Кажуть, інформація – це свого роду нафта. Цінність інформації, як і нафти, спочатку недооцінювали. Разом з тим, роль інформації у суспільстві дедалі збільшувалася, що у сукупності з іншими факторами (зокрема, зростанням ролі інформаційних і телекомунікаційних технологій) призвело до так званої інформаційної революції та формування інформаційного суспільства. Тепер інформація, її створення, використання та розповсюдження є основою не тільки сфери культури, але й економіки та політики.
Угодою про асоціацію між Україною та ЄС передбачено співпрацю щодо розвитку інформаційного суспільства. Водночас, неможливо вести мову про розвиток інформаційного суспільства без забезпечення інформаційної безпеки, кібербезпеки та конфіденційності. Тому, спробуємо розібратися, в якому напрямку Україні слід рухатись у сфері кібербезпеки, конфіденційності та хмарних технологій, дослідивши стандарти регулювання зазначених областей в ЄС.
Cybersecurity: європейські підходи vs українські реалії
Що таке кібербезпека? В розумінні Стратегії ЄС з кібербезпеки: відкритий, надійний і безпечний кіберпростір (Cybersecurity Strategy of the European Union: An Open, Safe and Security Cyberspace): кібербезпека зазвичай відноситься до заходів і дій, які спрямовані на захист кіберпростору, як в цивільній, так і у військовій сферах, від загроз, які можуть завдати шкоди його взаємозалежним мережам та інформаційній інфраструктурі, або пов’язані з ними. Кібербезпека спрямована на збереження доступності та цілісності мереж та інфраструктури, а також конфіденційності інформації, що міститься в них.
Питання кібербезпеки врегульовані, в тому числі, на рівні національного законодавства держав-учасниць ЄС. Так, Стратегія кібербезпеки Німеччини (Cyber-Sicherheitsstrategie für Deutschland) визначає кібербезпеку як бажаний стан безпеки інформаційних технологій, за якого ризики для кіберпростору зменшені до прийнятного мінімуму (кібербезпека розглядається як у цивільній сфері, так і у військовій).
Стратегія безпеки та оборони інформаційних систем Франції (Défense et sécurité des systèmes d’information – Stratégie de la France) визначає кібербезпеку як бажаний стан інформаційної системи, в якій вона може протистояти загрозам з кіберпростору, які можуть поставити під загрозу доступність, цілісність і конфіденційність даних, що зберігаються, обробляються або передаються у цих системах.
Разом з тим, інформаційна безпека та кібербезпека не ототожнюються. Відтак, в документі Трансформація кіберпростору (Transforming Cybersecurity), підготовленому ISACA, залежно від рівня складності атак і загроз (визначаються на рівні держав або наднаціонального об’єднань) до сфери інформаційної безпеки віднесено: випадкові спроби атак та прості атаки шкідливих програм, до кібербезпеки – кібервійни, цільові кібератаки (АРТ) та фішинг, також існують загрози, які можуть відноситись як до сфери інформаційної безпеки, так і кібербезпеки – комплексні атаки шкідливих програм і експлойт (0day та комплексний).
Що з приводу визначення кібербезпеки на рівні національного законодавства? Наразі є чинною Стратегія кібербезпеки України, затверджена указом Президента України від 15 березня 2016 року № 96/2016, метою якої є створення умов для безпечного функціонування кіберпростору, його використання в інтересах особи, суспільства і держави. Разом з тим, зазначена стратегія не наводить визначення кібербезпеки. Питання інформаційної безпеки, захисту інформації та у сфері інформаційних технологій, як складові національної безпеки, передбачені Законом України «Про основи національної безпеки України», однак загрози національній безпеці у сфері інформаційної безпеки не повністю охоплюють кіберзагрози. Окрім цього, в першому читанні було прийнято проект закону «Про основні засади забезпечення кібербезпеки України», який під кібербезпекою пропонує розуміти захищеність життєво важливих інтересів людини і громадянина, суспільства та держави в кіберпросторі, за якого забезпечується сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі. Які проблеми з окресленим поняттям? По-перше, і найголовніше – абсолютно не зрозуміло, що то за «життєво важливі інтереси» в кіберпросторі, які захищаються. Але, це більше питання законодавчої техніки. По-друге, визначення кібербезпеки дублює дефініцію «національної безпеки» з певним пристосуванням до особливості об’єкту правової охорони, що є не зовсім правильним з огляду на те, що може скластися враження, що кіберпростір це така собі «паралельна реальність». Насправді це не так, паралельної реальності не існує.
