Олексій Янковський, Президент ГО «ІСАКА Київ» виступив на ХVІІ Міжнародній науково-практичній конференції «Безпека інформації в інформаційно-телекомунікаційних системах» з аналізом проекту «Закону України про основні засади кібернетичної безпеки України», розробленого ДССЗЗІ.
На думку ІСАКА, версія законопроекту, запропонована Держспецзв’язку, має ряд суттєвих недоліків, які призведуть до суттєвого обтяження бізнесу, створять умови для зловживань та порушення приватності фізичних та юридичних осіб, але в той же час не дозволять створити ефективну систему кібернетичного захисту держави.
Серед основних недоліків законопроекту:
- Використання застарілих українських стандартів та підходів з інформаційної безпеки, розроблених в 90 роки (КСЗІ, НД ТЗІ), які непридатні для забезпечення кібербезпеки, замість сучасних міжнародних стандартів
- Зайва централізація регулювання кібербезпеки державою - в більшості розвинених країн регуляторами з кібербезпеки для приватного бізнесу виступають галузеві асоціації, які розуміють особливості бізнесу, та дають можливість бізнесу впливати на галузеві вимоги в кібербезпеки
- Відсутність контролю зловживань можливостями з перехоплення інформації
ГО «ІСАКА Київ» представила альтернативний законопроект, який суттєво міняє модель управління кібербезпекою, та передбачає наступне:
Використання міжнародних стандартів та фреймворків (NIST, ISO-27001, Cobit) замість застарілих на неефективних національних підходів
Функції регуляторів з кібербезпеки будуть виконуватися галузевими регуляторами, а не ДССЗЗІ. Таким чином, бізнес буде залучений до обговорення вимог із кібербезпеки і зможе впливати на них
ДССЗЗІ залишається регулятором з кібербезпеки для органів державної влади, а для інших галузей має роль координатора – допомагає в розслідуванні та відновленні після кібератак, сповіщає бізнес про нові загрози та вразливості
Створення Центру з управління Кібербезпекою при Президенті України для оперативного управління силами кібербезпеки постійної готовності, що створюються в силових відомствах
Залучення незалежних аудиторів замість держслужбовців для проведення перевірок
Механізми забезпечення приватності при перехопленні інформації.