ICTV Ранок 12.01.2022 09:00
12.01.2022 09:00
Поділитися

Захистить від катастроф? Закон «Про критичну інфраструктуру»

Закон Про критичну інфраструктуру Михайло Чайкін блоги
Михайло Чайкін
Міжнародний консультант з кібербезпеки (EY Ukraine)

16 листопада Верховна Рада України прийняла у другому читанні та направила на підпис Президенту Закон України «Про критичну інфраструктуру». 10 грудня Закон був підписаний Президентом.

Основною метою цього Закону є регулювання захисту тих підприємств та організацій, які мають велике значення для життя країни, що вимагає особливої уваги до їх захисту від природних та техногенних катастроф – від посух та повеней до кібератак, терористичних актів та військових операцій.

Для чого це потрібно?

Далеко за прикладом йти не потрібно – що буде, якщо мобільний зв’язок і інтернет різко перестануть працювати, зникне електрика або, наприклад, зупиниться робота національних торгових мереж, які задовольняють потреби населення в продуктах харчування?

Прикладом може бути кібератака вірусу NotPetya у 2017 році. Тоді робота величезної кількості організацій і компаній була паралізована на кілька днів.

При цьому з’ясувалося, що в нашій країні немає особливих вимог до забезпечення безпеки об’єктів критичного призначення, навіть поняття «об’єкти критичної інфраструктури» немає.

Також по темі: Кібергігієна: чому інформаційна безпека стала настільки актуальною? Глобальний збій цифрових сервісів. Чи можна покладатися на діджитал? Медіагігієна на пальцях: як розпізнати фейкову новину

Більш того, самі вимоги до безпеки, в тому числі кібербезпеки, були чітко розроблені і прописані тільки для банківського сектору відповідно до міжнародних стандартів. Також є певна подоба вимог до державного сектору, але знову ж таки – тільки в сфері інформаційної безпеки і вони дуже застаріли. Всі інші сектори економіки, які є такими насправді, нічим не регулюються.

Першою згадкою терміну «об’єкти критичної інфраструктури» стала його поява в Законі України «Про основні засади забезпечення кібербезпеки України» у 2018 році, в якому було встановлено, що такі об’єкти існують, а методологія атрибуції та перелік таких об’єктів мають формуватися Кабінетом Міністрів України та Національним банком України (але лише для банківського сектору).

Через 2 роки НБУ сформував критерії в постанові No151 за 2020 рік, а трохи пізніше – перелік банків – об’єктів критичної інфраструктури:

  • Національний банк України;
  • АБ “Укргазбанк”;
  • Акціонерний банк “Південний”;
  • АТ КБ «ПриватБанк»;
  • АТ «А-БАНК»;
  • АТ «Альфа-Банк»;
  • АТ «ОТП Банк»;
  • АО “Ощадбанк”;
  • АТ «ПУМБ»;
  • АТ «РАЙФФАЙЗЕН Банк Аваль»;
  • АТ «Таскомбанк»;
  • АТ «Укрексімбанк»;
  • АТ «Укрсиббанк»;
  • АТ «Універсал Банк».

Особливу увагу такі банки отримають під час перевірок НБУ у сфері інформаційної безпеки та безпеки в цілому.

Однак Кабінет Міністрів України не завершив таку роботу, тому питання про те, що відноситься до об’єктів критичної інфраструктури поза банківським сектором, залишалося відкритим.

Слід зазначити, що в США і ЄС, наприклад, вже давно існує перелік секторів економіки та інфраструктури, які відносяться до критичної інфраструктури – приклад такого списку в США можна знайти на сайті Агентства з кібербезпеки та безпеки інфраструктури США.

Що належить до об’єктів критичної інфраструктури

Оскільки це питання належить до сфери національної оборони, влітку Президент вніс до Верховної Ради, як невідкладний, законопроект «Про критичну інфраструктуру».

І ось він нарешті прийнятий.

