Про проект ЗУ "Про безпеку інформації та інформаційно-комунікаційних систем", розроблений Держспецзв'язку

Про проект ЗУ “Про безпеку інформації та інформаційно-комунікаційних систем”, розроблений Держспецзв’язку

Про проект ЗУ “Про безпеку інформації та інформаційно-комунікаційних систем”, розроблений Держспецзв’язку.

Нудний логрід з присмаком сенсації, без короткого резюме (для поціновувачів гасла TL;DR) та з очікуваними висновками.

Радіючи тому факту, що Держспецзв’язку як окреме відомство досі не розігнали, її працівникам довелося напружитися і трохи попрацювати. Почитати пропозиції кібер-спільноти, пошукати логіку у чиїхось фейсбук-дописах, нарешті вивчити рекомендації та регламенти ЄС та НАТО, NIS-директиву. І як результат народжено проект Закону України, де немає КСЗІ, впроваджені основи ризик-орієнтованого підходу, натякнуто на делегування повноважень галузевим регуляторам, та деякі інші корисні штуки, які ми з колегами рекомендували у вересні 2019: https://tinyurl.com/y69sjfae
Згідно анотації ДССЗЗІ, виглядає начебто прогресивно, модно та молодіжно: https://tinyurl.com/u6ocefp
Але чи так усе чудово, як написано в анотації?
(До речі, «регулятор кібербезпеки», ваш сайт досі «не захищений», ви там щось чули про https, SSL, TCP, таке всяке? Погугліть, чи шо, чи на курси кіберзахисту для чайників сходіть).

Я вирішив по діагоналі почитати проект закону, і трохи прокоментувати окремі моменти: які впали в око. На уважне та ретельне читання всього документу не маю часу та бажання, сорі.
Спочатку про термінологію.
“безпека інформаційно-комунікаційної системи – здатність інформаційно-комунікаційної системи витримувати – на певному рівні впевненості – будь-яку дію, що загрожує доступності, справжності, цілісності або конфіденційності ….»
– що таке «на певному рівні» ? Це те саме, що «трошки» або «у залежності від настрою» чи може «як фішка ляже»?

«витік інформації – результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї;»
А чому результат лише «дій»? Чому забута стара добра «бездіяльнсть»? І головне: «дії чи бездіяльнсіть» – це лише причини витоку. А сам витік означає вже сам факт несанкціонованої доступності певних даних особам, які не повинні мати такий доступ. Начебто так за логікою. Виток – це факт, який відбувся; дії/бездіяльність – причини.

«державні електронні інформаційні ресурси – це державні інформаційні ресурси, представлені в електронному;»
– забули дописати слово «вигляді»; юристи точно вичитували текст для публікації, чи це не варто їх дорогоцінної уваги? Нехай волонтери вичитують, ми зайняті.

Термін «основні послуги» виглядає начебто притомно, але у ньому чомусь розділені поняття «населення» (фу, совком якось запахло) та «суспільство». А у чому, власне, різниця? Чи не час вже позбавлятися цього імперського терміну?

Десь загубилося у першій статті визначення терміну «ІКС». З контексту зрозуміло, що це «інформаційно-комунікаційна система», але треба це якось зафіксувати, Закон все-ж таки.
Ооо, знайшов далі, у статті 3: «(далі – ІКС, система).» Треба у першому розділі визначати, там де термінологія позначена. Теж явна ознака, що юристи проект Закону не читали – вони таке не пропускають.

Ну і досить вже про термінологію, заморився, далі не читав. Підозрюю, що подібних ляпів там ще є кілька.

Тепер до основної страви: у чому ж суть нового законопроекту?

Напрочуд розумні речі прочитав у статті 4 «Цілі та принципи безпеки інформації та інформаційно-комунікаційних систем». Відчуваю творче опрацювання (а інколи прямий переклад) іноземних джерел. Що не погано, в цілому.

Термін «стійкість» (не досить вдалий переклад англомовного resilience) я б замінив на придуманий особисто мною термін «відновлювальноздатність». Тому що саме такий термін більш адекватно відповідає його суті: «… спроможність ІКС швидко адаптуватися та/або відновитися за будь-якого порушення з метою продовження роботи на прийнятному рівні на основі цілей місії та наслідків порушень для цілей безпеки;»

У фразі «спроможність застосованими в ІКС засобами, методами, механізмами і продукцією забезпечувати надання послуг безпеки, яка має підтверджуватись відповідним кваліфікаційним органом; – щось не тейво, незрозуміло про що йдеться. Що має підтверджуватися? Безпека? Яким таким кваліфікаційним органом? Явно «труднощі перекладу». Яких, до речі, багато в тексті. Просто перекласти – недостатньо, треба з перекладеного побудувати осмислену фразу, з початком, суттю та закінченням.

