Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хранения (временное положение - Железные мечи), 5783-2024

Позиция Института «Тахлит»: Законопроект о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи»), 5784-2023

14 декабря 2023 г.

Уважаемый Председатель Комиссии — депутат Кнессета Юлий Йоэль Эдельштейн Комиссия по иностранным делам и обороне

---

Введение

Законопроект о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хранения данных (временное положение — «Железные мечи»), 5784-2023 (далее: «Законопроект») стремится создать механизм, позволяющий разведывательным органам предупреждать частные компании, предоставляющие цифровые услуги населению, об угрозе тяжёлой кибератаки, а также направлять их, если они затрудняются самостоятельно противостоять атаке. Речь идёт о достойной цели, которую правильно продвигать на фоне кибервызовов в ходе войны «Железные мечи», ведущейся на суше, в воздухе, на море и в цифровом пространстве. Поскольку речь идёт о смене парадигмы по сравнению с нынешним положением — в рамках которого отношения между разведывательными органами и частными компаниями основываются на системе отношений, которая является скорее добровольной, нежели принудительной, — мы хотели бы обратить внимание на ряд трудностей, которые могут возникнуть в связи с предлагаемым форматом.

Краткое изложение позиции

• Израиль после 7 октября — это иное государство, после выявления управленческих провалов, приведших к продолжающейся человеческой трагедии. Такой момент в жизни государства приводит к изменению устоявшихся моделей мышления и нередко к структурным изменениям в отношениях власти с гражданами, частным рынком и иными субъектами. Нынешнее время требует также особых мер в ходе противодействия чрезвычайному положению, в которое оказалось ввергнуто Государство Израиль.

• Несмотря на то что речь идёт о временном положении, это драматическое изменение. Соответственно, следует изучить, как предлагаемый механизм может повлиять на технологический рынок Израиля, имеющий стратегическое, экономическое и имиджевое значение. Важно, чтобы механизм отражал чёткое распределение рисков и ответственности между разведывательными органами и частным рынком, исходя из понимания того, что все релевантные участники являются заинтересованными сторонами (stakeholders).

• С практической точки зрения, Институт «Тахлит» рекомендует: а) повысить определённость в отношении перечня соображений, приведённых в статье 2(5) Законопроекта (соображения приватности, экономического ущерба и функциональной непрерывности), и структурировать применение усмотрения уполномоченного сотрудника при их балансировании; б) уточнить распределение рисков и ответственности между разведывательными органами и частным рынком с целью предотвращения недоразумений, сбоев в коммуникации и проблем при противодействии тяжёлой кибератаке; в) в отношении статьи 4(5) Законопроекта — определить базы данных, в которых будет храниться информация, собранная разведывательными органами, уточнить, уполномочивает ли Законопроект передачу информации из одной государственной базы данных в другую, уточнить момент «завершения обработки кибератаки» и рассмотреть установление санкции в отношении государственного органа, не выполнившего требование об удалении информации; г) целесообразно рассмотреть механизм обжалования (до реализации возможности обращения в суд по административным делам по статье 7 Законопроекта) для урегулирования разногласий относительно самого факта или способа применения чрезвычайных полномочий.

---

А. Вызовы текущего времени — война «Железные мечи»

Атака 7 октября потрясла Государство Израиль и его граждан. По данным компании кибербезопасности Cloudflare, параллельно с этой жестокой атакой осуществлялись кибератаки с целью воспрепятствовать передаче жизненно важной информации и нарушить работу системы оповещения «Цева Адом». С тех пор зафиксирован значительный рост кибератак против израильских сайтов — как государственных органов, так и частных компаний.

В нынешнюю эпоху личная информация обладает значительной экономической ценностью, которую различные субъекты, такие как частные компании, могут легко использовать. Когда речь идёт о враждебных государствах, личная информация имеет стратегическую, а иногда и военную ценность. Кроме того, угроза заключается не только в утечке информации — существуют дополнительные опасности, такие как подделка, ложная идентификация и другие. Личная информация имеет значение и в контексте защиты частной жизни, которая является важной основой для защиты человеческого достоинства, автономии личности и реализации прочих свобод.

Поскольку разведывательные органы должны действовать круглосуточно для защиты граждан государства, целесообразно предоставить им достаточный набор инструментов для противодействия нависающим угрозам, даже если это означает концептуальное (парадигматическое) изменение в характере их отношений с технологическим рынком Израиля. В частности, целесообразно расширить полномочия Национальной кибернетической системы, стоящей на передовой политики кибербезопасности Государства Израиль, особенно когда это укрепляет уровень безопасности граждан Израиля. Вместе с тем важно обеспечить, чтобы этот шаг основывался на общепринятых принципах сотрудничества между государственными органами и частным рынком, которые будут реализуемы, устойчивы и обладают потенциалом для укрепления отношений между различными релевантными участниками.

---

Б. Сотрудничество между заинтересованными сторонами в противодействии кибератакам (Multi-stakeholders)

Цифровое пространство децентрализовано и включает множество участников (multi-stakeholders) — таких как интернет-провайдеры, компании по кибербезопасности, государственные органы безопасности и разведки и даже международные организации. Исследования показывают, что в отношениях между различными участниками важно согласие относительно распределения рисков и максимизации уникальных возможностей каждого субъекта. И в рассматриваемом Законопроекте важно организовать механизм объединения усилий между различными заинтересованными сторонами, максимизирующий сравнительные преимущества каждого.

