Майже рік тому, після довгого протистояння групи шахраїв від влади з інтернет-спільнотою України пішли в небуття одіозні норми Законопроєкту 8088.
Але...
Вважаємо за доцільне надати такі зауваження та пропозиції до цього проекту Закону, .
1. Проектом Закону пропонуються зміни до Закону України «Про основні засади забезпечення кібербезпеки України» (Відомості Верховної Ради України, 2017 р., № 45, ст. 403 із наступними змінами), зокрема, у статті 8, у частині другій абзац перший, пункти 1-3 викласти в такій редакції:
«2. Основними суб’єктами національної системи кібербезпеки є Державна служба спеціального зв’язку та захисту інформації України, Національна поліція України, Служба безпеки України, Міністерство оборони України та Генеральний штаб Збройних Сил України, розвідувальні органи України, Національний банк України, Міністерство закордонних справ України, Міністерство цифрової трансформації України, які відповідно до Конституції і законів України виконують у встановленому порядку такі основні завдання:
1) Державна служба спеціального зв'язку та захисту інформації України забезпечує формування та реалізацію державної політики з кіберзахисту державних інформаційних ресурсів та інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, кіберзахисту критичної інфраструктури;» …
Тобто, в разі прийняття вищевказаної норми, Держспецзв’язку сама буде формувати та сама реалізовувати державну політику щодо кіберзахисту «інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом», до якої відносяться будь-які, в т.ч. персональні дані. Така норма дає Держспецзв’язку на рівні підзаконних актів досягнути повноважень, які б надавали їй можливість здійснювати повний контроль над будь-яким суб’єктом господарської діяльності, оскільки більшість із таких суб’єктів зберігають персональні дані (база клієнтів, співробітників тощо). При цьому слід зауважити, що відповідальність за порушення законодавства про захист персональних даних з боку володільців чи розпорядників персональних даних, якими можуть бути підприємства, установи і організації усіх форм власності , які обробляють персональні дані відповідно до закону, вже врегульована чинним законодавством України.
Отже, з метою запобігання формуванню нового контролюючого органу з надзвичайними повноваженнями щодо повного контролю над бізнесом і відповідних корупційних ризиків і додаткових адміністративних навантажень на підприємства усіх форм власності, у цьому положенні проекту Закону та далі по тексту проекту Закону необхідно внести уточнення, що інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом і підлягає кіберзахисту,обробляється в системах на об’єктах критичної інформаційної інфраструктури, власниками/розпорядниками яких є виключно органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування.
Таке уточнення надаватиме чіткого розуміння того, що сфера повноважень Держспецзв’язку стосуватиметься не усіх суб’єктів, зокрема, приватного сектору, а лише органів державної влади, державних органів, державних підприємств, установ та організацій, органів місцевого самоврядування, які обробляють в інформаційно-комунікаційних системах інформацію з обмеженим доступом, вимога щодо захисту якої встановлена законом.
2. Проектом Закону пропонується у Законі України «Про основні засади забезпечення кібербезпеки України» (Відомості Верховної Ради України, 2017 р., № 45, ст. 403 із наступними змінами) статтю 8 доповнити частиною сьомою такого змісту:
«7. Розроблення та застосування платних, безоплатних умов пошуку та/або виявлення потенційних вразливостей в інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також на об'єктах критичної інформаційної інфраструктури повинні здійснюватися відповідно до порядку пошуку та/або виявлення потенційних вразливостей, встановленого Кабінетом Міністрів України.
Однією із складових такого порядку пошуку та/або виявлення потенційних вразливостей в інформаційних, електронних комунікаційних та інформаційно-комунікаційних системах, в яких обробляються державні інформаційні ресурси або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, а також на об'єктах критичної інформаційної інфраструктури має бути порядок розроблення та проведення програм пошуку та виявлення вразливостей за винагороду (Bug Bounty), а також порядок узгодженого розкриття вразливостей»;».
Тобто, відповідно до вищевказаної норми, Кабінет міністрів України встановить оплатний порядок пошуку вразливостей, який може бути обов’язковим для ресурсів, де обробляється «інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом», до якої відносяться будь-які персональні дані. Тобто, такий порядок буде обов’язковим майже для будь-якого суб’єкта господарювання.
Тому, у згаданому положенні проекту закону також пропонуємо конкретизувати та встановити, що такі вимоги стосуватимуться лише інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, та яка обробляється в інформаційно-комунікаційних системах на об’єктах критичної інформаційної інфраструктури, власниками/розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування.
3. Проект Закону називається «Про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об'єктів критичної інформаційної інфраструктури». Відтак, в майбутньому, вимоги цього Закону будуть поширюватись на усі об’єкти критичної інформаційної інфраструктури, незалежно від того, чи обробляється на них інформація, власниками/розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування. З огляду на це, усі повноваження Держспецзв’язку, перелік яких запропоновано як доповнення до статті 14 Закону України «Про Державну службу спеціального зв'язку та захисту інформації України» (Відомості Верховної Ради України, 2014 р., № 25, ст. 890 із наступними змінами), будуть поширюватись і на приватний сектор (об’єкти критичної інформаційної інфраструктури), незалежно від того, яка інформація в них обробляється. Такі вимоги вважаємо надлишковим регулюванням діяльності об’єктів критичної інформаційної інфраструктури, а, точніше, навантаженням на працівників таких суб’єктів господарювання, та необґрунтованим розширенням повноважень для Держспецзв’язку.
З огляду на зазначене, пропонуємо опрацювати положення у проекті Закону, встановивши при цьому, що повноваження Держспецзв’язку поширюватимуться не в цілому на об’єкти критичної інформаційної інфраструктури, а лише на ті з них, в яких оброблятиметься інформація, власниками/розпорядниками яких є органи державної влади, державні органи, державні підприємства, установи та організації, органи місцевого самоврядування.
Просимо врахувати надані зауваження та пропозиції при підготовці проєкту Закону до другого читання.
Сподіваємось, що попередній досвід боротьби провайдерів за свої конституційні права, нагадає "гарячим головам" з Верховної Ради, що фашизм в Україні - не пройде. Навіть і в електронному вигляді!