Не сподобалася фраза «обмін інформацією між уповноваженими на це органами про інциденти безпеки інформації в ІКС» – обмінюватися інформацією про інциденти можуть не тільки ваші «органи», але і функціональні підрозділи, і команди реагування, і призначені відповідальні особи (liaison), та і взагалі будь-хто. Наприклад, приватні особи, які надають інформацію до CERT-UA про недоліки безпеки, скажімо, якогось Одеського аеропорту.

«використання безпечних продуктів та систем інформаційно-комунікаційних технологій з підтвердженою відповідністю;» – ким підтвердженою? Держспецзв’язку? Хто, якої кваліфікації, і яким чином буде підтверджувати відповідність? І відповідність чому, власне? Знов вам сняться розпили і «порєшалово»?
Те саме стосується «залучення до виконання робіт з безпеки інформації суб’єктів, які довели у встановленому порядку свою спроможність виконувати такі роботи;» – який такий порядок і хто цей порядок затверджуватиме? Знов некваліфіковані чиновники з брудними липкими лапками? Явно передумови до корупції.

Але найцікавіше починається у статті 5: «Повноваження державних органів у сфері безпеки інформації та інформаційно-комунікаційних систем»

Перший шок:
«Кабінет Міністрів України визначає: ….
«…національний пункт міжнародного контакту для обміну інформацією про інциденти безпеки інформації та ІКС об’єктів критичної та критичної інформаційної інфраструктури, затверджує положення про нього та типове положення про галузевий пункт обміну такою інформацією»
Та-а-а-к, це щось новеньке. Ще один CERT/SOC/CSIRT/кіберцентр, тепер при КМУ? Тепер під гаслами захисту критичної інфраструктури, хоча досі немає ані переліку таких об’єктів, або навіть затверджених критерії віднесення до нього. Але дехто поспішає бігти попереду паротягу. Далі про цей національний пункт ще у статті 11 далі йдеться, і там цікаве. Виглядає так, ніби це буде нині існуючий CERT-UA, але тепер у складі Кабінету Міністрів. Хмм. Та сама гірка пігулка, але тепер з банановим присмаком.

І ось, нарешті, перлина законопроекту (головний шок):
«3. Спеціально уповноважений орган з безпеки інформації та інформаційно-комунікаційних систем (ОБІС, Network and Information Security Authority, NISA):»
Вау. Окреме (державне?) відомство, якому від Держспецзв’язку перейдуть усі кібер-функції. Міністерство кібербезпеки?
Браво, пане Валентине. Ви таки це зробили. Ну як зробили – принаймні запропонували так зробити.
Абревіатура ОБІС – NISA, можливо, не найвдаліша, але тут вже креативні SMMщики з мінцифри зможуть хоч якось долучитися до теми кібер.
Судячи з обсягу завдань (який ще може бути доповнений, я так думаю), це буде повноцінне відомство, зі штатом так десь 300-500 носів. Але у мене з цього приводу виникає купа запитань: цей орган буде при КМУ чи незалежний, окремим рядком держбюджету; за якими принципам формуватиметься штат; якщо у штаті будуть все ж таки фахівці – як добре оплачуватиметься їх праця (чи як зараз); як призначатиметься керівник (на конкурсі чи як завжди); звідки гроші взагалі (чи можна залучати недержавні джерела фінансування, наприклад). Тобто ідея окремого органу взагалі-то наче ок, але я дуже проти того, щоб він був суто державний, бо дуже скоро він перетвориться на Держспецзв’язку. А так, здається, і буде.

Власне, після такої сенсації можна було б далі і не читати, але все ж себе пересилив і продовжив.
«2. Інформація, безпека якої регулюється цим Законом, обробляються в акредитованих ІКС.» – стоп, ось тут би треба якось детальніше, бо за цією короткою фразою може ховатися ціла індустрія, у тому числі корупційного характеру. Що таке «акредитована ІКС»? Чому раніше про це ніде не сказано? Якось тихенько так вставлено наприкінці, аж підозріло. Хоча ні, там далі ціла стаття 9 цьому присвячена.
Читаю далі.

