Голові Державної служби спеціального зв’язку
та захисту інформації України
Євдоченку Л.О.
вул. Солом’янська, 13, м. Київ, 03110
Копія:
Антимонопольний комітет України
вул. Митрополита Василя Липківського, 45, м. Київ, 03035
Державна регуляторна служба України
вул. Арсенальна, 9/11, м. Київ, 01011
Національна комісія, що здійснює державне регулювання
у сфері зв’язку та інформатизації
вул. Хрещатик, 22, м. Київ, 01001
Міністерство юстиції України
вул. Городецького, 13, м. Київ, 01001
Вих. № 05
від 22 січня 2019 року
Щодо проекту постанови Кабінету
Міністрів України «Про затвердження
Порядку доступу до мережі Інтернет»
Шановний Леоніде Олександровичу!
Інтернет Асоціація України (далі – ІнАУ) засвідчує Вам свою повагу та звертається з приводу наступного.
09 січня 2019 року ІнАУ отримано від Державної служби спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) лист від 29.12.2018 № 05/02-4142, у якому надано роз’яснення щодо наведених ІнАУ у листі від 07.12.2018 № 216 зауважень до проекту постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет» (далі – проект постанови КМУ). Зі змістом листа ДССЗЗІ від 29.12.2018 № 05/02-4142 можна ознайомитись на сайті ІнАУ https://inau.ua/sites/default/files/file/1901/vhidnyy_no_08_vid_09.01.2019.pdf.
Уважно ознайомившись із роз’ясненнями, наданими ДССЗЗІ у листі від 29.12.2018 № 05/02-4142 та в доповнення до раніше наданих зауважень та пропозицій до проекту постанови КМУ (лист ІнАУ від 07.12.2018 № 216 див. на сайті https://inau.ua/document/lyst-no-216-vid-07122018-golovi-derzhspeczvyazku-shchodo-nadannya-propozyciy-do-proektu), вважаємо за необхідне довести до Вашої уваги наступні заперечення.
1. У листі від 29.12.2018 № 05/02-4142 ДССЗЗІ стверджує, що «Кабінет Міністрів України не встановлює жодної вимоги до операторів, провайдерів телекомунікацій, які надають послуги доступу до мережі Інтернет обов’язково мати захищені вузли доступу до мережі Інтернет зі створеними комплексними системами захисту інформації з підтвердженою відповідністю».
Проте, за своїм змістом, у пункті 4 проекту Порядку доступу до мережі Інтернет міститься непряма вимога, за умови якої, оператори, провайдери телекомунікацій, за відсутності можливості побудувати захищений вузол доступу до мережі Інтернет, не зможуть надавати послуги доступу до Інтернету органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси (далі – державні органи та підприємства).
У разі впровадження, положення пункту 4 проекту постанови КМУ, в першу чергу, зачіпатимуть інтереси саме операторів, провайдерів телекомунікацій і, у разі наданні ними послуг доступу до Інтернету або намірів надавати ці послуги, саме ними будуть понесені додаткові фінансові витрати, а не державними органами та підприємствами. Зокрема, про це вказує й інформація, викладена ДССЗЗІ в Аналізі регуляторного впливу до проекту постанови КМУ, де сконцентрована увага на відсутності альтернативних способів впливу на сферу інтересів держави, окрім, як унормувати вимоги щодо закупівлі послуг (укладання договорів) з доступу до Інтернету тільки у тих операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними КСЗІ з підтвердженою відповідністю. І, з незрозумілих причин, як альтернатива, взагалі не розглядається можливість компенсації витрат, які будуть понесені операторами, провайдерами телекомунікацій або про виділення коштів для державних органів та підприємств, з метою створення ними власних систем захищеного доступу до мережі Інтернет зі створеними КСЗІ з підтвердженою відповідністю або для отримання ними доступу до мережі Інтернет через Систему захищеного доступу державних органів до мережі Інтернет Держспецзв’язку.