Можно обратиться к примеру компании Microsoft, которая создала Правительственную программу безопасности ещё в 2003 году, в рамках которой она делится с правительствами информацией об угрозах в целях укрепления сотрудничества с государственными органами в противодействии кибератакам. Тем не менее иногда сотрудничество протекает не гладко, особенно когда правила игры неясны и не были приняты путём согласия. Например, в деле Microsoft против Соединённых Штатов компания отказалась предоставить разведывательным органам информацию, утверждая, что речь идёт о данных, хранящихся за пределами государственных границ, и потому их передача противоречит международному праву. Это дело вызвало большой интерес, и крупные технологические компании, такие как Google и Amazon, подали заключения «друга суда» для воздействия на исход. В конечном итоге американское законодательство было изменено, что сделало судебное решение ненужным, но этот пример свидетельствует о важности определения чётких правил поведения. После этого дела Microsoft предложила руководящие принципы сотрудничества: разработка межсторонней стратегии обмена информацией и сотрудничества, основанной на противодействии реальным угрозам, учёт влияния на права человека, устранение законодательных и регуляторных барьеров для сотрудничества и установление ограничений на доступ государства к защищённой информации.

---

В. Конкретные предложения относительно предлагаемого механизма

Очевидно, что в структурирование механизма действия Законопроекта было вложено значительное мышление, учитывающее разнообразные интересы, в надежде максимально сократить экономический ущерб, нарушение функциональной непрерывности или угрозу правам человека. Это проявляется в наличии поэтапного механизма действия, сохраняющего автономию компаний и побуждающего их самостоятельно справляться с вызовом до применения инвазивных полномочий. Дополнительной иллюстрацией служит установление высокого порога для вмешательства в статье 2 (реальное подозрение в отношении тяжёлой кибератаки), определение в статье 2(5) широких соображений, которые должен оценить уполномоченный сотрудник (приватность, экономический ущерб и функциональная непрерывность), и уточнение в статье 3(4), что указания будут даваться только если это необходимо для обнаружения, предотвращения или пресечения атаки.

Тем не менее есть основания для повышения определённости в отношении способа применения полномочий на основании Законопроекта, чтобы структурировать эффективное сотрудничество при противодействии острым чрезвычайным ситуациям и дилеммам, которые могут возникнуть в ходе тяжёлой кибератаки.

Во-первых, не определено, каким образом представитель разведывательных органов — особенно если это специалист по информационным технологиям — должен учитывать все соображения, перечисленные в статье 2(5), какова иерархия между соображениями и как правильно их балансировать.

Во-вторых, важно определить более чёткие правила игры с прояснением распределения рисков и ответственности между релевантными участниками, с целью предотвращения сбоев в коммуникации и практических проблем. Законопроект не определяет распределение ответственности между различными разведывательными органами, уполномоченными действовать на основании Закона, и не очевидно, что ограничение, установленное в статье 5 (согласно которому только один разведывательный орган направляет частную компанию), выдержит практическую проверку. Кроме того, на техническом уровне неясно, должны ли указания поступать в письменном виде.

В-третьих, хотя следует приветствовать включение в предлагаемую статью 4(б) требования об удалении информации после завершения обработки тяжёлой кибератаки (за исключением информации, необходимой для идентификации характеристик атаки), есть основания для дополнительного уточнения в отношении управления информацией — где изначально будет храниться собранная информация, в каких случаях можно будет передавать её из одной государственной базы данных в другую, и что является моментом «завершения обработки». Целесообразно также рассмотреть установление санкции в отношении государственного органа, не выполнившего это требование.

В-четвёртых, важно создать механизм для разрешения недоразумений и разногласий. Рекомендуется рассмотреть институционализацию механизма урегулирования разногласий или обжалования решений (в предварительном порядке перед обращением в суд по административным делам в соответствии со статьёй 7 Законопроекта). Такой механизм необходим для баланса между интересами и профессиональным пониманием частных компаний и для определения пути к эффективному сотрудничеству.

---

Г. Резюме

Цель предлагаемого Закона является важной и весьма достойной, и очевидно, что была проведена обширная подготовительная работа, стремящаяся учесть различные и разнообразные интересы и структурировать поэтапный механизм, уважающий автономию и права частных компаний. Тем не менее целесообразно, чтобы Законопроект продвигался с включением принципов взаимности, распределения рисков и создания договорённостей о сотрудничестве, чтобы не нарушить ткань отношений между государственными органами Израиля и технологическим рынком, имеющим огромное значение.

В частности, мы предлагаем следующие шаги:

1. Повышение определённости в отношении способа разрешения коллизий между соображениями статьи 2(5), и особенно в отношении иерархии между ними и правильного способа их балансирования.
2. Прояснение распределения рисков и ответственности между релевантными участниками с целью предотвращения сбоев в коммуникации и практических проблем.
3. В отношении статьи 4(5) — определить, где будет храниться информация, будет ли предоставлено полномочие на передачу информации между государственными базами данных, и что является моментом «завершения обработки». Рассмотреть установление санкции за невыполнение требования об удалении информации.
4. Рассмотреть механизм урегулирования разногласий или обжалования (в предварительном порядке перед обращением в суд по административным делам) в отношении разногласий о способе применения чрезвычайных полномочий.