Цей закон у статті 9 окреслив сектори економіки, які стосуються критичної інфраструктури – загалом 17 сфер:

1) урядування та надання найважливіших публічних (адміністративних) послуг;

2) енергозабезпечення (у тому числі постачання теплової енергії);

3) водопостачання та водовідведення;

4) продовольче забезпечення;

5) охорона здоров’я;

6) фармацевтична промисловість;

7) виготовлення вакцин, стале функціонування біолабораторій;

8) інформаційні послуги;

9) електронні комунікації;

10) фінансові послуги;

11) транспортне забезпечення;

12) оборона, державна безпека;

13) правопорядок, здійснення правосуддя, тримання під вартою;

14) цивільний захист населення та територій, служби порятунку;

15) космічна діяльність, космічні технології та послуги;

16) хімічна промисловість;

17) дослідницька діяльність.

При цьому в статті вказується, що цей список не є повним. Використовується формулювання “в тому числі”.

Категорії критичности

Крім того, у статті 10 зазначено, що під такими об’єктами можуть перебувати організації не тільки національного, а й місцевого значення, відповідно до рівня критичності:

I категорія критичності – особливо важливі об’єкти, які мають загальнодержавне значення, значний вплив на інші об’єкти критичної інфраструктури та порушення функціонування яких призведе до виникнення кризової ситуації державного значення;

II категорія критичності – життєво важливі об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації регіонального значення;

III категорія критичності – важливі об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації місцевого значення;

IV категорія критичності – необхідні об’єкти, порушення функціонування яких призведе до виникнення кризової ситуації локального значення.

Таким чином, під регулювання потрапить багато об’єктів різних рівнів – від електростанцій, до місцевого продуктового магазину, який є єдиним у віддаленому селі.

У чому ризики?

Крім того, Законом у статті 5 встановлено, що буде створено новий регуляторний орган – Уповноважений орган у сфері захисту об’єктів критичної інфраструктури України, який має створити та вести реєстр об’єктів, розробляти нормативно-правову базу та проводити перевірки та регулювання.

І тут криється головний ризик – оскільки сфера діяльності і повноваження органу дуже широкі, є корупційні ризики в його функціонуванні, особливо з огляду на те, що заходи безпеки завжди досить дорогі і знайти недоліки в них не складе труднощів, в умовах, коли раніше не було регулювання.

Крім того, стаття 32 встановлює вимоги до страхування ризиків безпеки, що також вимагає окремої і дорогої підготовчої роботи, висококваліфікованих спеціалістів і розвиненої системи страхування в сфері безпеки і ризиків.

Виходячи з вищесказаного, ми отримаємо новий державний регулятор, який, посилаючись на національну безпеку, зможе встановити будь-які вимоги і провести аудит дотримання цих вимог, в тому числі в сфері страхування ризиків, для величезної кількості компаній – від національних мереж продуктових магазинів, до єдиних аптек і продуктових магазинів в селах, або окремих невеликих котелень в об’єднаних територіальних громадах, які будуються для соціальних об’єктів (наприклад, для лікарні,  сільської ради та школи).

Важко уявити, що на таких невеликих об’єктах з’являться фахівці, здатні реалізувати ризик-орієнтований підхід, необхідні стандарти захисту або правильно оцінити і застрахувати ризики, щоб не підпасти під штрафи або інші санкції за порушення вимог закону, враховуючи, що відповідальність за Законом передбачена статтею 29.

При цьому, сама концепція Закону є правильною і актуальною, але замість того, щоб розробити нову і невідому нормативно-правову базу і створити регулятора, набагато ефективніше було б обговорити це питання з бізнесом і впровадити міжнародні галузеві стандарти серії ISO (Міжнародна організація зі стандартизації) або NIST (Національний інститут стандартів і технологій США) і висунути вимоги, щодо проходження сертифікаційного аудит відповідно до загально-прийнятих та відомих міжнародних стандартів.

Такий підхід зараз частково реалізований у сфері інформаційної безпеки та демонструє його ефективність. Після цього можна надати регуляторному органу (наприклад, Держаудитслужбі) повноваження для перевірки наявності сертифікації, що зменшить корупційні ризики та залучить до такої роботи готовий пул міжнародних та національних експертів.

Фото: Pexels

 

12.01.2022 09:00


Топ-відео

Гарячі матеріали

Загрузка...

Ведучі каналу

Дивіться на ICTV

Вгору

    Spelling error report

    The following text will be sent to our editors:

    ВГОРУ