від 27.12.2018 № 05/02-4125 можна ознайомитись на сайті ІнАУ https://inau.ua/sites/default/files/file/1901/vhidnyy_no_07_vid_09.01.20...).

Уважно ознайомившись із роз’ясненнями, наданими ДССЗЗІ у листі від 27.12.2018 № 05/02-4125 та в доповнення до раніше наданих зауважень до проекту постанови КМУ у листі ІнАУ від 29.11.2018 № 202, вважаємо за необхідне довести до Вашої уваги наступні заперечення та пояснення.

1. ДССЗЗІ у листі від 27.12.2018 № 05/02-4125 вказує, що «зазначені у листі норми законодавства не стосуються предмету правового регулювання проекту постанови Кабінету Міністрів України «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури». Більш того, у листі немає конкретних посилань на абзаци, пункти чи статті наведених законодавчих чи нормативно-правових актів, що не дозволяє аргументовано прийняти або відхилити зауваження ІнАУ».

ІнАУ у листі від 29.11.2018 № 202, посилаючись в цілому на нормативно-правові акти України та ЄС, зокрема: закони України «Про телекомунікації», «Про захист інформації в інформаційно-телекомунікаційних системах», Правила здійснення діяльності у сфері телекомунікацій (діяльність з надання послуг доступу до Інтернет), Правила надання та отримання телекомунікаційних послуг, Положення про державну експертизу в сфері технічного захисту інформації, Директиви ЄС №2000/31/ЄС, №2002/19ЄС, №2002/21/ЄС, №2009/140/ЄС, №2016/1148, які визначені Угодою про асоціацію, вказує про те, що ці нормативно-правові акти не встановлюють запропонованого проектом постанови КМУ додаткового регулювання діяльності операторів, провайдерів телекомунікацій. А оператори, провайдери телекомунікацій не є суб’єктами, та їх обладнання не є об’єктами державної експертизи у сфері технічного та/або криптографічного захисту інформації.

Тобто, якщо в нормативно-правових актах, які мають вищу юридичну силу, та в спеціальних нормативно-правових актах, які регулюють діяльність операторів, провайдерів телекомунікацій, не встановлені особливі вимоги при наданні послуг доступу до Інтернету органам державної влади, то це не може визначатись у Загальних вимогах з кіберзахисту об’єктів критичної інфраструктури.

2. У листі від 27.12.2018 № 05/02-4125 ДССЗЗІ стверджує, що «проект Постанови не регулює питання сфери телекомунікацій, а визначає умови підключення інформаційно-телекомунікаційних систем органів виконавчої влади, інших державних органів,  підприємств, установ та організацій державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, до мережі Інтернет. Задля забезпечення захисту інформації та кіберзахисту інформаційно-телекомунікаційних систем проектом Постанови встановлюється вимога державним органам отримувати доступ до мережі Інтернет через Систему захищеного доступу державних органів до мережі Інтернет Держспецзв’язку (далі – СЗДІ), через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю або через власні системи захищеного доступу до мережі Інтернет зі створеними комплексними системами захисту інформації з підтвердженою відповідністю». «…Загальні вимоги до кіберзахисту об’єктів критичної інфраструктури є обов’язковими до виконання підприємствами, установами та організаціями державної форми власності, які відповідно до законодавства віднесені до об’єктів критичної інфраструктури… Відповідно, органи виконавчої влади, інші державні органи, підприємства, установи та організації державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси та при цьому не віднесені до об’єктів критичної інфраструктури, отримують послуги з доступу до мережі Інтернет згідно чинного законодавства».

Слід зазначити, що у пункті 10 проекту Загальних вимог з кіберзахисту об’єктів критичної інфраструктури зазначається лише про два варіанти, використовуючи які, органи державної влади можуть отримувати доступ до мережі Інтернет, а саме, 1) через Систему захищеного доступу до державних органів до мережі Інтернет Держспецзв’язку або 2) через тих операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю. Тобто, у тексті пункту 10 проекту Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, у редакції, розміщеній на офіційному веб-сайті ДССЗЗІ для громадського обговорення, відсутня інформація про те, що органи державної влади можуть отримувати доступ до мережі Інтернет через власні системи захищеного доступу до мережі Інтернет зі створеними комплексними системами захисту інформації з підтвердженою відповідністю, як ДССЗЗІ зазначає про це у листі від 27.12.2018 № 05/02-4125.

Статтею 117 Конституції України встановлено, що Кабінет Міністрів України в межах своєї компетенції видає постанови і розпорядження, які є обов’язковими до виконання. А у статті 116 Конституції України наведено вичерпний перелік повноважень Кабінету Міністрів України. При цьому, у пункті 5 статті 116 Конституції України зазначено, що Кабінет Міністрів України забезпечує рівні умови розвитку всіх форм власності; здійснює управління об’єктами державної власності відповідно до закону.

