С появлением современных технологий появилось и новое пространство для битвы и сражений, в которых принимают участие не только частные лица, но и крупные компании и даже государства. И название этой среды – киберпространство. Об этом рассуждает руководитель юридической консалтинговой фирмы Black Swan Consulting Амир Ахмедов.
Несколько фактов:
- 94% всех вредоносных программ доставляется по электронной почте;
- Атаки программ-вымогателей происходят каждые 10 секунд;
- 71% кибератак имеют финансовую мотивацию (за ними следует кража интеллектуальной собственности, а затем шпионаж);
- Истребители F-35 сталкиваются с большей угрозой от кибератак, чем от ракет противника.
В 2020 г. мировой рынок кибербезопасности оценивался в 176,5 млрд долларов США. К 2025 г. рынку прогнозируют оценку в 403 млрд долларов США. Чем больше человечество будет развивать технологии, тем больше будет исходить опасность из невидимого человеческому глазу пространства. Несомненно, то, что киберпространство должно регулироваться законодательством всех стран. Глупо отрицать угрозы, исходящие из этой среды, в связи с чем, возникает острая необходимость регулирования данной сферы и создания благоприятных условий для повышения профессионального уровня кадров в сфере кибербезопасности.
Закон «О кибербезопасности»
15 апреля 2022 г. Президент Республики Узбекистан Мирзиёев Ш.М. подписал Закон «О кибербезопасности», который вступит в силу с 17 июля 2022 г. (далее – Закон) Принятие Закона имеет стратегически важное значение в борьбе с киберпреступностью и, конечно же, не удивительно, что уполномоченным органом, в соответствии со ст.11 Закона, была назначена «элита» правоохранительной системы – Служба Государственной Безопасности Республики Узбекистан. Однако, принимая тот или иной нормативно-правовой акт, необходимо понимать, что он, подобно лекарству, может иметь побочный эффект, как, например, снижение инвестиционной привлекательности в целом. Обо всем по порядку.
Начнем с положительной стороны Закона.
Положительная сторона
Законом раскрываются основные понятия, которые ранее не были четко определены законодательством. Мы не будем рассматривать в настоящей статье все и остановимся на двух самых важных – это объекты и субъекты критической информационной инфраструктуры.
Закон определяет понятие объектов критической информационной инфраструктуры., что на самом деле очень важно. Так, в соответствии со ст. 4 Закона объект критической информационной инфраструктуры – это системы информатизации, применяемые в сфере государственного управления и оказания государственных услуг, обороны, обеспечения государственной безопасности, правопорядка, топливно-энергетического комплекса (атомной энергетики), химической, нефтехимической отраслях, металлургии, водопользования и водоснабжения, сельского хозяйства, здравоохранения, жилищно-коммунального обслуживания, банковско-финансовой системы, транспорта, информационно-коммуникационных технологий, экологии и охраны окружающей среды, добычи и переработки полезных ископаемых стратегического значения, производственной сфере, а также в других отраслях экономики и социальной сфере. Т.е. простыми словами это все те информационные системы, которые имеют наиважнейшее стратегическое значение для нормального функционирования государства и любые нападки на эти информационные системы должны караться законом строже, чем атака, например, на веб-сайт коммерческого предприятия, т.к. это несет большую общественную опасность.
Закон понимает под субъектом критической информационной инфраструктуры государственные органы и организации, а также юридические лица, владеющие объектами критической информационной инфраструктуры на правах собственности, аренды или на других законных основаниях, в том числе юридические лица и (или) индивидуальные предприниматели, обеспечивающие эксплуатацию и взаимодействие объектов критической информационной инфраструктуры. Т.е. любое лицо, взаимодействующее с объектами критической информационной инфраструктуры, выступает также и ее субъектом.
Следующими положительными сторонами Закона являются четко сформулированные принципы, а именно:
- законность;
- приоритет защиты интересов личности, общества и государства в киберпространстве;
- единый подход к регулированию сферы кибербезопасности;
- приоритет участия отечественных производителей в создании системы кибербезопасности;
- открытость Республики Узбекистан к международному сотрудничеству в обеспечении кибербезопасности.