У статті 8 досить пристойно написано миле серцю «власник/розпорядник ІКС зобов’язаний розробити та впровадити процес управління ризиками безпеці інформації.» Написано начебто нормально, особливих зауважень не маю. Поки що.

Стаття 9 пояснює не стільки, що таке акредитація ІКС (це інтуїтивно зрозуміло), скільки хто підписує та видає папірець про акредитацію. Насправді це ОБІС та призначені ним «галузеві органи з акредитації». У мене одразу питання: а чи уявляють собі автори законопроекту хоча б приблизну кількість ІКС, які потрібно акредитувати? (Підказка – мільйони, реально). А чи не розумніше було б перекласти обов’язок акредитації на самих власників/володільців, га? Щоб вони просто надсилали в ОБІС та регіональні/галузеві органи самим собі видані індульген…, тобто сертифікати акредитації, з печатками та підписами керівників організації. А якщо (коли) щось піде не так з їх мережами – інцидент там, чи #FRD якесь – керівника брати за срачку за фальсифікацію та притягати тупо за підробку документації. І ніякої тобі складної та непрацюючої 363 статті ККУ не треба – звичайне шахрайство, звичайна підробка, звичайне зловживання посадовим становищем. До речі, там у самому кінці законопроекту є і про цю 363 статтю.

Статтю 10 я вважаю дурною і безперспективною. Спроба визначити усі види робіт з безпеки інформації є нічим іншим, ніж намаганням знов повернутися до ліцензування цих видів діяльності, все контролювати, мати важелі впливу і взагалі втручатися у підприємницьку діяльність. Та і смішно ця спроба виглядає. Особливо смішно ось це положення: «Рейтинги якості виконаних робіт публікуються на Електронній платформі у сфері безпеки інформації.»
Бугага. Це написали люди, які не мають жодного уявлення про реалії сучасного бізнесу. Які не в курсі, що ніхто ніяким рейтингам в Україні не вірить і вірити не буду ще років 100. Що рейтинги – це чиста маніпуляція та корупція, якщо не зробити процес формування рейтингів абсолютно публічним та заснованим на прозорих та усім зрозумілим принципах. А це зробити неможливо. Чому – це інша історія, поцікавтеся якось. Хоча б у бізнесмені знайомих запитайте, чи шо.

Стаття 16. Електронна платформа у сфері безпеки інформації та електронної взаємодії
З тексту зрозуміло, що це задумано як якийсь величезний портал, куди намішано усе підряд: і обмін інформацією про інциденти, і електронна звітність, і публічна інформація, і реєстри виконавців, і навіть онлайн дискусійні панелі. Я важко уявляю собі як такий монстр буде працювати з усіма заявленими функціями, а забезпечити його безпеку – взагалі щось за межами реальності. При тому, що це буде ціллю №1 для кіберзлочинців, ворожих і дружніх спецслужб, мережевих хуліганів та ідейних хакерів.
Аваківці та баканівці взагалі будуть там жити: підглядати, шпигувати, зловживати та зливати. А скільки розпиляють на створення цього чуда-юда – ууууу, клондайк просто. І навіть коли щось кінець-кінцем побудують, навіть якщо воно якось буде працювати, все одно вийде «як завжди»: пуста і нікому особливо не потрібна потьомкінська дєрєвня. Хіба що гордо показувати високопосадовцям та довірливим іноземним донорам: «ось на шо ми витратили гроші!»
Тому що форма має бути наповнена глибоким змістом, розуміння якого досі немає, А є те, що було завжди: бажання керувати, розподіляти, ставити рейтинги, примушувати, карати. Мати важелі впливу тобто. Для госухи, можливо, так і треба, але ж держсектор складає не більше десятої частини реальної критичної інфраструктури, не кажучи вже про реальний «не критичний» сектор економіки – бізнес. На щастя, цей законопроект начебто не претендує на роль регулювальника усього комерційного сектору, але приховане бажання чітко вбачається. Як і в багатьох попередніх «регуляціях».
І ще у статті 16 промайнуло «перелік документів, які погоджуються Держспецзв’язку як оригінали електронних документів» – це або просто випадково вставили з чинної регуляторки, або я цього пункту не зрозумів – при чому тут Держспецзв’язку.

