Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хранения (временное положение - Железные мечи), 5783-2024

Позиция по проекту Закона о противодействии серьёзным кибератакам в секторе цифровых услуг и услуг хранения данных (Временное положение — «Железные мечи»), 5784–2023

Уважаемый депутат Кнессета Йоэль Юли Эдельштейн, Председатель Комитета по иностранным делам и обороне

17 декабря 2023 года

Уважаемый господин председатель,

Предмет: Проект Закона о противодействии серьёзным кибератакам в секторе цифровых услуг и услуг хранения данных (Временное положение — «Железные мечи»), 5784–2023

В эти тяжёлые дни, когда Израиль ведёт войну, высокотехнологичная отрасль мобилизована на всех возможных фронтах, в том числе поддерживая тыл, государственные органы, работающих и их семьи, — и всё это при полной самоотдаче в борьбе с кибератаками на израильские компании и учреждения. Поэтому важно отметить, что израильские растущие компании действуют — как в мирное время, так и в чрезвычайных условиях — в соответствии с самыми высокими международными стандартами и делают всё необходимое для защиты себя и своих клиентов от кибератак в настоящем и будущем.

Не умаляя заслуг растущих компаний, и перед лицом роста масштабов и интенсивности кибератак против гражданских структур израильской экономики, Государство Израиль сочло нужным ввести чрезвычайные регуляторные нормы — которые рассматриваемый в настоящем проекте Закон призван заменить, — с целью урегулирования государственных полномочий в отношении поставщиков цифровых услуг и услуг хранения данных в случае угрозы серьёзной кибератаки. Несмотря на то что мы понимаем указанную необходимость, мы хотим напомнить и подчеркнуть: вмешательство государства в деятельность коммерческих организаций должно происходить лишь в исключительных случаях реальной угрозы безопасности государства, общественной безопасности или способности оказывать жизненно важные услуги. Даже в этих случаях оно должно осуществляться дозированно и в объёме, не превышающем необходимого, с минимизацией возможного ущерба для экономики в целом и для израильских компаний в частности.

У нас сложилось впечатление, что проект Закона в его нынешней редакции действительно стремится достичь этого баланса, однако, к сожалению, эта попытка не вполне удалась. Мы считаем своим долгом выразить обеспокоенность действующей редакцией, поскольку она способна непреднамеренно создать трудности не только для компаний, не готовых в сфере киберзащиты или не желающих сотрудничать с Национальным управлением кибербезопасности, но и нанести ущерб всей отрасли высоких технологий, включая израильские растущие компании. Опасения относительно ущерба для этих компаний обусловлены следующим:

1. Речь идёт о широком законодательстве, наделяющем государственные органы значительными полномочиями в отношении компаний, не обязательно оказывающих услуги государственным органам или публичным учреждениям. Это посылает опасный сигнал инвесторам и клиентам в отношении самостоятельности делового сектора в Израиле и свободы его действий.

2. Страховые компании, страхующие от кибератак, особенно чувствительны к регуляторной нестабильности в данной области. Мы получаем сигналы о том, что принятие закона может повлечь реальные страховые издержки в том случае, если он создаёт ситуацию, при которой израильская компания не будет полностью самостоятельна в принятии решений о том, как она действует на всех этапах атаки.

3. Закон фактически создаёт два пути. Первый — при котором компании будут находиться в потенциально продолжающемся взаимодействии с представителями управления кибербезопасности при возможном глубоком вмешательстве государства в процессы киберзащиты бизнеса. Второй путь позволит поставщику предоставить доказательства соответствия профессиональному стандарту, что даст ему возможность получить уведомление об угрозе серьёзной атаки и устранить её наиболее профессиональным способом по своему усмотрению без внешнего вмешательства. Нет сомнений, что второй путь лучше подходит для израильских растущих компаний. Вместе с тем выбор американского стандарта NIST в качестве единственного критерия для второго пути создаёт пустое множество и не позволяет израильским компаниям воспользоваться им. Де-факто возникает один путь для израильских компаний и другой — для американских, что способно нанести ущерб конкурентоспособности израильских компаний. Этот ущерб конкурентоспособности будет особенно болезненным именно сейчас, в военное время.