Кібербезпека по-європейськи
Основоположним нормативним актом у сфері кібербезпеки є Конвенція Ради Європи про кіберзлочинність від 23 листопада 2001 року, ратифікована Україною 7 вересня 2005 року.
Зазначений документ передбачає існування таких груп кібервтручань та загроз:
1. правопорушення, пов’язані з конфіденційністю, цілісністю та доступністю комп’ютерних даних та систем, до яких належать незаконний (несанкціонований) доступ до комп’ютерних систем, нелегальне перехоплення комп’ютерних даних, пошкодження, знищення, погіршення, зміну або приховування комп’ютерної інформації, втручання у функціонування комп’ютерної системи, незаконне виготовлення, використання комп’ютерних програм, паролів тощо;
2. правопорушення, пов’язані з комп’ютерами, зокрема підробка та шахрайство;
3. правопорушення, пов’язані зі змістом, зокрема з дитячою порнографією.
4. правопорушення, пов’язані з порушенням авторських і суміжних прав.
Окрім цього, у 2013 році було прийнято Стратегію ЄС з кібербезпеки: відкритий, надійний і безпечний кіберпростір, яка має на меті гармонізувати підходи до кібербезпеки у всіх державах-членах ЄС. З огляду на зазначене стратегія переслідує такі п’ять цілей:
1. Досягнення кіберстійкості.
2. Суттєве скорочення кіберзлочинності.
3. Розробка політики кібероборони, пов’язаної зі Спільною політикою безпеки і оборони (CSDP).
4. Розвиток виробничих і технологічних ресурсів для кібербезпеки.
5. Створення узгодженої міжнародної політики кіберпростору для ЄС і просування основних цінностей ЄС.
Також питання, пов’язані з кібербезпекою регулюються Директивою 2016/1148 про заходи для забезпечення високого рівня безпеки мережевих та інформаційних систем у всьому Союзі від 6 липня 2016 року (NIS Directive), прийнятою Європарламентом, яка встановлює вимоги безпеки в таких критично важливих сферах як банківська, енергетики, транспорту, охорони здоров’я, інфраструктури фінансового ринку та цифрової інфраструктури, а також вимоги безпеки у сферах онлайн-послуг (торгових майданчиків, пошукових систем, хмарних технологій тощо).
Зазначена директива покладає на держав-членів ЄС, зокрема, такі обов’язки:
1. прийняття внутрішньодержавних стратегій NIS, які визначать стратегічні цілі у сфері кібербезпеки;
2. формування національного органу, на який будуть покладені обов’язки щодо реалізації та контролю за дотриманням NIS Directive;
3. створення Computer Security Incident Response Teams, відповідальної за інциденти та загрози, які виникають у сферах, визначених директивою.
Все буде конфіденційно
Наразі в ЄС діє перехідний період у сфері конфіденційності. Ще залишається чинною Директива 95/46/ЄС про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних від 24 жовтня 1995 року (Data Protection Directive), прийнята Європарламентом, яка втратить чинність із набранням законної сили Регламентом 2016/679 про захист фізичних осіб щодо обробки персональних даних та про вільне переміщення таких даних, а також про скасування Директиви 95/46/ЄС від 27 квітня 2016 року (General Data Protection Regulation). Тому, доцільно розглядати конфіденційність саме в контексті General Data Protection Regulation.
Під персональними даними зазначений регламент розуміє будь-яку інформацію, яка стосується конкретно визначеної фізичної особи або особи, що може бути конкретно визначеною. Фізична особа, яку ідентифікують, є тією, яку можна ідентифікувати прямо чи непрямо (опосередковано), зокрема за допомогою ідентифікатора, такого, як ім’я, ідентифікаційний номер, інформація про локацію, он-лайн ідентифікатора або на один чи більше факторів, специфічних для фізичної, психологічної, генетичної, розумової, економічної, культурної або соціальної індивідуальності цієї фізичної особи
Аналогічне до означеного визначення міститься також у Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних від 28 січня 1981 року, яка ратифікована Україною 6 липня 2010 року.
