Нове регулювання кібербезпеки в контексті міжнародного досвіду
Незважаючи на активне зростання IT індустрії та інформаційного простору, бізнес все ще не до кінця усвідомлює значимість кібербезпеки.
Перевагою більшості кіберзлочинців сьогодні залишаються не наявність технічних ресурсів і унікальних навичок, а елементарні прогалини законодавства і відсутність уніфікованих правил, які застосовуються у випадку кібератаки.
Каталізатором змін в сфері кібербезпеки став вірус Petya, який змусив серйозно задуматися і переглянути підходи до забезпечення безпеки даних не тільки лідируючі технологічні компанії, але і в цілому, винести це питання на державний рівень.
Перші законодавчі ініціативи
Прийнятий 5 жовтня 2017 року ЗУ “Про основи забезпечення кібербезпеки України” (далі – Закон), можна по праву вважати першим нормативним інструментом, який зачіпає дану галузь на національному рівні. Однак за фактом, Закон швидше встановлює загальні положення і декларує основні аспекти даної сфери, ніж служить правовим інструментом для практичного застосування.
Таким чином, Закон конкретизує об’єкти критичної інфраструктури, які підлягають кіберзахисту, визначає суб’єкти захисту кібербезпеки і їх повноваження, а також вводить в правове середовище деякі терміни, з приставкою кібер.
Наприклад, згідно з п.5 ст. 1 Закону, кібербезпека визначається як захищеність життєво важливих інтересів людини і громадянина, суспільства і держави при використанні кіберпростору, при якій забезпечуються сталий розвиток інформаційного суспільства та належних заходів для запобігання потенційних загроз безпеки України в кіберсреде.
Крім іншого, Закон передбачає і державно-приватне взаємодію в сфері кібербезпеки, як вказується в ст. 10 Закону. Проте, це положення також носить досить формальний характер. В цілому, не дивлячись на те, що Закон спрямований на захист інтересів як держави, так і кожного громадянина, основні його пункти все ж стосуються формування загальної державної політики щодо кібербезпеки.
Західний досвід, як орієнтир подальшого розвитку подій
Безумовно, хорошим прикладом системного підходу до розвитку питання про кіберзахисту можна вважати досвід США. Розроблені стандарти з безпеки (NIST Cybersecurity Framework), які дозволяють виявляти, реагувати і навіть запобігати кібер-інциденти, сьогодні застосовуються багатьма приватними організаціями по всьому світу.
У лютому 2016 року було розроблено План дій по національній безпеці для кібербезпеки ( “Сybersecurity National Security Action Plan”). При цьому, значним прогресом у врегулюванні кіберпростору можуть похвалитися також і окремі штати.
Наприклад, в Каліфорнії існує Акт про повідомлення про порушення правил безпеки ( “Notice of Security Breach Act”), згідно з яким будь-яка компанія, яка в процесі ведення особистої інформації громадян Каліфорнії стикається з порушеннями безпеки, повинна розкривати деталі подібного інциденту. Акт передбачає санкції для компаній за порушення і збої в безпеки даних, надаючи їм свободу вибору способів забезпечення безпеки своїх систем.
ЄС в свою чергу також має позитивний досвід регулювання кіберзлочинності. Основним документом, на який варто звернути увагу і імплементувати його в національне законодавство, є Директива по мережевої та інформаційної безпеки ( “NIS Directive”).
У документі викладається загальний підхід і правила ЄС у сфері кібербезпеки. Він спрямований на активізацію співпраці з кібербезпеки між країнами ЄС. Оскільки основним об’єктом посягання з боку кібепреступніков є конфіденційні дані, Загальний регламент щодо захисту персональних даних ( “GDPR”) також можна віднести до правового стандарту кібербезпеки. Адже в разі відповідності вимогам Регламенту, рівень захисту персональної інформації в цифровому середовищі значно підвищується.
Висновок
У будь-якому випадку, початок регулювання інформаційної безпеки в Україні належить, що однозначно є позитивним кроком. До того ж не так давно уряд США прийняло рішення про подвоєння розміру допомоги Україні для зміцнення кібербезпеки, що також свідчить про позитивний розвиток галузі цифрової безпеки.
Залишилася справа за малим, розробити шляхи реалізації прийнятих норм на практиці.
У цьому дуже може стане в нагоді іноземний досвід, що зазначений вище.
Оригінал статі читайте на сайті Ліга:Закон.