---

Выбор директив NIST — подробнее

Проект Закона вводит весьма широкое определение понятия «поставщик», в связи с чем большинство израильских растущих компаний — и практически все они, включая те, что не имеют деловых отношений с израильскими органами власти или публичными структурами, — подпадают под его действие. При этом единственным критерием, выбранным в Статье 2(3) и позволяющим поставщику подать декларацию как доказательство соблюдения надлежащего стандарта защиты, дающего компании полную самостоятельность в отношении способа противодействия угрозе кибератаки, является NIST 800-53 «Security and Privacy Controls for Information Systems and Organizations». Речь идёт об американском критерии, который по существу представляет собой свод руководящих указаний для поставщика, оказывающего услуги федеральному правительству. Мы усматриваем в этом существенную проблему по следующим причинам:

а. Речь идёт о директивах иностранного правительства, которые отличаются чрезвычайной широтой и охватом (большинство из них не имеет отношения к ситуациям атак, которые проект Закона стремится урегулировать), и большинство израильских технологических компаний не обязаны их выполнять, поскольку они предназначены для поставщиков услуг американским федеральным структурам.

б. Следовательно, в Израиле не сложилась соответствующая экосистема, способная поддерживать профессиональное применение директив NIST; нет достаточно широкого и глубокого знакомства с сопровождающими органами, и соответственно нет аккредитующего органа. Из проведённых нами проверок среди профессиональных специалистов с просьбой провести аудит соответствия директивам NIST нам ответили, что это в Израиле не делается на регулярной основе, стоимость высока, а экспертиза ограничена.

в. Кроме того, включение этих директив в качестве нового стандарта, которому израильские компании должны соответствовать, влечёт бюджетные и операционные последствия, поскольку большинство из них непрерывно работает над соблюдением другой нормативной базы — международной, качественной и признанной.

г. Правильным было бы предоставить поставщику свободу выбора из нескольких подходящих альтернатив (без снижения профессионального стандарта), чтобы не создавать «монополию» одного стандарта до тех пор, пока израильский законодатель не примет соответствующий стандарт. Особенно — когда, на наш взгляд, такая альтернативная качественная нормативная база существует.

Соответственно, мы предложили профессиональным специалистам в управлении кибербезопасности включить в текст Закона, в Статью 2(3), три альтернативы на выбор поставщика:

2(3)(а) Подача декларации о применении NIST 800-53 «Security and Privacy Controls for Information Systems and Organizations» (единственная альтернатива, существующая в настоящее время в проекте Закона).

и/или

2(3)(б) Соответствие стандарту SOC 2 — стандарту высочайшего уровня, сертификация по которому осуществляется профессиональными организациями, сами находящимися под надзором стандарта. Более того, это ежегодная сертификация, так что для её сохранения в течение времени необходимо успешно проходить процедуру проверки и обновления каждый год.

и/или

2(3)(г) Соответствие «кластеру» или «комплекту» из нескольких стандартов ISO совместно, образующих в качестве единого целого надлежащий и подходящий стандарт с акцентом на информационную безопасность и конфиденциальность в облачной среде. Примеры стандартов ISO, которые можно объединить в кластер: ISO 27001; ISO 27701; ISO 27017; ISO 27018.

Мы будем рады подробнее изложить нашу позицию в ходе заседаний Комитета и готовы ответить на любые вопросы.

С уважением,

Михаль Шариг Кадури Руководитель Форума растущих компаний

Копии: Асаф Фридман, руководитель Комитета Управление кибербезопасности Управление инноваций Министерство финансов

---

Форум растущих компаний состоит из группы около 25 ведущих израильских технологических компаний, поднявших знамя развития в Израиле инфраструктуры, позволяющей высокотехнологичным компаниям расти и развиваться из Израиля и в Израиле. Форум основан в 2015 году и действует около 8 лет. Форум придаёт большое значение способности Израиля обеспечить выравнивание игрового поля для израильских компаний, конкурирующих с зарубежными аналогами, — с целью сохранения конкурентоспособности израильской высокотехнологичной отрасли и обеспечения роста разнообразной и процветающей экосистемы.