Сьогодні наша держава надзвичайно чутлива до будь-якої небезпеки техногенного та природного характеру. Збройний конфлікт, епідемія Covid-19, розвиток кіберзлочинності й інші загрози становлять значний ризик для країни та суттєво підвищують уразливість важливих об’єктів інфраструктури, що мають велике значення для функціонування суспільства та безпеки населення.
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Таке «підґрунтя» потребує підвищеної уваги у сфері захисту інфраструктури, що має стратегічне значення. Це, зокрема, підприємства оборонної галузі, електромережі, транспортні вузли та інші об’єкти, виведення з ладу або порушення функціонування яких може негативно вплинути на стан національної безпеки і оборони України, навколишнього природного середовища, заподіяти майнову шкоду та становити загрозу для життя і здоров'я людей. Сучасні підприємства енергетичного сектору в своїй роботі все більше покладаються на автоматизовані системи управління виробничими процесами, і це відкриває ще один шлях для завдання їм шкоди.
Відтак, забезпечення безпеки критично важливої інфраструктури — одне з найважливіших завдань будь-якої розвиненої держави.
Чому це важливо
Серйозність наслідків ураження критичної інфраструктури важко переоцінити. Так, у травні 2021 р. Міністерство транспорту США оголосило надзвичайний стан у декількох штатах через зупинку найбільшого трубопроводу Colonial Pipeline внаслідок кібератаки. Зупинка цього стратегічного підприємства миттєво спричинила економічні наслідки: запаси нафтопродуктів почали зменшуватись, а ціни на них — зростати.
Серед інших прикладів — злом електронної пошти низки федеральних прокуратур США. Конфіденційна інформація, стратегії та імена інформаторів — усе це опинилося в руках злочинців. Думаю, не треба пояснювати масштаб можливих наслідків таких уражень.
На тлі цих подій американський президент підписав указ, спрямований на підвищення кібербезпеки країни. Документом передбачено низку заходів, спрямованих на усунення бар'єрів для обміну інформацією про загрози між урядом і приватним сектором, модернізацію і впровадження більш суворих стандартів кібербезпеки у федеральному уряді, підвищення безпеки ланцюга поставок програмного забезпечення. Крім того, указ передбачає створення ради з аналізу кібербезпеки, а також розвиток можливостей розслідування інцидентів та виправлення їх наслідків.
Бізнес-лідери різних галузей на зустрічі з президентом погодилися виділяти мільярди доларів на посилення кіберзахисту країни. Техногіганти взяли на себе зобов’язання просувати нові галузеві стандарти та навчати фахівців, які заповнять до 500 тис. робочих місць у сфері кібербезпеки США: Apple створить програму, покликану підвищити рівень безпеки у технологічних ланцюгах постачання; Google пообіцяла інвестувати понад $10 млрд у посилення кібербезпеки протягом 5 років та провести навчання 100 тис. американців у технічних галузях; Microsoft виділить $20 млрд протягом 5 років на постачання більш просунутих заходів безпеки; компанія IBM протягом 3 років навчить понад 150 тис. людей навичкам у сфері кібербезпеки та розробить безпечні методи шифрування для квантових обчислень.2007 р. запам’ятався естонцям потужним ударом кіберзлочинців, котрі заблокували доступ до сайтів банків, міністерств та парламенту. Банкомати припинили видачу грошей, а на телефонні номери термінової допомоги було неможливо додзвонитись. Цей хаос був викликаний так званими DDoS-атаками. За рік потому у Таллінні був заснований об’єднаний центр передових технологій з кібероборони НАТО.
Не обійшлося без гіркого досвіду й в Україні, де у 2017 р. розгорнулася масштабна кібератака, що спричинила порушення роботи українських державних підприємств, установ, банків тощо. Внаслідок атаки була заблокована діяльність аеропорту «Бориспіль», ЧАЕС, «Укртелекому», «Укрпошти», «Ощадбанку», «Укрзалізниці» та низки інших великих підприємств. Ураженню піддалися інформаційні системи Міністерства інфраструктури та Кабінету міністрів, сайти Львівської міської ради, Київської міської державної адміністрації, кіберполіції та Служби спецзв’язку України.