При цьому, державою можуть використовуватись і механізми державно-приватного партнерства, закладені у статті 10 Закону України «Про основні засади забезпечення кібербезпеки України» та у підпункті 4 пункту Рішення РНБО України від 10.07.2017 «Про стан виконання рішення Ради національної безпеки і оборони України від 29 грудня 2016 року «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», введеного в дію Указом Президента України від 13 лютого 2017 року № 32», введеного в дію Указом Президента України від 30 серпня 2017 року № 254/2017.
2. У листі від 29.12.2018 № 05/02-4142 ДССЗЗІ зазначає, що «із загальної кількості операторів, яку наведено у листі, не виокремлено кількість операторів (провайдерів) телекомунікацій, що надають або мають на меті надавати послуги доступу до мережі Інтернет органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям державної форми власності, тобто не визначено їх частку від загальної кількості».
За даними Реєстру операторів, провайдерів телекомунікацій станом на 26.12.2018, як оператори, провайдери телекомунікацій, які надають чи потенційно можуть надавати послуги доступу до Інтернету, зареєстровано понад 7 тис. суб’єктів господарювання. Оскільки, на сьогодні, законодавство України не визначає особливих вимог при наданні цих телекомунікаційних послуг для певних категорій, то, потенційно та за наявності технічної можливості, кожен із цих зареєстрованих НКРЗІ у Реєстрі операторів, провайдерів телекомунікацій може надавати послуги доступу до Інтернету державним органам та підприємствам.
Разом з цим, ані у листі від 29.12.2018 № 05/02-4142, ані в Аналізі регуляторного впливу до проекту постанови КМУ, ДССЗЗІ також не приведено інформацію в цифрах на сьогодні про кількість державних органів та підприємств, які мають власні системи захищеного доступу до мережі Інтернет зі створеними КСЗІ з підтвердженою відповідністю або вже підключені до Системи захищеного доступу державних органів до мережі Інтернет. На офіційному веб-сайті ДССЗЗІ ця інформація також відсутня. Натомість, наявна інформація про операторів, провайдерів телекомунікацій, які у період 2017-2018 рр. отримали у ДССЗЗІ атестати відповідності на захищені вузли доступу до мережі Інтернет. На наш погляд, зазначене, знову ж таки свідчить про те, що дія Порядку доступу до мережі Інтернет буде направлена саме на операторів, провайдерів телекомунікацій, які будуть змушені виконувати вимоги цього нормативно-правового акту, у разі його прийняття, при наданні послуг доступу до Інтернету визначеній у цьому документі категорії споживачів.
З інформації ДССЗЗІ, викладеної у листі від 29.12.2018 № 05/02-4142, слідує, що «вартість апаратного та програмного забезпечення у мінімальній комплектації, необхідного для створення захищеного вузла доступу до мережі Інтернет, становить близько 300-400 тис.грн.»
Але, наприклад, оператор, провайдер телекомунікацій у невеликому місті з незначним доходом від діяльності, який, до введення новацій, надає послуги доступу до Інтернету органу виконавчої влади, повинен або придбати такий комплекс за 300-400 тис. грн, і не виключено, що за залучені кошти, а також понести витрати, пов’язані зі створенням комплексної системи захисту інформації на захищений вузол доступу до мережі Інтернет з підтвердженням її відповідності, що, як зазначає ДССЗЗІ, становить 10-15% вартості самої системи, або припинити надання послуг. Відтак, послугу буде надавати оператор, провайдер телекомунікацій, який має такі кошти, та, відповідно, виконає вимогу, встановлену у нормативно-правовому акті. Відтак, це призведе до монополізації послуг доступу до Інтернету на сегменті їх надання державним органам та підприємствам. Не виключено, що зазначене призведе до здороження послуг доступу до Інтернету, адже такий оператор, провайдер телекомунікацій буде «компенсувати витрати на побудову захищеного вузла доступу до мережі Інтернет за рахунок збільшення тарифів за надання сучасних послуг захищеного доступу», про що ДССЗЗІ зазначає у листі від 29.12.2018 № 05/02-4142.