Единую государственную политику в сфере кибербезопасности определяет Президент Республики Узбекистан, что важно с учетом того, какой интерес на сегодняшний день IT-сфере придает Шавкат Миромонович.
Однако проблемы есть
Увы, но не все так радужно и Закон оставляет много вопросов и слишком мало ответов на них. Возможно, ответы будут выработаны и предоставлены широкому кругу позже, однако, изучая сейчас Закон, можно наткнуться на вполне логичные вопросы и противоречия, которые, как писалось выше, могут стать побочным эффектом и понизить инвестиционную привлекательность страны. Важно отметить, что Закон не публиковался и не обсуждался широкой общественностью.
1. Начнем с определения «субъект кибербезопасности». Из определения следует, что субъектами кибербезопасности являются абсолютно все юридические лица и индивидуальные предприниматели, которые владеют, пользуются, распоряжаются национальными информационными ресурсами, оказывают информационные электронные услуги. Другими словами, под это определение подпадает любая компания, которая разместила свой корпоративный веб-сайт в доменной зоне “.uz”. В соответствии с Законом «Об информатизации», информационный ресурс — информация, банк данных, база данных в электронной форме в составе информационной системы, в том числе аудио-, видео-, графическая и текстовая информация, размещаемая либо публикуемая в информационных системах с открытым доступом. Т.е. из этого следует, что субъектами кибербезопасности могут стать любые предприятия, владеющие, пользующиеся, распоряжающиеся веб-сайтами, серверами, публикующие графические, аудио-, видео- и текстовые материалы. Масштабы, на самом деле, колоссальные.
2. Ст. 12 Закона устанавливаются права уполномоченного органа. Большинство из них оправданы, однако некоторые из них недостаточно раскрыты. Например, уполномоченный орган имеет право безвозмездно пользоваться техническими установками и услугами для принятия безотлагательных мер по устранению кибератак. Остается непонятным, чьими услугами и техническими установками имеет право пользоваться СГБ. Идет ли тут речь об услугах и технических установках частных лиц или же государственных органов и организаций.
3.Этой же статьей установлено, что уполномоченный орган имеет право посещать государственные органы и иные организации, знакомиться с необходимыми документами и материалами, а также запрашивать и получать от государственных органов и иных организаций, граждан сведения и другие необходимые документы и материалы, проводить их идентификацию и использовать в следственных действиях по инцидентам кибербезопасности. Однако Законом не раскрыто, будет ли подобная передача документов и материалов оформлена в установленном уголовно-процессуальном порядке и не подпадут ли под понятие «организации» юридические лица частной формы собственности.
4. Следующие важнейшие упущения Закона, которые, собственно, на наш взгляд, и отпугнут крупные компании, содержатся в ст.16 «Права и обязанности субъекта кибербезопасности». Важно отметить, что количество прав субъектов кибербезопасности намного меньше их обязанностей. Отметим наиболее острые положения данной статьи Закона. Субъекты будут обязаны:
- «осуществлять взаимный обмен с уполномоченным государственным органом данными в сфере охраны и проведения мониторинга безопасной работы объектов кибербезопасности;»
- «обеспечивать функционирование механизмов принятия мер в отношении инцидентов кибербезопасности и работу подразделений по обеспечению кибербезопасности, а в случае их отсутствия — пользоваться услугами аутсорсинга с разрешения уполномоченного государственного органа в установленном порядке;
- предоставлять уполномоченному государственному органу право доступа в мониторинговые системы и (или) объекты кибербезопасности для осуществления организационно-технических мероприятий мониторинга обеспечения кибербезопасности.»
Что из этого следует?
