Ще одна атака в інфосфері

Блог Тетяни Попової - експерта зі стратегічних комунікацій ГО "Інформаційна безпека"

Під гаслом протидії російській інформаційній агресії у забезпеченні інформаційної та кібербезпеки вимальовується чергова корупційна схема. Так, ЗП №6688 був тільки початком.

Практично всі ми є споживачами тих чи інших інформаційних продуктів в сучасному виконанні і маємо конституційне право на доступ до інформації. Все більше людей набуває професійного статусу виробника або поширювача інформації. Отже всі ми зацікавлені в прозорих умовах для такої діяльності з боку держави. Більш того, в цивілізованих країнах світу high tech компанії є однією з переваг в інформаційно-економічній конкуренції. Просто уявіть: якби Україна могла б створити нормальні умови для таких людей, як Ян Кум, то What’s up був би до 2014 року українською компанією і податки з його продажу Facebook отримав би український бюджет.

Але повернемося до фахівців в інформаційній сфері в сучасній Україні. Оскільки така діяльність має значну бізнес-складову, то одночасно ми  живемо не лише по законам формування і розвитку інформаційного суспільства, а й в умовах українських реалій ведення бізнесу. Звісно ми радіємо публічним деклараціям уряду про зменшення кількості перевірок для бізнесу та тиску з боку правоохоронних органів. Але по-перше і перевірки не припинилися і ще раптом виявляється, що під «модними» гаслами кібербезпеки держави, держструктури готуються до запровадження чергової схеми «незалежних» перевірок та контролю інформаційного бізнесу.

Серед основних суб’єктів забезпечення кібербезпеки держави є Державна служба спеціального зв’язку та захисту інформації України (ДССЗЗІ).

Згідно недавно прийнятого Закону України «Про основні засади забезпечення кібербезпеки України» ДССЗЗІ отримала низку завдань. Зокрема,  ДССЗЗІ «забезпечує впровадження аудиту інформаційної безпеки на об’єктах критичної інфраструктури, встановлює вимоги до аудиторів інформаційної безпеки, визначає порядок їх атестації (переатестації); координує, організовує та проводить аудит захищеності комунікаційних і технологічних систем об’єктів критичної інфраструктури на вразливість».

Службою започатковано імплементацію вимог наведеного вище закону про кібербезпеку. Сьогодні опрацьовується кілька проектів нормативних актів, ініційованих ДССЗЗІ. Мова йде щонайменше про наступні проекти постанов Кабміну:

1)  «Про затвердження Загальних вимог з кіберзахисту об’єктів критичної інфраструктури, критеріїв та порядку віднесення об’єктів до об’єктів критичної інфраструктури»;

2)  «Про затвердження порядків формування переліку об’єктів критичної інформаційної інфраструктури, внесення об’єктів критичної інформаційної інфраструктури до державного реєстру об’єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування»;

3)  «Про затвердження Порядку організації та проведення незалежного аудиту інформаційної безпеки на об’єктах критичної інфраструктури держави».

Ці документи в державі потрібні, вони є відкритими і з їх змістом можна ознайомитися на сайті відомства. Безумовно, складні назви та тексти виглядають важкувато для розуміння пересічним громадянином. Але за їх сухими офіційними реченнями приховані конкретні наслідки для багатьох «гравців» інформаційного простору держави та ІТ-сфери.

Проблема полягає в тому, що запропоновані з боку ДССЗЗІ механізми вирішення наведених завдань виявляються дуже спірними та навіть корупційно небезпечними. У випадку прийняття постанов Кабміну у запропонованій редакції, держава та суспільство отримає ще одну контролюючу структуру з такими повноваженнями та механізмами їх реалізації, які більше підходять тоталітарним режимам. 

Як це буде працювати? В державі існує значна кількість об’єктів інформаційної інфраструктури різного призначення та форми власності. В даному контексті для нас інтерес становлять структури теле- та радіомовлення, провайдери Інтернету, засоби комунікацій та  ІТ-ринок в цілому.

Довідково: Згідно з текстом проекту нормативного акту «Суб’єкт критичної інформаційної інфраструктури – державний орган, підприємство, установа та організація, юридична та (або) фізична особа, якому (якій) на правах власності, оренди або на інших законних підставах належать інформаційні та інформаційно-телекомунікаційні системи... До Переліку включаються об’єкти критичної інформаційної інфраструктури …, які: провадять діяльність та надають послуги в галузях інформаційно-комунікаційних технологій, електронних комунікацій…»

Простими словами: спочатку ДССЗЗІ визначає кого перевіряти  (шляхом включення об’єктів інформаційної інфраструктури до певного переліку). Потім ця ж сама структура визначає умови функціонування об’єкту шляхом формування вимог до його кіберзахисту (до речі, реалізація таких вимог є дуже недешевою справою). А потім ще й вимагає від вас щорічно за ваш рахунок замовляти так званого «незалежного аудитора інформаційної безпеки». Вся незалежність такого аудитора (підготовка, включення до певного реєстру, умови роботи, звітування  тощо) безпосередньо залежить від ДССЗЗІ. Коло замикається і створюється прекрасний майданчик для працевлаштування колишніх чиновників ДССЗЗІ після втрати посади чи звільнення. І чи не виникає у вас відчуття чергової корупційної схеми?

Для бізнесу ситуація стає набагато складнішою. Якщо ви є власником ІТ-компанії, комерційного Data-центру, теле- або радіоканалу, провайдером Інтернету тощо, то ваша діяльність є важливою для держави. При певних умовах ви можете потрапити до переліку об’єктів критичної інформаційної інфраструктури. І ви як власник зазначеного об’єкту маєте відкладати свої кошти на оплату такого щорічного аудиту. Або це буде зроблено за рахунок зменшення витрат на реально потрібні для інформаційної безпеки речі. Або за рахунок збільшення вартості послуг для споживачів. Додайте до цього всю «радість» спілкування з черговим контролюючим органом, усунення виявлених недоліків, повторних та позапланових перевірок. В українських реаліях це ще додаткове фінансове навантаження для об’єкту перевірки. І так щорічно.

При цьому навіть тут не обійшлося без політики та спроб отримати контроль над суспільно-політичними аспектами життя країни.  Бо знову ж таки, згідно з текстом проекту першого документу «Визначення необхідності включення об’єкта критичної інформаційної інфраструктури до Переліку здійснюється з урахуванням категорії:

соціальній значущості, яка виражається оцінкою … припинення або порушення функціонування … телекомунікаційних мереж;

політичної значущості, яка виражається оцінкою можливого нанесення втрат Україні у внутрішній і зовнішній політиці».

Отже, у випадку прийняття постанов Кабміну в запропонованому вигляді держава, суспільство, бізнес-структури отримають ще одного монополіста-контролера. І одночасно уряд продовжує декларувати недопустимість тиску на бізнес та зменшення кількості контролюючих органів? Цікаво почути, що думають про ці документи гравці ринку телекомунікацій та ІТ-бізнес

Джерело: https://m.censor.net.ua/blogs/3076158/sche_odna_ataka_v_nfosfer?fbclid=I...