Кіберневизначеність: на кого впливає та які ризики приховує Закон «Про основні засади забезпечення кібербезпеки в Україні»

May 10, 2018

Можливості сучасного кіберпростору зростають у геометричній прогресії. Щодня інформаційні технології заходять все далі, нівелюючи бар’єри, які вважалися непереборними, а швидкість змін наближається до невловимої. За таких обставин можливість правового регулювання стає надважливим і, одночасно, надскладним завданням. Хто повинен контролювати кіберпростір і чи дійсно це потрібно? Яке втручання в приватне життя, у даному випадку, буде необхідним в демократичному суспільстві? Наскільки системи, що контролюють кібербезпеку є надійними та ефективними? Пошук відповідей вказує на одне: основними завданнями є не лише боротьба із загрозами, а й вивчення та використання можливостей інформаційно-комунікаційних технологій.

У березні 2010 Європейська Комісія почала реалізацію стратегії «Європа 2020», до якої було включене питання максимального потенціалу інформаційно-комунікаційних технологій, а також роль, яку вони можуть зіграти. Це отримало своє відображення в Цифровому порядку денному для Європи, а у вересні 2014 року державами-країнами НАТО був заснований цільовий фонд з кіберзахисту, спрямований на розробку технічних сил та засобів для протидії кіберзагрозам в Україні. Усе це стало поштовхом до створення законодавчої бази у сфері, складовою якої став ухвалений Закон України «Про основні засади забезпечення кібербезпеки в Україні», що набирає чинності 9 травня 2018 року.  

Перш за все, варто вказати на рамковість Закону, оскільки він містить лише загальні дефініції та визначає загальні положення, що проявляється навіть у визначенні суб’єктів кібербезпеки. Зокрема, зазначено 6 основних суб’єктів національної кібербезпеки та ще як мінімум 18 суб’єктів, що діють в межах своєї компетенції.  У питанні контролю за законністю вказано Верховну Раду, а також додається, що Комітети, до компетенції яких належать питання національної безпеки та оборони, інформатизації та зв’язку, на своїх засіданнях розглядають звіти основних суб’єктів національної кібербезпеки, також результати аудиту, а Державна служба спеціального зв’язку та захисту інформації України забезпечує створення та функціонування Національної телекомунікаційної мережі, впровадження організаційно-технічної моделі кіберзахисту. Водночас, важливим питанням постає розробка процедурних моментів здійснення згаданих функцій, затвердження яких відведене Кабінету Міністрів України. Очевидно, що одного закону замало, щоб охопити всі аспекти, які існують нині, і передбачити можливу адаптацію до змін в майбутньому.

Щодо сфери поширення. Закон прямо зазначає, що його дія НЕ поширюється на:

  1. відносини та послуги, пов’язані із змістом інформації, що обробляється (передається, зберігається) в комунікаційних та/або в технологічних системах;
  2. соціальні мережі, приватні електронні інформаційні ресурси в мережі Інтернет (включаючи блог-платформи, відеохостинги, інші веб-ресурси), якщо такі інформаційні ресурси не містять інформацію, необхідність захисту якої встановлена законом, відносини та послуги, пов’язані з функціонуванням таких мереж і ресурсів;
  3. комунікаційні системи, які не взаємодіють з публічними мережами електронних комунікацій (електронними мережами загального користування), не підключені до мережі Інтернет та/або інших глобальних мереж передачі даних (крім технологічних систем).

Отже, Закон допускає можливість втручання в інформаційні ресурси, що містять приватні дані осіб під приводом вмісту інформації, необхідність захисту якої встановлено законом. Це положення, за умови широкого тлумачення, може не відповідати критеріям законності втручання в приватне життя (стаття 8 Конвенції про захист прав людини і основоположних свобод). Зокрема, «законність» включає в себе достатню точність та передбачуваність, необхідні для того, щоб можна було спрогнозувати майбутню поведінку. Виходячи з цього, положення, що дозволяє втручатись в соціальні мережі, блог-плаформи, інші приватні веб-ресурси, передбачене законом (невідомо, чи лише цим) навіть для захисту інформаційно-комунікаційних технологічних даних, що можуть бути використані в незаконних цілях, може бути визнане неправомірним. Тут варто згадати проект Закону України «Про внесення змін до Закону України «Про інформацію», зареєстрований  в 2014 році Кабміном, що вводив термін «технологічна інформація» і, відповідно, передбачав правовий режим його застосування. Він був відкликаний, хоча в процесі розробки  кіберзакону, це питання знову поверталось на порядок денний. Згідно з цим законопроектом, технологічна інформація – це  документовані відомості про склад, кількісні та якісні показники, особливості технологічних процесів, які застосовуються для керування об’єктами виробничого та невиробничого призначення у різних галузях господарства протягом їхнього життєвого циклу, а також дані автоматизованих систем керування зазначеними об’єктами та систем управління технологічними процесами на таких об’єктах. Більше того, така технологічна інформація окремих об’єктів може бути віднесена у порядку, передбаченому законом, до інформації з обмеженим доступом. Проте навіть запропоноване визначення не дає достатньої чіткості, що може призвести до порушення конституційного права особи безперешкодно збирати, зберігати та поширювати інформацію в будь-якій формі та в будь-який спосіб. І цього досить, щоби визнати його таким, що може спричинити втручання в свободу вираження поглядів індивідів. Також важливим моментом є поширення дії закону на веб-сервіси для зберігання файлів, а також на перехоплення cookie-файлів, за допомогою яких можна ідентифікувати унікального користувача і, відповідно, вилучити його дані. Крім того, немає жодних вказівок для реакції на несанкціоноване вилучення cookie-файлів.

