Про кібер-законодавство та (недолугі) спроби його підлатати

Трохи про нудне: про кібер-законодавство та (недолугі) спроби його підлатати. Лонгрід.

Спойлер: латали нашвидкоруч, на колінці, не добираючи ниток, і лише найбільш помітні дірки. І, звісно, не без корисливих мотивів.

Як відомо, законодавство ніколи не встигає за реаліями життя, воно завжди плететься трохи (або нетрохи) позаду.

Чому — то окрема тема, більш соціальна, філософська та неслабо мізантропічна.

Але ж мені найближче тематика кібербезпеки, тому ось кілька думок за результатами інтенсивного вивчення проекту Закону України “Про внесення змін до деяких законодавчих актів України щодо протидії загрозам національній безпеці в інформаційній сфері” авторства Вінник-Тимчук-Чорновол.

Спочатку, урочисто поклавши руку на свій припалий пилом юридичний диплом, відразу скажу, що текст у деяких місцях написаний не те щоб непрофесійно, але наче недосвідченим юристом: деякі речення настільки складні для розуміння, що на середині забуваєш про що взагалі йдеться. Перечитуєш ще кілька разів, ворушиш губами, промовляєш вголос — інколи смисл вдається вловити, інколи ні. Це типова ознака недосвідченості автора як юриста, коли слова і речення просто скирдуються у купу, без оптимізації. Досвідчений юрист, який прагне уникнути подвійного-потрійного трактування і хоче однозначно визначити вимоги Закону, напише не одним довжелезним реченням з безліччю “що” та дієприслівників, а кількома короткими, але зрозумілими і чіткими.

Але то таке, у нас половина законодавства так написана.

Трапляються взагалі пропуски значущих слів.

Щоб не бути голослівним, лише один приклад: 

“Підставою для включення посадовими особами національної комісії, що здійснює державне регулювання у сфері зв’язку та інформатизації, щодо інформаційного ресурсу (сервісу) у мережі Інтернет до Реєстру відомостей, зазначених у частині другій цієї статті, є надходження....”

Скорочена більш людська версія: Підставою для включення чуваками з НКРЗ (включення чогось кудись, так?) і тут зненацька фраза “щодо інфрмаційного ресурсу” (це до чого??) до Реєстра є бла-бла-бла. Більше за все десь просто пропущено слово ...“відомостей щодо”... або “даних щодо”. Але ж людоньки, це ж проект Закону України, не могли народні депутати тупо провтикати слово, як напівтверезий першокурсник?

Тепер до ідеологічного наповнення проекту Закону.

Зрозуміло, що проект написаний щоб закрити дірки (пробіли) і легалізувати невизначені положення відомих Указів про санкції і блокування інформаційних ресурів. Для цього вносяться зміни і у Закони про СБУ, і про НКРЗ, і про телекомунікації, і навіть до Кримінального та Кримінального процесуального кодексів.

Масштабно.

“Але є одне але”(С). І не одне.

Передбачається надання додаткових повноважень СБУ, НКРЗ, Держспецзв’язку з блокування ресурсів. Сьогодні вони блокують росіянський-проросіянський контент як антиукраїнський, а завтра антиукраїнським контентом буде визнано будь-яка критика діючої влади, включаючи цей огляд.

Провайдерів брутальним чином “ставлять на бабки” - примушують купувати коштовне обладнання, причому саме таке, на яке вкаже пальцем СБУ-Держспецв’язку. 

Якось корупцією сильно затхнуло, нє? Чи існують у сучасній Україні люди, які вірять у непідкупність вітчизняного силовика?

І ще важливе зауваження: питання “хто за це платитиме” обговорюється вже багато років, у тому числі активні дискусії мали місце у розпал часів злочинної влади (без лапок).

І навіть тоді банда янучар не наважилася “перегнути через коліно” провайдерів. А тепер шо, вже можна не гратися у демократію? Війна все спише?

Мотивація авторів законопроекту не зрозуміла. Може, вони дійсно вважають, що провайдери на це згодні? Сильно сумніваюся.

Зате частина штрафів за невиконання виписана бездоганно — у цьому наші чиновники та законотворці неперевершені, це ж їх хліб з ікрою на островах.

Перший раз — 1 відсоток від річного доходу (!)