В прикінцевих та перехідних положеннях втулили зміни до статті 363 Кримінального кодексу – добавили термін ІКС та суттєво підсилили відповідальність: було «до 3 років обмеження волі», а стало «до 10 років позбавлення волі». Дуже велике і не дуже адекватне посилення жорстокості покарання. При тому, що стаття реально мертва, фактично не працює. Тому можна було і довічне впаяти – все одно нікого ще за цією статтею не посадили і не посадять.

Що скажу в цілому про запропонований законопроект.
Написано не акуратно, абияк, нашвидкоруч: багато пропущений слів та розділових знаків, невірних відмінків, коряво побудованих речень. У статті 13 взагалі приведена англомовна нумерація підпунктів: a), b), c), d), e).
Ідеологічно законопроект сирий, хоча у чомусь революційний. Пропонується фактично нова система вертикалі владних відносин, намічені загальні контури єдиного центрального органу, який б мав би відповідати за національну кібербезпеку. Але вертикалі у кібербезпеці не працюють. Скільки вже можна це доводити. Особливо коли відповідальність за безпеку інформації несе її власник (і він же платить за це), а регулюють – чиновники. Саме регулюють, не допомагають і навіть не координують.
Напрацьовані нами, групою експертів, «завдання, цілі та принципи» любителі всього «державного» інтерпретували виключно під старі схеми управління: регулювати, призначати, контролювати. У законопроекті немає жодного ефективного (не декларативного) механізму залучення кібер-спільноти та кібер-бізнесу до процесу створення та керування принципово новою системою кібербезпеки країни. Знов пропонується створити велику купу нових кібер-штабів та кібер-генералів, і знов без солдат. На суб’єктів покладаються обов’язки «надавати інформацію» без відповідальності за її ненадання (для критичної інфраструктури). Також не проглядається відповідальність (підзвітність, контрольованість громадськістю) нового кібер-Генштабу – ОБІС. Знов буде жорстка вертикаль, призначення керівниками лояльних невігласів, наповнення штатів волонтерами-дилетантами, закордонні відрядження за донорські кошти, пафосні заяви та нульвоий рівень довіри суспільства.

У законопроекті, безумовно, є багато і позитивних моментів – таки десь щось зрозуміли з наших пропозицій. У будь-якому випадку, це є новий крок у розвитку кібер-законодавства, новий рівень усвідомлення. Хоча новий Закон також не працюватиме, як і чинний ЗУ «Про основні засади..».і
Тому що запропонована система базується виключно на державо-центричній моделі бачення Світу. Така модель завжди стоятиме на одній нозі – державні органи. Набагато більш стійкою буде конструкція на двох ногах, а стабільною вона буде не менше, ніж на трьох. А однонога модель не працює, з багатьох причин, і ми усі їх знаємо.
Та і взагалі, якщо спростити, то суть законопроекту зводиться до створення міністерства кібербезпеки, а його текст розбавлено правильними, але необов’язковими «принципами». А чого ще очікувати від людей, які усе життя пропрацювали в держструктурах і мають досить викривлене уявлення про реальність та ринкову економіку?

Здивувало мене також те, що розробник законопроекту – Держспецзв’язку. Установа, на яку я вже не покладав жодних надій.
РНБО, Мінцифра, кібер-комітет ВРУ – де ви, новатори, з вашими революційними супер-ідеями? Ау. Вас обставило якесь ДССЗЗІ, поки ви в носі колупалися. Хоча від цього я не стану краще ставитися до Держспецзв’язку. Просто вони виявилися хутчішими у боротьбі за лідируючу роль по «рагуляціям кібербезпеки».

Для тих, у кого склалося враження, ніби я тут нібито допомагаю державним органам покращити кібер-законодавство, нагадаю: допоки державні органи не покаяться за свавілля проти кібер-спільноти у особі Українського кіберальянсу – ніякої допомоги, нікому, ніякої взаємодії. Принаймні від мене. Тільки критика. Власне, як завжди))
Не можна просити про допомогу «так прийди і зроби», одночасно фабрикуючі кримінальні справи як «додатковий стимул для співпраці». Так вже давно не працює, таваращ майор.
У цьому дописі я лише накидав аргументів «чому це не працюватиме», а от на питання «так а як треба?» – ідіть запитайте кібеполюцію, СБУ-чекістів та власників Одеського аеропорту.

Дякую Олексій Мервінський, що слідкує за подібними речами та підказав мені черговий привід вивалити на нещасних читачів ще один лонгрід.

 

Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.