Наступним питанням є об’єкти, які захищаються цим законом. Як випливає зі змісту Закону, його дія спрямована на захист, в першу чергу, інтересів органів державної влади, місцевого самоврядування, правоохоронних органів, військових формувань. Відповідно, об’єктами кіберзахисту є:

  • комунікаційні системи всіх форм власності, в яких обробляються національні інформаційні ресурси;
  • об’єкти критичної інформаційної інфраструктури;
  • комунікаційні системи, призначені для обслуговування електронного врядування, комерції, документообігу та/або для використання для суспільних потреб.

Що важливо, законодавець вводить поняття «об’єкт критичної інформаційної інфраструктури» – інформаційну або комунікаційну систему, кібератака на яку вплине на безпосереднє функціонування об’єкта критичної інфраструктури. При цьому, перелік таких об’єктів визначається Кабміном і повинен бути розроблений, відповідно до Концепції Уряду, впродовж двох років. При цьому, законодавчо визначено, що до переліку можуть бути віднесені підприємства усіх форм власності, які надають послуги та провадять діяльність у сфері енергетики, транспорту, виробництва харчування, сільського господарства, охорони здоров’я, є комунальними, аварійними службами, а також – стратегічно важливі для держави чи є об’єктами потенційно небезпечних технологій та виробництв.

У той же час, у Верховні Раді знаходиться Проект Закону «Про внесення змін до Кримінального та Кримінального процесуального кодексів України щодо розмежування підслідності злочинів, вчинених у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку, державних інформаційних ресурсів і об’єктів критичної інформаційної інфраструктури» (проект №8304, Кабінет Міністрів України). Уряд пропонує розширити перелік комп’ютерних злочинів, додаючи: несанкціоноване втручання в роботу комп’ютерів об’єктів критичної інформаційної інфраструктури; несанкціонований збут і розповсюдження інформації з обмеженим доступом, порушення правил експулатації та правил захисту інформації на об’єктах, та перешкоджання роботи комп’ютерів шляхом масового розпосюдження електронних повідомлень, якщо це призвело до блокування інформації, яка обробляється на цих об’єктах. Крім того, збільшиться розмір санкції за деякі кваліфіковані склади злочинів (ті, що завдали значної шкоди або вчинені групою осіб за попередньою змовою): від 3-5 років позбавлення волі до 7-10 років з позбавленням права займати певні посади. При цьому, подібні справи будуть розслідуватись органами Служби безпеки України. Проте, такі запропоновані заходи стосуються безпосередньо спеціальних об’єктів критичної інфраструктури, які можуть потребувати подібного захисту.

Згідно з проведеними дослідженнями, основною ціллю кібератак є: приватні індивіди, промисловість та уряд, тоді як соціальні мережі знаходяться на останніх позиціях (дані за вересень 2017 року). В той же час,  Закон, що розглядається, своєю ціллю має захист інформаційно-телекомунікаційних систем, які стосуються об’єктів, що мають важливу економічну та оборонну цінність.

Діаграма «Розподіл цілей кібератак». – Джерело.

При цьому, Закон встановлює принцип мінімально необхідного регулювання, згідно з яким рішення (заходи) суб’єктів владних повноважень повинні бути необхідними і мінімально достатніми для досягнення мети і завдань, визначених цим Законом. Оціночність даного поняття очевидна, звідси, у випадку можливого втручання в приватне життя (у дані профілів соціальних мереж, персональних блогів тощо) доцільно застосовувати критерії, передбачені Конвенцією, а саме – законність, наявність легітимної цілі та необхідність у демократичному суспільстві.

У першу чергу, окрім техніко-юридичних моментів та питання юридичної визначеності, варто звернути увагу на можливе втручання в свободу вираження поглядів, а також питання захисту персональних даних. Очевидно, що вказані проблеми, зокрема, розмиті межі втручання та сфера поширення, становлять загрозу грубих порушень приватності осіб . Так, законом встановлюється принцип мінімального регулювання, проте невідомо, що є «точкою відліку» мінімальності: відсутність регулювання чи вже наявне, але практично незначне втручання.

Чи не вперше питання про «цифрову приватність» особи та межі втручання органів влади було підняте у рішенні «Бенедік проти Словенії» (Benedic v. Slovenia, №62357/14) Європейського суду з прав людини  від 24 квітня 2018 року. У справі поліція отримала інформацію від Інтернет-провайдера, яка ідентифікувала особу заявника без  рішення суду, лише за письмовим запитом до провайдера, що було передбачено законом. Суд дійшов висновку, що заявник мав право «розумного очікування»  на приватність, крім того, законні підстави поліції отримати подібну інформацію були недостатньо чіткими та не забезпечили достатніх гарантій від свавільного втручання у права, передбачені статтею 8 Конвенції (§122-132). Саме тому, поширення дії Закону «Про основні засади забезпечення кібербезпеки в Україні» і на приватні електронні ресурси тягне за собою небезпеку свавільного втручання в приватне життя індивідів, оскільки не є достатньо чітким, передбачуваним та зрозумілим. Щодо захисту порушених прав, то у Законі лише згадується про парламентський контроль за дотриманням законодавства про захист персональних даних та доступу до публічної інформації у сфері кібербезпеки, який здійснюватиме Уповноважений Верховної Ради з прав людини.

Наведені аргументи ще раз наголошують на рамковості Закону, який повинен знайти своє продовження як  більш спеціалізованих нормативно-правових актах, так і пристосуватись до вже існуючих обставин. Водночас, слід змінити акценти, оскільки право людини на свободу вираження, на доступ до інформації, та питання захисту приватності повинні бути завжди враховані, а отже, –  контролюватися не лише на декларативному рівні.