На наш погляд, забезпечення захисту державних інформаційних ресурсів та інформації, вимога щодо захисту якої встановлена законом, в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах повинна здійснюватися або за рахунок державних ресурсів, в т.ч. державних коштів, або шляхом використання механізму державно-приватного партнерства і, ні в якому разі, не за рахунок коштів приватного сектору економіки.
3. ДССЗЗІ у листі від 29.12.2018 № 05/02-4142 вказує, що «зазначені у листі норми законодавства не стосуються предмету правового регулювання проекту Постанови. Більш того, у листі немає конкретних посилань на абзаци, пункти чи статті наведених законодавчих чи нормативно-правових актів, що не дозволяє аргументовано прийняти або відхилити зауваження ІнАУ».
Проте, ІнАУ у листі від 07.12.2018 № 216, посилаючись в цілому на нормативно-правові акти України та ЄС, зокрема: закони України «Про телекомунікації», «Про захист інформації в інформаційно-телекомунікаційних системах», Правила здійснення діяльності у сфері телекомунікацій (діяльність з надання послуг доступу до Інтернет), Правила надання та отримання телекомунікаційних послуг, Положення про державну експертизу в сфері технічного захисту інформації, Директиви ЄС №2000/31/ЄС, №2002/19ЄС, №2002/21/ЄС, №2009/140/ЄС, №2016/1148, які визначені Угодою про асоціацію, вказує про те, що ці нормативно-правові акти не встановлюють запропонованого проектом постанови КМУ додаткового регулювання діяльності операторів, провайдерів телекомунікацій. А оператори, провайдери телекомунікацій не є суб’єктами, та їх обладнання не є об’єктами державної експертизи у сфері технічного та/або криптографічного захисту інформації.
Тобто, якщо в нормативно-правових актах, які мають вищу юридичну силу, та в спеціальних нормативно-правових актах, які регулюють діяльність операторів, провайдерів телекомунікацій не встановлені особливі вимоги при наданні послуг доступу до Інтернету державним органам та підприємствам, то це не може визначатись у Порядку доступу до мережі Інтернет.
4. ДССЗЗІ у листі від 29.12.2018 № 05/02-4142 зазначає, що «Держспецзв’язку, як уповноважений орган, діючи в межах своїх повноважень визначає правила поводження з державними інформаційними ресурсами. Вимога до органів виконавчої влади, інших державних органів, підприємств, установ і організацій, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, отримувати послуги із доступу до мережі Інтернет через СЗДІ або через власні системи захищеного доступу до мережі Інтернет зі створеними комплексними системами захисту інформації з підтвердженою відповідністю, або через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю або мають дійсний документ, що підтверджує відповідність системи управління інформаційною безпекою, що застосовується при обробці інформації в захищеному вузлі доступу, вимогам стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001), виданого національним чи іноземним органом з оцінки відповідності, акредитованим національним органом України з акредитації чи іноземним органом з акредитації, який є стороною багатосторонньої угоди про визнання Міжнародного форуму з акредитації (International Accreditation Forum) та/або Європейської кооперації з акредитації (European Co-operation for Accreditation), відповідно до стандарту ISO/IEC 27001 (ДСТУ ISO/IEC 27001), встановлюється від імені власника (держави) по відношенню до державних інформаційних ресурсів, тобто у спосіб, передбачений Конституцією України та українськими законами.»
Хоча, у листі ДССЗЗІ від 29.12.2018 № 05/02-4142 і немає посилань на статті Конституції України та нормативно-правових актів, що не дозволяє надати аргументовані пояснення з цього приводу, проте, хочемо зауважити на наступному.
В першу чергу, звертаємо увагу, що питання підключення до Інтернету та забезпечення захисту інформації та кіберзахисту інформаційно-телекомунікаційних систем державних органів та підприємств під час підключення до Інтернету пропонується врегулювати постановою Кабінету Міністрів України, а не нормативно-правовим актом, виданим в межах повноважень та компетенції ДССЗЗІ.
