Урядова атака на інформаційний простір
Під гаслом протидії російській інформаційній агресії в забезпеченні інформаційної та кібербезпеки вимальовується чергова корупційна схема. Так, законопроект №6688 був тільки початком.
Практично всі ми є споживачами тих чи інших інформаційних продуктів у сучасному виконанні й маємо конституційне право на доступ до інформації. Все більше людей набуває професійного статусу виробника або поширювача інформації. Отже, всі ми зацікавлені в прозорих умовах для такої діяльності з боку держави. Більш того, в цивілізованих країнах світу high tech компанії є однією з переваг в інформаційно-економічній конкуренції. Просто уявіть: якби Україна могла створити нормальні умови для таких людей, як Ян Кум, то What's Up був би до 2014 року українською компанією, й податки з його продажу Facebook отримав би український бюджет.
Але повернімося до фахівців в інформаційній сфері в сучасній Україні. Оскільки така діяльність має значний бізнесовий складник, то одночасно ми живемо не лише за законами формування й розвитку інформаційного суспільства, а й в умовах українських реалій ведення бізнесу. Звісно, ми радіємо публічним деклараціям уряду про зменшення кількості перевірок для бізнесу й тиску з боку правоохоронних органів. Але, по-перше, й перевірки не припинилися, та ще й раптом виявляється, що під "модними" гаслами кібербезпеки держави, держструктури готуються до запровадження чергової схеми "незалежних" перевірок та контролю інформаційного бізнесу.
Серед основних суб'єктів забезпечення кібербезпеки є Державна служба спеціального зв'язку та захисту інформації України (ДССЗЗІ).
Згідно з недавно ухваленим Закону України "Про основні засади забезпечення кібербезпеки України" ДССЗЗІ отримала низку завдань. Зокрема, ДССЗЗІ "забезпечує впровадження аудиту інформаційної безпеки на об'єктах критичної інфраструктури, встановлює вимоги до аудиторів інформаційної безпеки, визначає порядок їх атестації (переатестації); координує, організовує та проводить аудит захищеності комунікаційних і технологічних систем об'єктів критичної інфраструктури на вразливість".
Службою започатковано імплементацію вимог наведеного вище закону про кібербезпеку. Сьогодні опрацьовується кілька проектів нормативних актів, ініційованих ДССЗЗІ. Мова йде щонайменше про такі проекти постанов Кабміну:
Читайте також: Депутатські спекуляції "свободою слова": від нацбезпеки до диктатури
1) "Про затвердження Загальних вимог з кіберзахисту об'єктів критичної інфраструктури, критеріїв та порядку віднесення об'єктів до об'єктів критичної інфраструктури";
2) "Про затвердження порядків формування переліку об'єктів критичної інформаційної інфраструктури, внесення об'єктів критичної інформаційної інфраструктури до державного реєстру об'єктів критичної інформаційної інфраструктури, його формування та забезпечення функціонування";
3) "Про затвердження Порядку організації та проведення незалежного аудиту інформаційної безпеки на об'єктах критичної інфраструктури держави".
Ці документи в державі потрібні, вони є відкритими і з їх змістом можна ознайомитися на сайті відомства. Безумовно, складні назви й тексти видаються складнуватими для розуміння пересічним громадянином. Але за їхніми сухими офіційними реченнями приховані конкретні наслідки для багатьох "гравців" інформаційного простору держави й ІТ-сфери.
Проблема полягає в тому, що запропоновані з боку ДССЗЗІ механізми вирішення наведених завдань виявляються дуже суперечливими й навіть корупційно небезпечними. У разі прийняття постанов Кабміну в запропонованій редакції, держава та суспільство отримає ще одну структуру контролю з такими повноваженнями та механізмами їх реалізації, які більше підходять тоталітарним режимам.
Як це працюватиме? У державі існує значна кількість об'єктів інформаційної інфраструктури різного призначення та форми власності. У цьому контексті для нас інтерес становлять структури теле- та радіомовлення, провайдери Інтернету, засоби комунікацій та ІТ-ринок в цілому.
Довідково: Згідно з текстом проекту нормативного акту, "суб'єкт критичної інформаційної інфраструктури – державний орган, підприємство, установа та організація, юридична та (або) фізична особа, якому (якій) на правах власності, оренди або на інших законних підставах належать інформаційні та інформаційно-телекомунікаційні системи... До Переліку включаються об'єкти критичної інформаційної інфраструктури..., які: провадять діяльність та надають послуги в галузях інформаційно-комунікаційних технологій, електронних комунікацій..."
Читайте також: Наша безпорадність: пропагандисти РФ у Києві розводяться про захист свободи слова
Простими словами: спочатку ДССЗЗІ визначає, кого перевіряти (шляхом включення об'єктів інформаційної інфраструктури до певного переліку). Потім ця ж сама структура визначає умови функціонування об'єкту шляхом формування вимог до його кіберзахисту (до речі, реалізація таких вимог є дуже недешевою справою). А потім ще й вимагає від вас щорічно за ваш рахунок замовляти так званого "незалежного аудитора інформаційної безпеки". Вся незалежність такого аудитора (підготовка, включення до певного реєстру, умови роботи, звітування тощо) безпосередньо залежить від ДССЗЗІ. Коло замикається і створюється прекрасний майданчик для працевлаштування колишніх чиновників ДССЗЗІ після втрати посади чи звільнення. І чи не виникає у вас відчуття чергової корупційної схеми?
Для бізнесу ситуація стає набагато складнішою. Якщо ви є власником ІТ-компанії, комерційного Data-центру, теле- або радіоканалу, інтернет-провайдером тощо, то ваша діяльність є важливою для держави. За певних умов ви можете потрапити до переліку об'єктів критичної інформаційної інфраструктури. І ви як власник зазначеного об'єкту маєте відкладати свої кошти на оплату такого щорічного аудиту. Або це буде зроблено за рахунок зменшення витрат на реально потрібні для інформаційної безпеки речі. Або за рахунок збільшення вартості послуг для споживачів. Додайте до цього всю "радість" спілкування з черговим органом контролю, усунення виявлених недоліків, повторних і позапланових перевірок. В українських реаліях це ще додаткове фінансове навантаження для об'єкту перевірки. І так щорічно.
При цьому навіть тут не обійшлося без політики та спроб отримати контроль над суспільно-політичними аспектами життя країни. Бо знову ж таки, згідно з текстом проекту першого документу "Визначення необхідності включення об'єкта критичної інформаційної інфраструктури до Переліку здійснюється з урахуванням категорії: соціальній значущості, яка виражається оцінкою... припинення або порушення функціонування... телекомунікаційних мереж; політичної значущості, яка виражається оцінкою можливого нанесення втрат Україні у внутрішній і зовнішній політиці".
Отже, в разі прийняття постанов Кабміну в запропонованому вигляді держава, суспільство, бізнес-структури отримають ще одного монополіста-контролера. І водночас уряд продовжує декларувати недопустимість тиску на бізнес і зменшення кількості органів контролю? Цікаво почути, що думають про ці документи гравці ринку телекомунікацій та ІТ-бізнес.
Підписуйся на сторінки UAINFO у Facebook, Twitter і Telegram
Повідомити про помилку - Виділіть орфографічну помилку мишею і натисніть Ctrl + Enter
Сподобався матеріал? Сміливо поділися
ним в соцмережах через ці кнопки