Відповідно до частини другої статті 318 ЦК України усі суб’єкти права власності є рівними перед законом. Частиною третьою, шостою статті 319 ЦК України визначено, що усім власникам забезпечуються рівні умови здійснення своїх прав; держава не втручається у здійснення власником права власності.

Тому, якщо, певний оператор, провайдер телекомунікацій володіє достатніми фінансовими ресурсами, як ДССЗЗІ зазначає у листі від 27.12.2018 № 05/02-4125, це близько 500 тис. грн, для створення з власної ініціативи захищеного вузла доступу до мережі Інтернет, безсумнівно, це може бути конкурентною перевагою такого оператора, провайдера телекомунікацій на ринку послуг доступу до Інтернету. Проте, в даному випадку, проектом постанови КМУ пропонується обов’язки держави в особі органів державної влади щодо забезпечення збереження державних інформаційних ресурсів перекласти на осіб приватного сектору економіки без будь-якої компенсації понесених фінансових витрат. Тому, вважаємо, якщо Кабінетом Міністрів України буде прийнята така постанова, то відбудеться порушення конституційних гарантій рівності форм власності.

За своїм змістом, у пункті 10 проекту Загальних вимог з кіберзахисту об’єктів критичної інфраструктури міститься непряма вимога, за умови якої, оператори, провайдери телекомунікацій, за відсутності можливості побудувати захищений вузол доступу до мережі Інтернет, не зможуть надавати послуги доступу до Інтернету органам державної влади.

У разі впровадження, проект постанови КМУ, в першу чергу, зачіпатиме інтереси саме операторів, провайдерів телекомунікацій. І, при наданні послуг доступу до Інтернету або намірів надавати ці послуги, саме операторами, провайдерами телекомунікацій будуть понесені додаткові фінансові витрати, а не органами державної влади.

При цьому, державою можуть використовуватись механізми державно-приватного партнерства, закладені у статті 10 Закону України «Про основні засади забезпечення кібербезпеки України» та у підпункті 4 пункту Рішення РНБО України від 10.07.2017 «Про стан виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13 лютого 2017 року № 32», введеного в дію Указом Президента України від 30 серпня 2017 року № 254/2017.

3. У листі від 27.12.2018 № 05/02-4125 ДССЗЗІ зазначає, що «із загальної кількості операторів, яку наведено у листі, не виокремлено кількість операторів (провайдерів) телекомунікацій, що надають або мають на меті надавати послуги доступу до мережі Інтернет органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям державної форми власності, тобто не визначено їх частку від загальної кількості».

За даними Реєстру операторів, провайдерів телекомунікацій станом на 26.12.2018, як оператори, провайдери телекомунікацій, які надають чи потенційно можуть надавати послуги доступу до Інтернету, зареєстровані понад 7 тис. суб’єктів господарювання. Оскільки, на сьогодні, законодавство України не визначає особливих вимог при наданні цих телекомунікаційних послуг для певних категорій, то, потенційно та за наявності технічної можливості, кожен із цих зареєстрованих НКРЗІ у Реєстрі операторів, провайдерів телекомунікацій може надавати послуги доступу до Інтернету органам державної влади.

Разом з цим, ДССЗЗІ у листі від 27.12.2018 № 05/02-4125 також не приведено інформацію в цифрах на сьогодні про кількість органів державної влади, які вже підключені до Системи захищеного доступу державних органів до мережі Інтернет або мають власні системи захищеного доступу до мережі Інтернет зі створеними КСЗІ з підтвердженою відповідністю. На офіційному веб-сайті ДССЗЗІ ця інформація також відсутня. Натомість, наявна інформація про операторів, провайдерів телекомунікацій, які у період 2017-2018 рр. отримали у ДССЗЗІ атестати відповідності на захищені вузли доступу до мережі Інтернет. На наш погляд, зазначене, знову ж таки свідчить про те, що новації, які пропонуються у пункті 10 Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, будуть направлені саме на операторів, провайдерів телекомунікацій, які будуть змушені виконувати вимоги цього нормативно-правового акту, у разі його прийняття, при наданні послуг доступу до Інтернету органам державної влади.

