Прем’єр-Міністру України
ГРОЙСМАНУ В.Б.
Голові Державної служби спеціального зв’язку
та захисту інформації України
Євдоченку Л.О.
вул. Солом’янська, 13, м. Київ, 03110
Вих. № 91/1-2
від 16 квітня 2019 року
Щодо проекту постанови Кабінету
Міністрів України «Про затвердження
Порядку доступу до мережі Інтернет»
Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 200 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, засвідчує Вам свою повагу та звертається з приводу наступного.
Державною службою спеціального зв’язку та захисту інформації України (далі – ДССЗЗІ) розроблено проект постанови Кабінету Міністрів України «Про затвердження Порядку доступу до мережі Інтернет» (далі – проект постанови), який буде подано до Кабінету Міністрів України на затвердження.
Листом від 07.12.2018 № 216 ІнАУ надавала до ДССЗЗІ свої зауваження та заперечення до проекту постанови.
09 січня 2019 року від ДССЗЗІ надійшов лист від 29.12.2018 № 05/02-4142, у якому надано роз’яснення щодо наведених ІнАУ зауважень до проекту постанови. В свою чергу, ІнАУ листом від 22.01.2019 № 05 надала додаткові пояснення, заперечення та письмові аргументи щодо недоцільності прийняття проекту постанови, зокрема, запропонованої редакції пункту 4, яким, серед іншого, передбачається, що абоненти (у розумінні терміну, даного у проекті Порядку доступу до мережі Інтернет (далі – проект Порядку) мають отримувати доступ до мережі Інтернет через операторів, провайдерів телекомунікацій, які мають захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю.
Проте, ДССЗЗІ листом від 09.04.2019 № 05/92-368 повідомила, що «позиція Держспецзв’язку залишається незмінною».
Враховуючи наведене, ІнАУ, зі свого боку, вважає за необхідне ще раз звернути увагу на недоцільність прийняття пункту 4 проекту Порядку у запропонованій редакції.
Порядок надання послуги доступу до Інтернету, в т.ч. організаційні, кваліфікаційні, технологічні вимоги до операторів, провайдерів телекомунікацій, які надають ці послуги своїм абонентам, на сьогодні, врегульовано Законом України «Про телекомунікації», Правилами надання та отримання телекомунікаційних послуг, затвердженими постановою Кабінету Міністрів України від 11.04.2012 № 295, Правилами здійснення діяльності у сфері телекомунікацій (діяльність з надання послуг доступу до Інтернет), затвердженими рішенням НКРЗІ від 10.12.2013 № 803, зареєстрованим в Міністерстві юстиції України 03.02.2014 за № 207/24984 та якими не передбачено ані окремих категорій отримувачів послуги доступу до Інтернету, ані окремих вимог при наданні послуги окремим абонентам.
Тобто, положеннями законодавства у сфері телекомунікацій, якими регулюється діяльність у сфері надання послуг доступу до Інтернету не встановлено, що оператори, провайдери телекомунікацій при наданні послуг органам виконавчої влади, іншим державним органам, підприємствам, установам та організаціям державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, повинні установити захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю.
З інформації ДССЗЗІ, викладеної у листі від 29.12.2018 № 05/02-4142, слідує, що «вартість апаратного та програмного забезпечення у мінімальній комплектації, необхідного для створення захищеного вузла доступу до мережі Інтернет, становить близько 300-400 тис.грн.» Оператори, провайдери телекомунікацій також несуть витрати, пов’язані зі створенням комплексної системи захисту інформації на захищений вузол доступу до мережі Інтернет з підтвердженням її відповідності, що, як зазначає ДССЗЗІ, становить 10-15% вартості самої системи.
Тобто, у проекті постанови пропонується встановити додаткові технологічні вимоги для операторів, провайдерів, які надають послуги доступу до мережі Інтернет. Таке додаткове обладнання оператори, провайдери телекомунікацій повинні будуть придбавати за власні кошти.
Повноваження ДССЗЗІ щодо державного управління у сфері телекомунікацій визначені у статті 15 Закону України «Про телекомунікації». Відповідно до статті 18 цього Закону Правила здійснення діяльності у сфері телекомунікацій встановлює НКРЗІ.
Відповідно до пункту 8 Правил підготовки проектів актів Кабінету Міністрів України, затверджених постановою Кабінету Міністрів України від 06.09.2005 № 870, перед початком підготовки проекту постанови з’ясовується чи належить питання, яке передбачається врегулювати, до компетенції Кабінету Міністрів України.
У пункті 2 §29 Глави 1 Розділу 4 Регламенту Кабінету Міністрів України, затвердженого постановою Кабінету Міністрів України від 18.07.2007 № 950 зі змінами, передбачено, що постанови Кабінету Міністрів видаються з питань затвердження положення, статуту, порядку, регламенту, правил, методики та в інших випадках, коли суспільні відносини потребують нормативно-правового регулювання.
Тобто, прийняття постанови Кабінету Міністрів України з питання затвердження Порядку доступу до мережі Інтернет повинно мати на меті врегулювання певних суспільних відносин, в даному випадку, очевидно, це відносини між операторами, провайдерами телекомунікацій та державними органами і підприємствами з питання поводження з державними інформаційними ресурсами. Відтак, твердження ДССЗЗІ стосовно того, що «Кабінет Міністрів України не встановлює жодної вимоги до операторів, провайдерів телекомунікацій», на нашу думку, не відповідає дійсності. Якщо ж ДССЗЗІ стверджує, що дія майбутнього Порядку доступу до мережі Інтернет не поширюватиметься на операторів, провайдерів телекомунікацій, тоді цей документ не повинен затверджуватись постановою Кабінету Міністрів України, оскільки не направлений на врегулювання суспільних відносин.