В результаті було виведено з ладу близько 10% персональних комп'ютерів в Україні — як особистих, так і в державних та недержавних установах і підприємствах. Ці та інші приклади спонукають якнайшвидше звернути підвищену увагу на питання захисту критичної інфраструктури.
Західний стандарт
Корисно звернутися до досвіду інших держав у сфері захисту критичної інфраструктури. Особливої актуальності для європейських країн питання її захисту набуло у 2001 р., після трагічних подій 11 вересня. У 2004 р. Європейська комісія почала розробляти загальну методологію захисту критичної інфраструктури та рекомендувала підвищити увагу до безпеки об’єктів, припинення функціонування яких матиме негативні наслідки.
Протягом наступного десятиріччя держави почали впроваджувати концепції захисту на законодавчому рівні. Наприклад, польський уряд ухвалив закон про управління кризовими ситуаціями, в рамках якого подано чітке розуміння параметрів критичної інфраструктури та її захисту. Не залишилась осторонь і Словаччина, де у 2011 р. було прийнято закон про критичну інфраструктуру, котрий чітко визначав перелік таких об’єктів та державні органи, що відповідають за їх захист. Одну з найбільш комплексних законодавчих баз у цій царині продемонструвала Угорщина: прийнятий нею закон про захист критичної інфраструктури чітко визначає порядок і принципи зарахування об’єктів до категорії критичних, проведення інспекцій та механізм взаємодії між державними органами у критичних ситуаціях.
На сьогоднішній день питання захисту критичної інфраструктури є важливим напрямом у сфері безпеки країн-членів ЄС та НАТО. Важливе місце її захисту відводять і експерти Світового банку, котрі зазначають корисність приділення урядами особливої уваги питанню безпеки стратегічних об’єктів, що має зменшити можливі наслідки аварій техногенного та природного характеру.
Саме поняття «критичної інфраструктури» було введене у міжнародну практику в середині 1990-х. Воно знайшло відображення у нормативно-правових актах, науковому і діловому колах.
На сьогоднішній день міжнародною спільнотою не вироблено загальноприйнятого універсального визначення критичної інфраструктури, але визначення, зафіксовані в документах різних держав і об'єднань, багато в чому перетинаються і не суперечать одне одному.
Проблема розробки загальних визначень існує не тільки на міжнародному, а й на національному рівні. Так, у США глосарій Національного інституту стандартів і технологій (NIST) містить 5 схожих, але не ідентичних визначень критичної інфраструктури, які використовуються в різних документах. Наприклад, у документі NIST «Платформа для поліпшення кібербезпеки критично важливої інфраструктури» від квітня 2018 р. наведено таке визначення: «Фізичні або віртуальні системи та активи, які настільки життєво важливі для Сполучених Штатів, що часткове або повне порушення їх працездатності негативно позначиться на кібербезпеці, національно-економічній безпеці, здоров'ї або безпеці громадян».
А у директиві Європейської ради 2008/114/ЄC критична інфраструктура визначена як актив, система або її частина, розташована на території ЄС, що має велике значення для підтримки життєво важливих соціальних функцій, здоров'я, безпеки, економіки або благополуччя населення, порушення роботи або знищення якої приведе до значного впливу як мінімум на дві держави-члена.
Очевидно, що наведені визначення відрізняються, але сходяться в головному: вони визнають значимість безперебійної роботи критичної інфраструктури. Крім того, всі держави визнають, що навколишнє середовище інформаційно-комунікаційних технологій взаємопов'язане і взаємозалежне.
А як в Україні?
Відповідно до Закону України «Про національну безпеку України», ключовим поняттям у контексті безпеки є захищеність державного суверенітету. Цікаво, що законодавець обирає саме таке слово, адже «захищеність», по суті, — це стан, якого можна досягти лише внаслідок ефективної та системної роботи, а саме захисту. Складність такої роботи полягає в необхідності постійного дотримання методологічних засад на різноманітних рівнях, комплексного аналізу та своєчасного впровадження необхідних правових важелів.