По-друге, у листі ІнАУ від 07.12.2018 № 216, аргументуючи відповідними нормами законодавства, вже зазначено, що Кабінет Міністрів України не має повноважень затверджувати Порядок доступу до мережі Інтернет з поширенням його дії на операторів, провайдерів телекомунікацій, які надають послуги доступу до Інтернету та встановлювати додаткові обов’язки у веденні ними діяльності у сфері телекомунікацій.
Відповідно до п.8 Правил підготовки проектів актів Кабінету Міністрів України, затверджених постановою Кабінету Міністрів України від 06.09.2005 № 870, перед початком підготовки проекту постанови з’ясовується, чи належить питання, яке передбачається врегулювати, до компетенції Кабінету Міністрів України.
У пункті 2 §29 Глави 1 Розділу 4 Регламенту Кабінету Міністрів України, затвердженого постановою Кабінету Міністрів України від 18.07.2007 № 950 зі змінами, передбачено, що постанови Кабінету Міністрів видаються з питань затвердження положення, статуту, порядку, регламенту, правил, методики та в інших випадках, коли суспільні відносини потребують нормативно-правового регулювання.
Тобто, прийняття постанови Кабінету Міністрів України з питання затвердження Порядку доступу до мережі Інтернет повинно мати на меті врегулювання певних суспільних відносин, в даному випадку, очевидно, це відносини між операторами, провайдерами телекомунікацій та державними органами і підприємствами з питання поводження з державними інформаційними ресурсами. Відтак, твердження ДССЗЗІ стосовно того, що «Кабінет Міністрів України не встановлює жодної вимоги до операторів, провайдерів телекомунікацій», на нашу думку, не відповідає дійсності та спростовується положеннями вказаних нормативно-правових актів. Якщо ж ДССЗЗІ стверджує, що дія майбутнього Порядку доступу до мережі Інтернет не поширюватиметься на операторів, провайдерів телекомунікацій, тоді цей документ не повинен затверджуватись постановою Кабінету Міністрів України, як такий, що не направлений на врегулювання суспільних відносин.
Статтею 117 Конституції України встановлено, що Кабінет Міністрів України в межах своєї компетенції видає постанови і розпорядження, які є обов’язковими до виконання. А у статті 116 Конституції України наведено вичерпний перелік повноважень Кабінету Міністрів України. При цьому, у пункті 5 статті 116 Конституції України зазначено, що Кабінет Міністрів України забезпечує рівні умови розвитку всіх форм власності; здійснює управління об’єктами державної власності відповідно до закону.
Відповідно до частини другої статті 318 ЦК України усі суб’єкти права власності є рівними перед законом. Частиною третьою, шостою статті 319 ЦК України визначено, що усім власникам забезпечуються рівні умови здійснення своїх прав; держава не втручається у здійснення власником права власності.
Тому, якщо, певний оператор, провайдер телекомунікацій володіє достатніми фінансовими ресурсами, як підтверджено самим ДССЗЗІ це близько 500 тис. грн для створення з власної ініціативи захищеного вузла доступу до мережі Інтернет, безсумнівно, це може бути конкурентною перевагою такого оператора, провайдера телекомунікацій на ринку послуг доступу до Інтернету. Проте, в даному випадку, проектом постанови КМУ пропонується обов’язки держави в особі органів державних органів та підприємств перекласти на осіб приватного сектору економіки без будь-якої компенсації понесених фінансових витрат. Тому, вважаємо, якщо Кабінетом Міністрів України буде прийнята така постанова, то відбудеться порушення конституційних гарантій рівності форм власності.
5. У листі від 29.12.2018 № 05/02-4142 ДССЗЗІ також зазначає, що «зменшення кількості альтернатив серед претендентів на надання послуг захищеного доступу до мережі Інтернет» вважає недоцільним.