До того ж, до повноважень Кабінету Міністрів України у сфері телекомунікацій, які чітко регламентовано статтею 14 Закону України «Про телекомунікації», не належить право державного регулювання у сфері телекомунікацій.
У листі від 09.04.2019 № 05/92-368 з посиланням на Закон України «Про основні засади забезпечення кібербезпеки України» ДССЗЗІ зауважує, що суб’єкти забезпечення кібербезпеки повинні приймати участь у захисті державних інформаційних ресурсів, які обробляються в інформаційно-телекомунікаційних системах органів виконавчої влади, інших державних органів, підприємств, установ та організацій та які підключені до мережі Інтернет. Проте, такі обов’язки для суб’єктів забезпечення кібербезпеки прямо не передбачені у статті 5 Закону України «Про основні засади забезпечення кібербезпеки України». Тим більше, цим Законом не встановлюється і обов’язок суб’єктів забезпечення кібербезпеки приватного сектору придбавати за власні кошти обладнання для захисту державних інформаційних ресурсів. Натомість, з урахуванням статті 10 цього Закону, саме у межах державно-приватної взаємодії у сфері кібербезпеки, можливе створення системи своєчасного виявлення, запобігання та нейтралізації кіберзагроз тощо.
ДССЗЗІ не заперечує того, що окремі оператори, провайдери телекомунікацій, внаслідок впровадження законодавчих новацій зможуть отримати певні конкурентні переваги і підґрунтям цього буде, в першу чергу, створена нормативно-правова база, яка, одночасно, матиме негативні наслідки на діяльність суб’єктів господарювання, які внаслідок відсутності коштів або з інших причин не зможуть встановити відповідне обладнання та конкурувати.
У листі від 09.04.2019 № 05/92-368 ДССЗЗІ зазначає й про те, що «оператори, провайдери телекомунікацій, які мають можливості побудувати захищені вузли доступу до мережі Інтернет, отримають, крім іншого, конкурентні переваги на ринку надання послуг доступу до мережі Інтернет, компенсувавши при цьому витрати на побудову захищеного вузла доступу до мережі Інтернет».
Проте, в жодному із своїх листів ДССЗЗІ не розкриває того, в чому саме вбачає «конкурентні переваги» і за рахунок чого може відбутись «компенсація витрат на побудову захищеного вузла доступу до мережі Інтернет».
Якщо, як конкурентну, вважати технологічну перевагу за рахунок побудови захищеного вузла доступу до мережі Інтернет то, ймовірно, це спричинить підвищення вартості послуги доступу до мережі Інтернет. Відтак, за умов конкуренції у певних територіальних межах, споживач, дійсно, матиме можливість вибору. Хоча, наслідком цього буде підвищення вартості доступу до Інтернету для споживача та, за ціновим критерієм, послуга не буде конкурентною.
Проте, в межах проекту постанови мова ведеться виключно про порядок доступу до мережі Інтернет суб’єктів державного сектору, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси. Отже, результатом підвищення оператором, провайдером телекомунікацій вартості послуг доступу до Інтернету буде виключно збільшення витрат з державного бюджету на закупівлю (отримання) цієї послуги.
Відтак, на наш погляд, доречно було б саме в державному бюджеті передбачити кошти на створення органами виконавчої влади, іншими державними органами, підприємствами, установами та організаціями власних Систем захищеного доступу до мережі Інтернет зі створеними КСЗІ з підтвердженою відповідністю.
Враховуючи наведене, просимо Кабінет Міністрів України не затверджувати постанову у запропонованій ДССЗЗІ редакції та направити розробнику на доопрацювання з метою виключення із пункту 4 положення, якими передбачається, що оператори, провайдери телекомунікацій, які надають чи мають намір надавати послуги доступу до Інтернету органам виконавчої влади, іншим державним органам, підприємствам, установами та організаціям державної форми власності, які одержують, обробляють, поширюють і зберігають державні інформаційні ресурси, повинні мати захищені вузли доступу до глобальних мереж передачі даних зі створеними комплексними системами захисту інформації з підтвердженою відповідністю.
Відповідно до частини другої статті 318 ЦК України усі суб’єкти права власності є рівними перед законом. Частиною третьою, шостою статті 319 ЦК України визначено, що усім власникам забезпечуються рівні умови здійснення своїх прав; держава не втручається у здійснення власником права власності. Проте, в даному випадку, проектом постанови пропонується обов’язки держави в особі державних органів та підприємств перекласти на суб’єктів приватного сектору економіки без будь-якої компенсації понесених ними фінансових витрат.
У разі впровадження положення, запропонованого у пункті 4 проекту Порядку, в першу чергу, ці положення зачіпатимуть інтереси саме операторів, провайдерів телекомунікацій і, у разі надання ними послуг доступу до Інтернету або намірів надавати ці послуги, саме ними будуть понесені додаткові фінансові витрати, а не державними органами та підприємствами, чим, вважаємо, буде порушено баланс інтересів права власності державного та приватного секторів.
Додаток (на адресу КМУ):
1. Копія листа ІнАУ від 07.12.2018 № 216;
2. Копія листа ДССЗЗІ від 29.12.2018 № 05/02-4142;
3. Копія листа ІнАУ від 22.01.2019 № 05;
4. Копія листа ДССЗЗІ від 09.04.2019 № 05/92-368.
З повагою
Голова Правління Інтернет Асоціації України О.Федієнко