Питання правового врегулювання у сфері захисту критичної інфраструктури в Україні досить нагальне. Проблемою є фактична відсутність дієвої політики у сфері захисту об’єктів критичної інфраструктури. Це випливає як з недостатності системного підходу на національному рівні, так і з законодавчої невизначеності форм взаємодії державних органів між собою. Незважаючи на дію низки законів та інших нормативно-правових актів, що визначають повноваження й компетенцію державних органів у цій сфері, в Україні досі бракує системного підходу до управління комплексом таких систем та об’єктів. Відсутні й будь-які законодавчі прояви здійснення державно-приватного партнерства у сфері захисту критичної інфраструктури, що є одним з пріоритетних напрямів, зважаючи на світовий досвід.
Вочевидь, держава не зможе ефективно боротися з можливою небезпекою, знаходячись у правовому вакуумі, тож необхідно якнайшвидше заповнити цю прогалину. На сьогодні в Україні працюють 3 окремі системи захисту. Незважаючи на їх пов’язаність, це призводить до неефективного реагування на загрози комплексного характеру. Внаслідок цього у державі зростають ризики шкідливих дій стосовно об’єктів критичної інфраструктури. Тож існуюча на даний момент нормативно-правова база не може бути надійним фундаментом для побудови дієвої системи захисту таких об’єктів. Державі необхідно запровадити єдину термінологію та підходи у цій сфері. Зважаючи на досвід провідних країн світу, питання побудови ефективних механізмів реагування на загрози, небезпеки і ризики має стати вагомою частиною системи національної безпеки.
Існуючої на цей момент нормативно-правової бази у сфері захисту об’єктів критичної інфраструктури вочевидь недостатньо. Закон «Про основні засади забезпечення кібербезпеки України» впроваджує визначення об’єкта критичної інфраструктури, визначає повноваження для переліку об’єктів критичної інфраструктури, проте не встановлює критеріїв ідентифікації таких об’єктів. І хоча держава намагається робити кроки у бік поліпшення (зокрема, почато процес вступу України до Об’єднаного центру передових технологій з кібероборони НАТО; затверджена Стратегія кібербезпеки України), цього все одно замало.
Підвищити ефективність правового регулювання в контексті захисту критичної інфраструктури може прийняття базового закону «Про критичну інфраструктуру та її захист». В Україні вже існує та перебуває на стадії погодження такий законопроєкт, розроблений Мінекономрозвитку на виконання доручення Кабінету міністрів від 21.02.2017 р. №1835/4/1-17 до Указу Президента України від 16.01.2017 р. №8/2017 «Про рішення Ради національної безпеки і оборони України від 29.12.2016 р. «Про удосконалення заходів забезпечення захисту об’єктів критичної інфраструктури». Законопроєкт визначає основні терміни, принципи, засади та унормовує діяльність у сфері захисту критичної інфраструктури. Та незважаючи на його прогресивний характер, очевидною вбачається можливість його вдосконалення. Подальше доопрацювання та прийняття такого закону дасть змогу чітко визначити критерії й методологію ідентифікації об’єктів критичної інфраструктури, а також запровадити комплексний підхід до їх захисту, що було б логічним розвитком подій, зважаючи на об’єктивну необхідність цього.
Отже, великий досвід провідних держав світу, приділення особливої уваги та постійний пошук механізмів удосконалення сфери захисту об’єктів критичної інфраструктури стануть істотним закликом до дій для вітчизняного законотворця. Враховуючи пріоритетність цього напряму, необхідне термінове доопрацювання та прийняття закону «Про критичну інфраструктуру та її захист», що дозволить чітко визначати критерії ідентифікації об’єктів такої інфраструктури, впровадити системний підхід та уодноманітнити термінологію. Не менш важливим напрямом є ефективна міжнародна співпраця, адже оптимізація механізмів забезпечення захисту об’єктів критичної інфраструктури має базуватися на формуванні ефективної моделі забезпечення безпеки.