Тепер більш докладно про те, що нового принесе General Data Protection Regulation:
1. порівняно із Data Protection Directive, яка має рекомендаційний характер, General Data Protection Regulation є обов’язковим для усіх держав-членів ЄС;
2. де-факто регламент матиме вплив не тільки на осіб, які обробляють персональні дані в державах-учасницях ЄС, але й на осіб, які хоч і знаходяться поза межами ЄС, але обробляють персональні дані резидентів ЄС;
3. згода на обробку персональних даних має бути «явною»;
4. закріплюється можливість подачі позовів, аналогів колективних, які існують в американській правовій системі, у разі втрати персональних даних під час їх обробки;
5. як і раніше, суб’єкти персональних даних мають право знати хто і з якою метою обробляє їх персональні дані, разом з тим регламент встановлює строк для надання відповіді на такий запит – 30 днів (директива не визначає);
6. регламентовано право бути забутим, зокрема у таких випадках: (а) відпала потреба у їх обробці з метою, з якою вони були зібрані; (b) суб’єкт персональних даних відкликав свою згоду на обробку персональних даних; (с) відпали законні підстави для обробки персональних даних; (d) персональні дані оброблюються незаконно; (е) персональні дані повинні бути видаленні задля виконання юридичних обов’язків; (f) персональні дані були зібрані у зв’язку із наданням послуг інформаційного суспільства дітям.
7. встановлюється обов’язок інформування суб’єктів персональних даних про їх права;
8. будь-яка особа (фізична або юридична), яка обробляє персональні дані нестиме відповідальність, це також стосується третіх осіб, під якими регламент розуміє фізичних або юридичних осіб, державні органи, установи або організації, крім суб’єкта даних, контролера, процесора і осіб, які під безпосереднім керівництвом контролера або процесора, мають право на обробку персональних даних;
9. посилюються санкції.
Слід відмітити, що за загальним правилом, зокрема відповідно до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, захист даних пов’язується із захистом даних саме фізичних осіб, разом з тим Договірні сторони можуть забезпечувати захист даних юридичних осіб, таких як бізнес-компаній і асоціацій у їх внутрішньому законодавстві.
Хмарні обчислення
Стандарти ЄС у сфері хмарних технологій охоплюються вищеописаними документами (як загальними в сфері кібербезпеки, так і документами щодо конфіденційності).
Разом з тим, хмарні технології в ЄС описані в документі, прийнятому Єврокомісією, – Розкриття потенціалу хмарних технологій в Європі (Unleashing the Potential of Cloud Computing in Europe).
Відповідно до зазначеного документу хмарні обчислення в спрощеному вигляді можна розуміти як зберігання, обробку і використання даних на віддалених комп’ютерах, доступних через Інтернет.
Хмарні обчислення, в розумінні зазначеного документу, характеризуються такими ознаками:
1. апаратні комплекси (комп’ютери, пристрої зберігання даних) є власністю постачальника хмарних послуг, а не користувача, який взаємодіє з ним через Інтернет;
2. точне розташування даних або процесів, так само як і інформації, яка є частиною АПК і використовується користувачем в даний момент, не має для користувача значення, навіть, якщо це може бути важливим для застосовуваного правового поля;
3. провайдери хмарних технологій порозподіляють робочі навантаження (наприклад, від одного комп’ютера до іншого або від одного центру обробки даних до іншого), з метою оптимізації використання доступного обладнання;
4. зберігання і обробка даних відбувається віддалено, і робиться їх доступним, наприклад, через додаток (компанія може використовувати свої хмарні обчислення так само, як користувачі використовують свої поштові акаунти);
5. компанії та приватні особи можуть отримати доступ та використовувати своє програмне забезпечення, коли і де їм це необхідно, наприклад, на персональних комп’ютерах, планшетах і смартфонах;
6. хмара складається з рівнів: апаратне забезпечення, проміжне програмне забезпечення або платформа, і програмне забезпечення;
7. користувачі зазвичай платять за використання, уникаючи при цьому великих авансових і постійних витрат, необхідних для створення і експлуатації комп’ютерного обладнання, яке вони потребують;
8. користувачі можуть легко модифікувати кількість та якість обладнання, яке вони використовують.
Документом передбачаються три основні дії:
1) розроблення типових договорів на справедливих умовах, які будуть безпечними для сторін, та включатимуть такі положення: щодо збереження даних після закінчення дії договору, розкриття даних та збереження їх цілісності, розміщення та переміщення даних, право власності на дані, положення щодо відповідальності;
2) розробка та уніфікація стандартів, які існують в сфері хмарних технологій;
3) створення European Cloud Partnership з метою впровадження інновацій та зростання державного сектору.
Висновки
ЄС не стоїть на місці, постійно змінюючи та вдосконалюючи підходи до регулювання сфери кібербезпеки та інформаційної безпеки. Враховуючи, що Угодою про асоціацію між Україною та ЄС передбачено співпрацю щодо розвитку інформаційного суспільства, очевидним є той факт, що національне законодавство має втілити європейські стандарти правового регулювання у цій сфері.