Згідно із законопроєктом 11290, «Слуги народу» тишком-нишком засекретили інформацію про кіберінциденти.
У законопроєкті № 11290 прописані норми законопроєкту 8087, який ми усі разом тричі відбили
Про це заявив фахівець із кібербезпеки Костянтин Корсун.
«Згідно вже прийнятого за основу законопроекту 11290, „інформація про інцидент кібербезпеки щодо електронних систем об’єктів критичної інформаційної інфраструктури є інформацією з обмеженим доступом“. https://cutt.ly/ae2p7V1N. Тож проблема кібербезпеки вирішена: ми просто забороняємо повідомляти про голи у наші ворота. Фух, нарешті перемога. Навіщо вирішувати проблему, якщо можна її просто засекретити? Геніально. Тепер навіть сам факт інциденту заборонено розголошувати. А якщо хакнули „суб'єкт сектору безпеки та оборони“ — то інформація про це тепер взагалі буде державною таємницею. До якою тепер віднесено»…стан, заходи і порядок здійснення кібероборони, забезпечення кібербезпеки". А зламаний ресурс — це і є поточний «стан кібербезпеки. Тобто якщо гроші на кібербезпеку були виділені, але кудись закотилися — прутня тобі, а не інформації.», — каже К. Корсун.
За його словами, якщо/коли рашн-хакерс вчергове хакнуть поштові сервери МВС — це вже державна таємниця і видавати її за журналістськими запитами ніяк не можна.
«І що характерно, народні обранці називають своє голосування за законопроєкт 11290 — потужною реакцією на кібератаки проти реєстрів Мінюсту. Для мене абсолютно ясно, що ніхто з проголосувавших не читав шо там написано — крім хитрого автора. А якщо хтось і глянув — не мав клепки зрозуміти. Скажу по секрету: навіть мені було непросто продертися через 38 сторінок старанно заплутаної казуїстики. Але я ж всього лише експерт з кібербезпеки з юридичною освітою, куди мені до інтелектуальної величі членів парламенту.
У самому кінці законопроекту тихенько втиснута норма, яка дозволяє представникам «об'єднаної групи» — а це РНБО, Держспецзв’язку, Нацполіція та СБУ — «безперешкодний доступ до інформаційно-комунікаційних та технологічних систем військових формувань». Звісно, «з метою локалізації кібератак і інцидентів кібербезпеки, наслідки яких можуть призвести чи призвели до кризової ситуації».
Ця ж норма була у законопроєкті 8087, який ми усі разом тричі відбили. Цього ж разу спроба стала вдалою завдяки зміні тактики: непомітними абзацами, ретельно захованими серед величезної купи законодавчого непотрібу", — каже К. Корсун.
Також за його словами, у законопроєкті 11290 знайшлося місце і веселощам.
«Так, Міністерство Імені Федорова тепер буде відповідальне за „безпечний Інтернет“ в Україні, зокрема для дітей. Цитата: „…забезпечує формування та реалізацію державної політики у сфері безпечного користування Інтернетом та цифровими технологіями для захисту користувачів, у тому числі дітей, у кіберпросторі“. Тепер усім зрозуміло кому писати скарги на усі шахрайства в Інтернеті?», — зазначає К. Корсун.
І до менш важливих нововведень: до переліку «основних суб’єктів національної системи кібербезпеки» додано МЗС. І тепер разом з НКЦК РНБО їх стало 12.
«Дванадцять няньок — і жодного відповідального, класно ж? Просто раніше їх було 11, хоча тоді теж ніхто ні за що не ніс відповідальності. А ось тепер, з 12 заживемо, еге ж?
До речі, ще один прикол на цю ж тему. Один і той же законопроєкт 11290 нарізає дуже схожі завдання «координації» з питань кіберзахисту двом різним організаціям: Держспецзв’язку та РНБО", — підкреслює К. Корсун.
Ось, порівняйте.
Це завдання Держспецзв’язку:
«111) Координація діяльності об’єктів критичної інфраструктури з питань кіберзахисту у разі введення надзвичайного стану або воєнного стану;
110−112) Забезпечення функціонування національних систем реагування та обміну інформацією стосовно інцидентів кібербезпеки, кібератак, кіберзагроз."
А це — завдання РНБО: «здійснює координацію суб’єктів національної системи реагування, зокрема під час функціонування національної системи обміну інформацією».
За словесними хитросплетіннями приховано бажання внести хаос та залишити систему загальної безвідповідальності — щоб у випадку серйозного інциденту кожен орган зміг перекинути провину на інший. Маючи на це законодавчу основу.
Отже, резюме: наші законодавці, у якості відповіді на росіянські кібератаки проголосували за а) засекречення інформації про кіберінциденти; б) дозвіл силовикам втручатися у військові мережі та в) посилення хаосу у і без того слабкому та протирічному кібер-законодавстві.
Я перепрошую: а це точно про «вивчення уроків» та «врахування помилок»?
Тому мені здається риторичним питання «чи слід очікувати наступного гучного інциденту» — як було з було з реєстрами, Медком, Прикарпаттяобленерго, Дією чи Київстаром.
Допоки кібербезпекою країни займаються агресивні смарагдові невігласи — потік кіберінцидентів залишатиметься стабільним, до ворожки не ходи.