Враховуючи наведене та те, що постановою КМУ планується врегулювати умови підключення інформаційно-телекомунікаційних систем державних органів та підприємств до мережі Інтернет, вважаємо, що п. 4 Порядку доступу до мережі Інтернет потребує доопрацювання та узгодження із вимогами законодавства України та інших нормативно-правових актів, а саме:
- Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» (стаття 8) та Положенням про державну експертизу в сфері технічного захисту інформації, затвердженим наказом Адміністрації Держспецзв’язку від 16.05.2007 № 93, зареєстрованим в Міністерстві юстиції України 16.07.2007 за № 820/14087
- Законом України «Про телекомунікації», Правилами здійснення діяльності у сфері телекомунікацій (діяльність з надання послуг доступу до Інтернет), Правилами надання та отримання телекомунікаційних послуг, Положенням про державну експертизу в сфері технічного захисту інформації, Директивами ЄС №2000/31/ЄС, №2002/19ЄС, №2002/21/ЄС, №2009/140/ЄС, №2016/1148, нормами яких не встановлюються зобов’язання для операторів, провайдерів телекомунікацій, які пропонуються у проекті постанови КМУ.
6. ДССЗЗІ у листі від 29.12.2018 № 05/02-4142 виражає власну точку зору стосовно того, що «прийняття цього проекту не призведе до досягнення операторами, провайдерами телекомунікацій, які мають захищені вузли доступу до мережі Інтернет, монопольного (домінуючого) становища на ринку надання послуг до Інтернет», «оператори, провайдери телекомунікацій, які мають можливості побудувати захищені вузли доступу до мережі Інтернет, отримають, крім іншого, конкурентні переваги на ринку надання послуг доступу до мережі Інтернет, компенсувавши при цьому витрати на побудову захищеного вузла доступу до мережі Інтернет за рахунок збільшення тарифів за надання сучасних послуг захищеного доступу».
Тобто, ДССЗЗІ не заперечує того, що окремі оператори, провайдери телекомунікацій, внаслідок впровадження законодавчих новацій зможуть отримати певні конкурентні переваги і підґрунтям цього буде, в першу чергу, створена нормативно-правова база, яка, одночасно, матиме негативні наслідки на діяльність суб’єктів господарювання, які внаслідок відсутності коштів або з інших причин не зможуть встановити відповідне обладнання та конкурувати. Зі змісту обґрунтувань ДССЗЗІ не заперечується і те, що, окрім обмеження конкуренції на ринку послуг доступу до Інтернету, існуватиме ще один негативний наслідок, це – підвищення тарифів на послуги доступу до Інтернету.
Крім цього, звертаємо Вашу увагу й на те, що на думку Антимонопольного комітету України «вказаний проект постанови має вплив на конкуренцію, зокрема, закріплення даної норми в майбутньому може призвести до обмеження права окремих операторів, провайдерів телекомунікацій надавати послуги доступу до мережі Інтернет органам державної влади, що, в свою чергу, може мати негативні наслідки для конкуренції», у зв’язку з чим Антимонопольний комітет України звернувся до Адміністрації ДССЗЗІ з пропозицією направити проект постанови КМУ на погодження в порядку статті 20 Закону України «Про Антимонопольний комітет України» після громадського обговорення (з копіями листів Антимонопольного комітету України від 29.12.2018 № 130-293/06-17633 та від 26.12.2018 № 120-29.1/02-17412 можна ознайомитись на сайті ІнАУ https://inau.ua/sites/default/files/file/1901/vhidnyy_no_06_vid_04.01.2019.pdf).
Враховуючи наведене, вдруге звертаємось з пропозицією:
- Адміністрації Держспецзв’язку доопрацювати проект постанови КМУ з метою:
- недопущення порушення законних прав та інтересів операторів, провайдерів телекомунікацій, зокрема, права власності;
- недопущення ігнорування законодавства, яке, наразі, регулює діяльність операторів, провайдерів телекомунікацій, які надають послуги доступу до мережі Інтернет;
- недопущення ігнорування законодавства про захист економічної конкуренції, що може призвести до обмеження конкуренції на ринку послуг доступу до Інтернету, внаслідок чого значна кількість операторів, провайдерів телекомунікацій може бути усунена, а також підвищення тарифів на цю послугу;
2) заінтересованим органам державної влади відмовити у погодженні проекту постанови КМУ у запропонованій редакції.
З повагою
Голова Правління Інтернет Асоціації України О.Федієнко