Кібербезпека: «популярна юриспруденція» з елементами залаштункових маніпуляцій
Остання ініціатива КМУ (Законопроект 8304) щодо посилення відповідальності за кіберзлочини викликає багато питань серед спільноти, тому спробую пояснити у чому суть зрозумілою мовою.
Так би мовити, “популярна юриспруденція” з елементами залаштункових маніпуляцій.
Спочатку про подання законопроекту Кабміном, тут є показовий нюанс.
Як відомо, подавати законопроекти до Верховної Ради мають право лише 4 категорії трудящих: Президент, депутати ВРУ, КМУ та Національний банк. Більше ніхто.
Юридичною мовою це називається “суб’єкти права законодавчої ініціативи”.
МВС чи СБУ не мають права подавати законопроекти самостійно, тому вимушені це робити через зазначених чотирьох суб’єктів. Тобто, треба домовлятися з кимось з чотирьох. І вмовляти, переконувати чи щось обіцяти (політичні дивіденди, приміром).
Як ми знаємо, СБУ підпорядковується Президенту, а МВС-Нацполіція входить до складу Кабміну. І це трохи різні вертикалі.
І якщо СБУ пропихує розширення своїх повноважень через КМУ, то це означає, що питання погоджене з Нацполіцією-Кіберполіцією. А це, у свою чергу, означає, що у них є взаєморозуміння з цих питань.
Але не зовсім зрозуміло, чому законопроект не просувається через власного шефа – Президента України. Питання “на_подумати”. Можливо, це була спільна ініціатива Нацполіції та СБУ, чи може готувала законопроект Кіберполіція, а СБУ просто добавив свої положення. А може, з інших причин, не суть.
У будь якому разі, у разі прийняття оцих доповнень до КК, “заліковано” може собі поставити Кіберполіція, а СБУ “всього лише” отримає додаткові повноваження та важелі впливу.
Кіберполіція наразі не хоче/не може/не має часу розслідувати прям усі-усі кібер-злочини (згідно Кримінально-процесуального кодексу, розслідування практично усіх кіберзлочинів віднесено до компетенції МВС-Нацполіції).
А СБУ хоче, але не всі, а лише ті, які мають стосунок до нацбезпеки.
І ще СБУ втомилося чухати ліве вухо правою рукою через потилицю (проводити слідчі дії руками прокуратури та/або Нацполіції, маючи власний доволі потужний штат працівників).
По факту, законопроект 8304 містить три важливих моменти:
- суттєво посилюється відповідальність за вже передбачені Кодексом кібер-злочини (статті 361-363 КК);
- до існуючих статей добавляється окремі позиції (кваліфікуючі ознаки) щодо об’єктів критичної інформаційної інфраструктури з надзвичайно збільшеним покаранням за це; приміром, якщо за продаж “звичайних” баз даних передбачено до 2 років тюрми, то за продаж баз даних об’єктів критичної інформаційної інфраструктури - вже до 7 років; може виникнути смішна ситуація, що одна і та ж сама база, вкрадена з різних об’єктів, буде каратися дуже по-різному;
- до СБУ передається підслідність по кібер-злочинам, але лише стосовно об’єктів критичної інформаційної інфраструктури.
У разі прийняття ВРУ цього законопроекту, потенційний зловмисник має тричі подумати – кого ламати.
Якщо об’єкт атаки не є об’єктом критичної інформаційної інфраструктури – розслідувати буде Кіберполіція, у якої просто не вистачає часу та людей на усі заяви.
Якщо ж кібер-злодій необачно стягне базу з електростанції, Укрзалізниці, НБУ чи ключового системного провайдера – тут вже ним буде займатися СБУ.
І різниця тут є.
В СБУ людей не так багато, як в Кіберполіції (хоча хтозна, насправді), але в СБУ значно менший перелік статей і тому значно більше ресурсів для розслідувань.
Тобто кіберзлочинці мають уважно відслідковувати зміни до Реєстру об’єктів критичної інформаційної інфраструктури. Якого поки що не існує.
Але існує ще один цікавий нюанс.
Наші західні партнери все серйозніше наполягають на докорінному реформуванні правоохоронних та спеціальних органів в Україні. Власне, цього ж вимагає і суспільство, але якось не дуже наполегливо.
І однією з цих вимог є позбавлення СБУ функцій досудового слідства.
Тобто СБУ має бути виключно спецслужбою і працювати оперативно-розшуковими методами проти іноземних спецслужб, шпигунів, терористів та (запорєбрікових) кібербанд.
Наявність в спецслужбі власних слідчих, слідчих ізоляторів, проведення офіційних обшуків, вилучення серверів – це пережиток радянської епохи, застаріла модель, яка дає спецслужбі можливість впливати на свободу слова чи то опозиційні сили та породжує корупцію (бо слідство=корупція).
В ідеалі, для проведення слідства та слідчих дій має бути окреме відомство, яке буде розслідувати справи в інтересах Нацполіції, СБУ чи Держприкордонслужби. Коли зазначені оперативно-розшукові відомства отримали достатньо матеріалу для притягнення винної особи до відповідальності – вони мають передати ці матеріали до слідчого органу і ті вже мають проводити арешти, обшуки, допити свідків, проводити експертизи, тощо.
Ця схема теж містить певні ризики, але менші, ніж за існуючої системи. Аргумент “навіщо нам ще один держорган” не працює, це просто анткорупційний перерозподіл повноважень, щоб виявляли, розслідували та приводили до суду різні люди.
Особливо, за умов, коли уся країна відчайдушно намагається придушити гідру корупції, яка нам так заважає жити.
Посилення відповідальності за існуючі кіберзлочини – питання, яка вже давно визріло і перезріло, оскільки у інших цивілізованих країнах відповідальність за подібні “пустощі“ значно жорсткіше української.
А якщо наш Світ рвучко рухається по шляху поступового переселення у світ віртуальний, то й покарання у віртуальному світі мають наближатися до покарань світу фізичного, офлайнового.
В цілому ж, ефект від прийняття Радою законопроекту, напевно що, буде приблизно таким, як на відео під цим постом (19 секунд)
Поки що так, чекаємо на розгляд законопроекту в ВРУ. Має бути цікаво.
P.S.: Ось тут якраз нещодавно стало відомо про хак сайт Міністерства енергетики та вугільної промисловості. Сайт був дуже вразливий, його безпекою ніхто не займався, і якісь дурнуваті лайнохацкери цим скористалися, навіть не знаючи – кого вони похачили.
Так от, якщо б цей сайт було внесено до Реєстру об’єктів критичної інформаційної інфраструктури – то розслідувати мало б СБУ; якщо нє – то Кіберполіція.
Костянтин Корсун
FB
реклама