4. У листі від 27.12.2018 № 05/02-4125 ДССЗЗІ зазначає, що «за оцінками експертів, вартість апаратного та програмного забезпечення у мінімальній комплектації, необхідного для створення захищеного вузла доступу до мережі Інтернет,  становить близько 300-400 тис. грн. (така вартість розрахована з урахуванням вартості обладнання файервола, обладнання, яке дозволяє здійснювати захист від DDoS-атак, підписки сервісів та ліцензії на програмне забезпечення, виходячи з можливості обслуговування 500-1000 абонентів та із загальною пропускною спроможністю 1 Гбіт/с). Також необхідно врахувати витрати, пов’язані зі створенням комплексної системи захисту інформації на захищений вузол  доступу до мережі Інтернет з підтвердженням її відповідності, що становить 10-15% вартості самої системи».

Отже, оператор, провайдер телекомунікацій, який не виконає такі вимоги, буде зобов’язаний припинити надання послуг доступу до Інтернету органам державної влади. Відтак, послугу буде надавати оператор, провайдер телекомунікацій, який має кошти, та, відповідно, виконає вимогу, встановлену у нормативно-правовому акті, що може призвести до монополізації послуг доступу до Інтернету на сегменті їх надання органам державної влади. Не виключено, що зазначене призведе до здороження послуг доступу до Інтернету, адже такий оператор, провайдер телекомунікацій буде «компенсувати витрати на побудову захищеного вузла доступу до мережі Інтернет за рахунок збільшення тарифів за надання сучасних послуг захищеного доступу», про що ДССЗЗІ зазначає у листі від 29.12.2018 № 05/02-4142, наданому до ІнАУ на звернення від 07.12.2018 № 216 (див. на сайті ІнАУ https://inau.ua/sites/default/files/file/1901/vhidnyy_no_08_vid_09.01.2019.pdf).

Отже, підсумовуючи вищенаведене, вважаємо, що створення правових засад для забезпечення кіберзахисту об’єктів критичної інфраструктури держави, а саме, органів державної влади, повинно здійснюватися або за рахунок державних ресурсів, в т.ч. державних коштів, або шляхом використання механізму державно-приватного партнерства і, ні в якому разі, не за рахунок коштів приватного сектору економіки.

Враховуючи наведене, вважаємо, що пункт 10 Загальних вимог з кіберзахисту об’єктів критичної інфраструктури потребує доопрацювання та узгодження із вимогами законодавства України та інших нормативно-правових актів, а саме:

  • Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» (стаття 8) та Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Держспецзв’язку від 16.05.2007 № 93, зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087;
  • Законом України «Про телекомунікації», Правилами здійснення діяльності у сфері телекомунікацій (діяльність з надання послуг доступу до Інтернет), Правилами надання та отримання телекомунікаційних послуг, Положенням про державну експертизу в сфері технічного захисту інформації, Директивами ЄС №2000/31/ЄС, №2002/19ЄС, №2002/21/ЄС, №2009/140/ЄС, №2016/1148, нормами яких не встановлюються зобов’язання для операторів, провайдерів телекомунікацій, які пропонуються у пункті 10 Загальних вимог з кіберзахисту об’єктів критичної інфраструктури.

Додатково, вважаємо за потрібне звернути увагу й на наступне. У листі від 29.11.2018 № 202 ІнАУ вже зазначала, що 16 листопада 2018 року на офіційному веб-сайті Держспецзв’язку опубліковано проект постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет», який, як в ньому зазначено, буде регулювати порядок доступу органів виконавчої влади, інших державних органів, підприємств, установ та організацій державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, до мережі Інтернет.

На думку Антимонопольного комітету України «вказаний проект постанови має вплив на конкуренцію, зокрема, закріплення даної норми в майбутньому може призвести до обмеження права окремих операторів, провайдерів телекомунікацій надавати послуги доступу до мережі Інтернет органам державної влади, що, в свою чергу, може мати негативні наслідки для конкуренції», у зв’язку з чим Антимонопольний комітет України звернувся до Адміністрації ДССЗЗІ з пропозицією направити проект постанови КМУ на погодження в порядку статті 20 Закону України «Про Антимонопольний комітет України» після громадського обговорення (з копіями листів Антимонопольного комітету України від 29.12.2018 № 130-293/06-17633 та від 26.12.2018 № 120-29.1/02-17412 можна ознайомитись на сайті ІнАУ https://inau.ua/sites/default/files/file/1901/vhidnyy_no_06_vid_04.01.2019.pdf).

 

Враховуючи вищенаведене, вдруге звертаємось до Вас із пропозицією при розгляді проекту постанови КМУ на Урядовому комітеті розглянути питання щодо вилучення пункту 10 з тексту проекту Загальних вимог з кіберзахисту об’єктів критичної інфраструктури та проект постанови КМУ повернути розробнику на доопрацювання.

 

З повагою

Голова Правління Інтернет Асоціації України                                                                                                                    О.Федієнко