Засекречені кібератаки: як новий законопроєкт ховає проблеми безпеки
Допоки кібербезпекою країни займаються агресивні смарагдові невігласи – потік кіберінцидентів залишатиметься стабільним, до ворожки не ходи.
Коли реєстри хакнуть наступного разу – ви про це вже не дізнаєтеся.
Тому що «слуги» тишком-нишком засекретили інформацію про кіберінциденти.
Згідно вже прийнятого за основу законопроєкту 11290, «інформація про інцидент кібербезпеки ..щодо електронних систем об’єктів критичної інформаційної інфраструктури ..є інформацією з обмеженим доступом».
Всьо, проблема кібербезпеки вирішена: ми просто забороняємо повідомляти про голи у наші ворота. Фух, нарешті перемога.
Тепер навіть сам факт інциденту заборонено розголошувати.
Вони і раніше не так щоб дуже говірки були, а тепер ще й законодавчу основу мають – ніззя говорити про проблеми, заборонено. Нічого холопам забагато знати що ми там вчергове «про#балі»(С)
А якщо хакнули «суб'єкт сектору безпеки та оборони» - то інформація про це тепер взагалі буде державною таємницею. До якої тепер віднесено «…стан, … заходи і порядок здійсення кібероборони, забезпечення кібербезпеки». А зламаний ресурс – це і є поточний «стан кібербезпеки».
Тобто якщо гроші на кібербезпеку були виділені, але кудись закотилися – прутня тобі, а не інформація. Якщо/коли рашн-хакерс вчергове хакнуть поштові сервери МВС — це вже державна таємниця і видавати її за журналістськими запитами ніяк не можна.
І що характерно, народні обранці називають своє голосування за ЗП 11290 – потужною реакцією на кібератаки проти реєстрів Мінюсту. Для мене абсолютно ясно, що ніхто з проголосувавших не читав що там написано – крім хитрого автора. А якщо хтось і глянув – не мав клепки зрозуміти. Скажу по секрету: навіть мені було непросто продертися через 38 сторінок старанно заплутаної казуїстики. Але я ж всього лише експерт з кібербезпеки з юридичною освітою, куди мені до інтелектуальної величі членів Парламенту.
У самому кінці законопроєкту тихенько втиснута норма, яка дозволяє представникам «об’єднаної групи» - а це РНБО, Держспецзв’язку, Нацполіція та СБУ – «безперешкодний доступ до інформаційно-комунікаційних та технологічних систем військових формувань». Звісно, «з метою локалізації кібератак і інцидентів кібербезпеки, наслідки яких можуть призвести чи призвели до кризової ситуації».
Ця ж норма була у законопроєкті 8087, який ми усі разом тричі відбили. Цього ж разу спроба стала вдалою завдяки зміні тактики: непомітними абзацами, ретельно захованими серед величезної купи законодавчого непотрібу.
Але також у ЗП 11290 знайшлося місце і веселощам.
Цитата: «…забезпечує формування та реалізацію державної політики у сфері безпечного користування Інтернетом та цифровими технологіями для захисту користувачів, у тому числі дітей, у кіберпросторі».
Тепер усім зрозуміло кому писати скарги на усі шахрайства в Інтернеті?
І до менш важливих нововведень: до переліку «основних суб’єктів національної системи кібербезпеки» добавлено МЗС. І тепер разом з НКЦК РНБО їх стало 12. Дванадцять няньок - і жодного відповідального, класно ж? Просто раніше їх було 11, хоча тоді теж ніхто ні за що не ніс відповідальності. А ось тепер, з 12 заживемо, еге ж?
До речі, ще один прикол на цю ж тему. Один і той же законопроект 11290 нарізає дуже схожі завдання «координації» з питань кіберзахисту двом різним організаціям: Держспецзв’язку та РНБО.
Ось, порівняйте.
Це завдання Держспецзв’язку:
«111) Координація діяльності об’єктів критичної інфраструктури з питань кіберзахисту у разі введення надзвичайного стану або воєнного стану;
110-112) Забезпечення функціонування національних систем реагування та обміну інформацією стосовно інцидентів кібербезпеки, кібератак, кіберзагроз.»
А це — завдання РНБО:
«здійснює координацію суб’єктів національної системи реагування, зокрема під час функціонування національної системи обміну інформацією».
За словесними хитросплетіннями приховано бажання внести хаос та залишити систему загальної безвідповідальності – щоб у випадку серйозного інциденту кожен орган зміг перекинути провину на інший. Маючи на це законодавчу основу.
Отже, резюме: наші законодавці, у якості відповіді на росіянські кібератаки проголосували за а) засекречення інформації про кіберінциденти; б) дозвіл силовикам втручатися у військові мережі та в) посилення хаосу у без того слабкому та протирічному кібер-законодавстві.
Я перепрошую: а це точно про «вивчення уроків» та «врахування помилок»?
\ому мені здається риторичним питання «чи слід очікувати наступного гучного інциденту» - як було з реєстрами, Медком, Прикарпаттяобленерго, Дією чи Київстаром.
Допоки кібербезпекою країни займаються агресивні смарагдові невігласи – потік кіберінцидентів залишатиметься стабільним, до ворожки не ходи.
