Лист № 67 від 14.04.2015 р. Президенту України - Голові РНБО України щодо зауважень до Проекту Стратегії забезпечення кібернетичної безпеки України

14.04.2015
Відправник: 
ІнАУ, Інтернет Асоціація України

Президенту України, 

Голові Ради національної безпеки і оборони України

ПОРОШЕНКУ П.О.

 

   

 

 

 

Вих. № 67

від «14» квітня 2015 р.

 

 

Вельмишановний Петре Олексійовичу!

Інтернет Асоціація України (далі - ІнАУ), яка об'єднує понад 180 підприємств сфери інформаційно-комунікаційних технологій України, засвідчує Вам свою щиру повагу та звертається з наступним.

Проблема забезпечення кібернетичної безпеки в сучасному світі набуває все більшої актуальності. В багатьох країнах втілюються в життя затвердженні на самому високому політичному рівні Національні стратегії кібербезпеки. Слід зауважити, що загальної усталеної думки щодо мети та змісту стратегій кібербезпеки світове співтовариство ще не напрацювало.

Аналіз понад 30 національних стратегій кібербезпеки (США, Німеччина, Франція, Канада, Австралія, Туреччина,  Індія, Японія, Чехія, Нідерланди тощо) свідчить про різноманіття підходів до визначення власне поняття  кібербезпеки та кіберпростору. Але порівняння змісту перших національних стратегій (2005-2008 р.) та останніх -
(2012-2014 р.) виявляє тенденцію покращення як змісту цих документів, так і поступове зближення концептуальних підходів до вирішення проблеми забезпечення кібербезпеки. Зокрема спостерігається втілення все більш системного підходу, який не зосереджується суто на технічних питаннях проблеми, а поступового охоплює більш вагомі загально безпекові, соціальні, політичні, економічні та культурні питання, а також перехід від декларації щодо забезпечення кібербезпеки, що було характерно для історично перших стратегій, до розроблення відповідних детальних планів дій.

Адміністрацією Державної служби спеціального зв’язку та захисту інформації розроблені проект Стратегії забезпечення кібернетичної безпеки України  (далі – Стратегія) та проект Закону України «Про основні засади забезпечення кібербезпеки України» (далі – Закон). Прийняття документів з питань забезпечення кібербезпеки є вкрай важливими і актуальними для нашої держави з огляду на безперервне зростання з одного боку обсягів та масштабів використання інформаційно-комп’ютерних технологій, а з іншого боку – збільшення видів та зростання переліку загроз інформаційній безпеці, які орієнтовані саме на системи, що використовують інформаційно-комп’ютерні технології.

Обидва зазначених проекти базуються на запропонованій термінологічній системі.  До системо формуючих слід віднести терміни «кібернетична безпека» та «кібернетичний простір».

Запропоноване визначення терміну «кібернетичної безпеки» базується на дефініції терміну  «кібернетичний простір», під яким автори проектів розуміють «середовище, яке виникає в результаті функціонування на основі єдиних принципів і за загальними правилами інформаційних (автоматизованих), телекомунікаційних та інформаційно-телекомунікаційних систем». Виходячи із наданого визначення під середовищем можна розуміти сукупність інформаційних (автоматизованих), телекомунікаційних та інформаційно-телекомунікаційних систем.

В такому випадку постає питання ідентифікації «життєво важливих інтересів людини і громадянина, суспільства та держави» в цьому середовищі. Питання явно риторичне, тому що в такому середовищі не відбуваються та не можуть в принципі відбуватись ніякі суспільні відносини між суб’єктами, які зазначаються у визначенні кібербезпеки (людина, громадянин, суспільство, держава).

Таким чином, невдале визначення терміну «кібернетична безпека» логічно приводить до невірного визначення предмета зазначеної Стратегії, її цілей, а, саме головне, до невірного визначення комплексу заходів щодо її впровадження. В повній мірі це відноситься і до проекту Закону.

Крім того, проект Стратегії містить важливі терміни, яким не надано визначень: «інформаційні технології», «критичні національні інфраструктури», «хакерські атаки», «кібернетичні засоби», «інформаційна інфраструктура держави» тощо. Зазначене створює проблему однакового сприйняття положень проекту Стратегії різними фахівцями та експертами. Звужено поняття кібернетичних атак, що виводить за рамки Стратегії заходи із протидії  персоналу. Але, за думкою експертів, значна кількість атак здійснюється  саме інсайдерами (Global State of Information Security Survey: 2015 results by industry - http://www.pwc.com/gsiss2015).

Визначення кібертероризму не узгоджено із законодавством України щодо тероризму.

Автори проекту Стратегії допустили прикру помилку,  не врахувавши повністю вимоги частини другої ст.16 Конвенції про кіберзлочинність, ратифікованої Законом України від 7 вересня 2005 року № 2824, що надає можливість отримання комп’ютерних даних без відповідного рішення суду. Таке положення Стратегії створює умови для можливих протиправних дій та зловживань зі сторони правоохоронних органів як по відношенню до провайдерів, так і по відношенню до користувачів їх послуг.

Крім того, проект Стратегії має багато інших недоліків як редакційного, так і змістовного характеру.

Що стосується проекту Закону України «Про основні засади забезпечення кібербезпеки України», то в ньому автори не пропонують моделі цілісної  та комплексної системи забезпечення кібернетичної безпеки держави. Автори, на жаль, обмежились лише інституційними пропозиціями, але при цьому не дуже уважливо опрацювавши повноваження відповідних органів, що призводить до появи з одного боку дублюючих функцій, а з іншого – до відсутності дуже важливих.

Запропоновані редакції проекту Стратегії і Закону не дозволять реалізувати дієву політику забезпечення кібернетичної безпеки України і відкладуть вирішення цієї важливої та актуальної для національної безпеки державної проблеми на роки. Головна причина зазначених недоліків проекту Стратегії і Закону – відсутність відкритого публічного  громадського обговорення цих документів із залученням фахівців та експертів як громадських організацій, так і наукових установ, зокрема НДІСД.

Враховуючи зазначене, просимо відтермінувати затвердження зазначених проектів документів та організувати їх широке громадське обговорення.

Додаток: Таблиця зауважень Інтернет Асоціації України до Проект Стратегії забезпечення кібернетичної безпеки України  на 8 арк.

З повагою,

 

 

Голова Правління

Інтернет Асоціації України                                                                           Т.Попова