Увага: не від прибутку, а від доходу. Тобто від усього, що надійшло на рахунки підприємства.

Другий раз — вже 5 відсотків від того ж таки доходу. А це вже дуже-дуже боляче, особливо у сучасних економічних умовах. Інколи може означати банкрутство або близький до нього стан.

Уявляєте, яким ці штрафи будуть важелем у силовиків по віджиму бізнесу або простого вимагання хабарів? Уууу.

Законодавча спроба якимось чином прирівняти кібератаки до тероризму є хибною від початку (IMHO), окрім окремих випадків на кшталт дуже нетипових ситуацій, коли атака на електро- чи атомну станцію призвело до тимчасового зупинення електропостачання. Що, у свою чергу, опосередковано призвело до смерті чи шкоди здоров’ю людей, скажімо, відключення апарату штучного дихання чи знеструмлення реанімаційної. 

Кібератаки можуть сприяти чи бути однією зі складових теракту, але самостійно — мабуть, ні. Це моє особисте переконання і на цю тему було б правильно дискутувати окремо, тема широка, у різних країнах існують різні підходи до неї.

Окремо про інші смішні і дурні місця, які особливо запам’яталися:

“або загрожують виникненням загрози” - ггг, ще можна написати “загрожуть загрозою виникнення загрози виникнення загрози”

“прийнятого відповідно до закону рішення слідчого судді, суду, прокурора, слідчого, погодженого з прокурором, про застосування ....” - хтось в курсі, що це за один “слідчий, погоджений з прокурором”? Це який такий слідчий? Який погодився з прокурором? Чи прокурор погодив кандидатуру слідчого? І з яких це часів у нас прокурори “погоджують” слідчих?

А ось інший аспект: у нас в країні кілька десятків тисяч (а може, і більше) суддів, слідчих і прокурорів, вони є у кожному обласному чи районному центрі, у звичайному селі чи містечку. 

І кожен з них матиме змогу блокувати “сєпарський” ресурс? 

Маємо ризик залишитися в чебурнеті з сайтом Президента, КМУ, Держспцзв’яку та СБУ.

Ще цікаве положення стосовно нових обов’язків провайдерів (поки ще лише пропонується законотворцями):

Оператори телекомунікацій зобов'язані:

..............

припиняти пропуск всіх видів трафіка до/від телекомунікаційних мереж суб’єктів господарювання, до яких застосовано відповідні санкції згідно із Законом України «Про санкції». Припинення пропуску трафіка може бути забезпечено як оператором телекомунікацій самостійно, так і на договірних засадах іншими операторами телекомунікацій;

Наскільки я вмію читати букви української абетки, це означає, що якщо якийсь росіянський бета-омега-банк, який працює в Україні і знаходиться під українськими санкціями, не може взагалі отримати доступ до Інтернет, ніякий. Заборонений навіть трафік між українською філією і московською штаб-квартирою. Мережа, відключена від Інтернет: безпечна і нікому не потрібна.

Якось це занадто. І, здається, шось там про права людини, у тому числі громадянина країни-агресора. Ключове слово — людини.

Якщо коротенько — то у мене наче все.

Менш цікаве свідомо викреслив, щоб не втомлювати читача.

Загальні висновки: не беручи до уваги численні стилістичні помилки, проект Закону містить окремі позитивні речі, але лише у частині легалізації-гармонізації попередніх (доволі суперечливих) рішень РНБО і Президента.

Але в цілому проект носить диктаторський характер на межі обмеження свободи доступу до інформації та свободи слова. Плюс додає трохи корупції.

І не має жодного стосунку до забезпечення кібербезпеки країни. Мова може йти (можливо) про агресивну силову контр-пропагандистську роботу, але не про кібербезпеку.

Від слова “зовсім”.

Та і терміна такого там не згадується. 

“Тю, так а чого ж ти про це все писав??” - запитає допитливий (як В.Г.) читач.

Але вже нехай буде написано, все ж “інфоромаційна безпека” то є поняття набагато ширше за “кібербезпеку”.

Хоча дуже мало хто розуміє різницю, і не тільку у ВРУ.

Сподіваюся, поки я це писав, цей проект ще не став Законом.

Бо його буде негайно знов переписувати.

Бережімося.

Костянтин Корсун
FB