Кабмин внес в ВРУ соответствующий законопроект
Давно замечено, что накануне и в период летних отпусков, когда бизнес-общественность притупляет бдительность, власть пытается изобрести нечто оригинальное. То, что в спешно подготовленных проектах вопросов больше, нежели конструктива – дело десятое. Главное – галочку поставить.
Зарегистрированный,13 июля в ВР правительственный законопроект №6711 о внесении изменений в Кодекс об административных правонарушениях (КоАП) относительно неисполнения требований законодательства по организации и обеспечению защиты информации, на первый взгляд, не из числа «вредных» решений.
Им предусматривается, что за неисполнение требований законодательства по организации и обеспечению технической и/или криптологической защиты информации к руководителям предприятий и учреждений применяются штрафные санкций в сумме 850-1700 грн. Речь идет о применении штрафов ко всем (!) предприятиям – независимо от формы собственности!
Такие же действия, совершенные в течение года после первого административного нарушения, «оцениваются» уже в 1700-2550 грн. По общему правилу, дела о применении штрафных санкций будут рассматриваться местными судами.
Ну что же здесь такого необыкновенного, возникает вопрос? Должен же был Кабмин как-то отреагировать на ситуацию, возникшую вследствие атаки кибервируса 27 июня и мотивировать (кнутом) руководителей госорганов, вследствие бездеятельности которых «легли» их сервера. Но эксперты усматривают в этом и попытку Кабмина и законодателей переложить ответственность за бардак с защитой информации в стране на бизнес.
Вирус – не причем
Удивительно, но, как следует из пояснительной записки к законопроекту №6711, кибератака 27 июня к предлагаемым мерам об усилении админответственности непосредственного отношения не имеет.
Оказывается, Государственная служба специальной связи и защиты информации (Госспецсвязи) как разработчик документа, исполняла соответствующие поручения Кабмина в связи с решением СНБО об обеспечении киберзащиты, датированным еще 29 декабря 2016 г.!
Так долго исполняла, что вместе с киберполицией прохлопала самую масштабную кибератаку. И больше пострадал от нее именно бизнес. Во всяком случае, по словам Геннадия Дубка, заместителя начальника Департамента киберполиции – начальника управления противодействия преступлениям в сфере информационной безопасности, по состоянию на середину июля Нацполиция зарегистрировала более 1,5 тыс. заявлений физических и юридических лиц. Более 800 их них занесены в Единый госреестр досудебных расследований, то есть открыты уголовные производства по признакам преступления, предусмотренного ст. 361 УК («Несанкционированное вмешательство в работу компьютеров, автоматизированных систем, компьютерных сетей или сетей электросвязи»).
Не менее 600 дел как раз касаются частных предприятий, компьютерные сети которых оказались наиболее уязвимыми перед зловредным вирусом. Видимо, исходя из аксиомы о том, что бизнес всегда и во всем виноват, разработчики законопроекта предлагают привлекать к административной ответственности за ненадлежащую защиту не только руководителей госпредприятий и учреждений, но и первых лиц. Цитируем законопроект, «предприятий, учреждений и организаций независимо от формы собственности».
В какой-то мере упоминание о руководителях – мера оправданная. «Исходя из ст. 363 УК, к ответственности за нарушения правил эксплуатации и защищенности системы предприятия, привлекается только лицо, которое непосредственно отвечает за эксплуатацию компьютерной техники, – отмечает Александр Виниченко, младший юрист компании по обслуживанию иностранных инвестиций Investment Service Ukraine. – Предлагая эту норму, законодатель стимулирует более тщательный контроль кибербезопасности со стороны должностных лиц предприятий и государственных органов».
Более того, как отмечает Анжелика Дычка, юрисконсульт юридической компании LECON, Закон «О защите информации в информационно-телекоммуникационных системах», Правила обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах, утвержденные постановлением Кабмина N373 от 29.03.06 г., ДСТУ 3396.1-96 «Защита информации. Техническая защита информации. Порядок проведения работ» возлагают ответственность за обеспечение защиты информации на ее владельца, вне зависимости от формы собственности предприятия.
Однако события 27 июня показали, что это не совсем так.
Ну, например, должны ли в равной степени отвечать за сбои в работе руководители легшего тогда «на дно» государственного «Ощадбанка» и его клиентов – частных предприятий? Или же руководство ГФС, приостановившее прием электронной отчетности – вместе с налогоплательщиками, лишенными возможности зарегистрировать налоговые накладные и оказавшиеся под угрозой применения штрафных санкций?
Кстати, в последнем случае государство пошло навстречу бизнесу, тем самым взяв на себя ответственность за последствия кибератаки. Президент Петр Порошенко в понедельник, 24 июля, подписал Закон о внесении изменений в Налоговый кодекс о неприменении штрафных санкций за несвоевременную регистрацию налоговых и акцизных накладных вследствие несанкционированного вмешательства в работу компьютерных сетей налогоплательщиков.
Таким образом, делают вывод эксперты, законопроект №6711 не учитывает реалии, сложившиеся в Украине после событий 27 июня. А реалии таковы, что на первый план должны выйти не столько поиски виноватых, сколько усилия государства про предотвращению и минимизации последствий кибератак.
«Сейчас просто необходимо направить работу соответствующих госорганов на совершенствование нормативно-правовой базы Украины, путем внедрения норм международных стандартов, стандартов ЕС и НАТО в сфере электронных коммуникаций, защиты информации, информационной безопасности и киберзащиты. Например, по имплементации Директивы 2008/114 / ЕК по вопросам киберзащиты объектов критической инфраструктуры», – отмечает Анжелика Дычка.
Ожидаемые «удавки»
Исходя из законопроекта №6711, полномочия по вынесению протокола об админправонарушении будут возложены на органы Госспецсвязи. Это может означать усиление давления на бизнес со стороны данного контролирующего органа, находившегося, если можно так выразиться, в тени.
А прав для этого у него предостаточно. Согласно Закону «О Государственной службе специальной связи и защиты информации Украины», органы Госспецсвязи могут проводить плановые и внеплановые проверки, инициировать служебные расследования относительно выявленных нарушений и т.п.
«О том, каким образом будут проводить проверки по выполнению требований законодательства по организации и обеспечению защиты информации и будет ли такой порядок прописан отдельным актом, пока еще рано говорить, – считает Анжелика Дичка. – Но это факт: в случае принятия соответствующего Закона у государства появится дополнительный рычаг воздействия на субъектов хозяйствования в данной сфере».
Еще одним из ожидаемых последствий законодательной «инициативы» может оказаться принуждение предпринимателей к приобретению «нужного» госорганам программного обеспечения по принципу: «не купишь – отключим газ» (см. ниже «Адвокат – о «скользких» нормах»). А тут уже будет пахнуть откровенной коррупцией.
Адвокат – о «скользких» нормах
Александр Кондратюк, партнер адвокатского объединения «Бауман Кондратюк», адвокат:
— Проблема заключается в том, что в законопроекте нет четкого ответа на вопрос: какие конкретно лица частного права должны соблюдать специальные требования законодательства о технической и криптографической защите информации. А потому нет никакой гарантии в том, что, например, налогоплательщиков, которые регистрируют налоговые и акцизные накладные в телекоммуникационной системе ГФС, не обяжут соблюдать «требования» о защите информации, обрабатываемой в государственных информационных базах. Скажем, приобрести в добровольно-принудительном порядке ну очень необходимое программное обеспечение для борьбы с Petya.A.