- Юридические лица будут обязаны безоговорочно производить обмен данными, предоставлять доступ к своим объектам кибербезопаности (т.е. к электронной почте, веб-ресурсам, серверам) по требованию уполномоченного органа. На сервере компании может храниться информация сугубо конфиденциального характера, например, информация, подпадающая под коммерческую тайну, персональные данные граждан и сотрудников, записи телефонных разговоров и т.д.
При этом в соответствии с требованиями Закона «О коммерческой тайне» запрос государственного органа о предоставлении такого рода информации должен быть мотивированным, а в случае отказа субъекта, раскрытие коммерческой тайны осуществляется в судебном порядке. Однако в настоящем случае все куда глубже. Уполномоченный орган потребует предоставить не раскрытие, а предоставление доступа к банку данных, на котором хранится вся информация организации, а мотивировка будет обозначена новым Законом «О кибербезопасности». Законом совершенно не раскрывается, когда такое обязательство у субъекта возникает, т.е. непонятно, должен ли субъект предоставить доступ/производить обмен данными в случае возбуждения уголовного дела или же это его пассивная обязанность, которая фактически существует, несмотря на наличие или отсутствие оснований для такого запроса.
(2) Закон устанавливает, что для заключения договора на услуги аутсорсинга в целях обеспечение мер кибербезопасности между двумя юридическими лицами необходимо будет получить предварительное разрешение Службы Государственной Безопасности. Т.е. если вы захотите нанять какую-нибудь компанию, которая могла бы навести порядок в вашей корпоративной сети и(или) обеспечила бы безопасность вашего веб-сайта и (или) сервера, то вам необходимо будет обратиться в СГБ для получения предварительного разрешения. Данное положение статьи прямо противоречит фундаментальному принципу гражданских правоотношений, закрепленному в ст. 1 ГК РУз, — «свобода договора». «Свобода договора» – это правовой кит, покусившись на который, не следует ожидать развития предпринимательства и приток инвестиций.
Выводы
На самом деле в Законе существуют и другие пробелы, которые в настоящей статье не затронуты. Исходя из самого документа следует, что должны быть разработаны и отдельные предметные подзаконные акты.
Президент Шавкат Мирзиёев на совещании 14 апреля 2022 г. заявил о необходимости превратить Узбекистан в региональный IT-центр. В Стратегии развития Нового Узбекистана на 2022−2026 годы поставлена цель увеличить объём IT-услуг в 2,5 раза и экспорт отрасли до 500 млн долларов, Президент поручил до конца текущего года увеличить объём внутренних IT-услуг на 50% и довести экспорт до 100 млн долларов.
Не секрет, что с начала года в Узбекистан релоцировалось огромное количество IT-специалистов и компаний, в том числе и международных. Узбекистан привлекает внимание крупных игроков и единственная причина, по которой здесь пока еще их нет, – это отсутствие четких, прозрачных и понятных для них правил. Корпорации вроде Google, Amazon, Facebook привыкли работать в юрисдикциях с английским правом или где оно признается.
Действующее законодательство Узбекистана не предоставляет возможности корпорациям использовать правовые конструкции и механизмы, которые они широко применяют в других странах. Поэтому для привлечения таких компаний некоторые страны, такие, как ОАЭ, Казахстан, начали создавать территории с особым правовым режимом и регулятивной «песочницей», и это начало приносить свои плоды. Принимая во внимание то, какая масштабная работа была проделана Президентом за последние шесть лет, у Узбекистана есть все шансы превратиться не просто в региональный IT-хаб, а в международный, взяв на вооружение успешный опыт других стран.
Однако принятие Законов, подобных «О кибербезопасности», может резко затормозить приток инвестиций, крупные игроки, которые перед входом на рынок детально изучают страну и ее законы, не примут решения в пользу Узбекистана.
Если мы хотим продолжить развитие страны в том направлении, в котором определили, то необходимо внести соответствующие изменения в Закон «О кибербезопасности» с учетом мнения и интересов бизнес-сообщества, которое следует также чаще привлекать при разработке подобных нормативно-правовых актов.
