Правительственный законопроект: Закон о борьбе с серьезными кибератаками в секторе цифровых услуг и услуг хранения (временное положение - Железные мечи), 5783-2024

Позиция по Законопроекту о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хостинга (Временное положение — «Железные мечи»), 5784–2023

18 декабря 2023 г., 6 тевета 5784 года

Уважаемый депутат Юли Эдельштейн, Комиссия по иностранным делам и обороне Кнессета

По существу: Законопроект о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хостинга (Временное положение — «Железные мечи»), 5784–2023

06.12.24 был опубликован Законопроект о противодействии тяжёлым кибератакам в секторе цифровых услуг и услуг хостинга (Временное положение — «Железные мечи»), 5784–2023 (далее — «Законопроект»).

Законопроект призван заменить чрезвычайные правила «Железные мечи» (Противодействие тяжёлым кибератакам в секторе цифровых услуг и услуг хостинга), 5784–2023 (далее — «ЧП-правила по кибербезопасности»), утверждённые правительством 27.11.23, отсюда его важность. Правильный путь для установления положений о киберзащите — первичное законодательство, а использование чрезвычайных правил должно быть ограничено ситуацией, когда Кнессет не функционирует. Поэтому мы приветствуем публикацию Законопроекта вскоре после утверждения ЧП-правил с намерением обеспечить его скорейшее принятие — по истечении срока действия ЧП-правил.

В ходе войны «Железные мечи» киберпространство проявилось как четвёртое пространство ведения боевых действий. С начала войны кибератаки усилились по частоте и сложности и используются как инструмент для достижения оперативных результатов в других пространствах ведения боевых действий. Вместе с тем в Израиле отсутствует полная и всеобъемлющая законодательная база для защиты киберпространства. В этих обстоятельствах очевидна необходимость наделения соответствующих государственных органов полномочиями по вмешательству в управление рисками у субъектов частного сектора, выступающих поставщиками услуг хостинга и цифровых услуг, при условии что это вмешательство ограничено и осуществляется в целях защиты безопасности государства и общественной безопасности.

Однако наряду с пониманием необходимости таких полномочий следует помнить, что речь идёт о широком и проникающем вмешательстве государственных органов в деятельность частных субъектов, что вызывает опасения нарушения прав на собственность и неприкосновенность частной жизни, а также автономию бизнеса. Кроме того, существует потенциал скользкого склона в отношении вмешательства государства в частный кибер-сектор, имеющего экономические последствия и последствия для технологического развития.

Тем не менее, по нашему мнению, с учётом необходимости решения проблемы, Законопроект представляет сбалансированное решение, учитывающее различия между регулированием публичного и оборонного сектора и регулированием частного сектора:

1. Субъекты, на которых распространяются положения Законопроекта, определены относительно прозрачно и чётко как «поставщики услуг хостинга или цифровых услуг», в отличие от создания закрытого списка, предлагавшегося в предыдущей редакции.

2. Законопроект разграничивает «чисто» военные и оборонные вопросы и кибератаки на частный и гражданский сектор, включая гражданские критические инфраструктуры. Разграничение осуществляется путём ограничения полномочий Управления безопасности МО поставщиками Министерства обороны и «предприятиями оборонной системы», оставляя работу с частным сектором кибер-управлению и ШАБАКу. Законопроект также устанавливает, что сотрудничество и распределение полномочий осуществляются контролирующими органами на внутриправительственном уровне, а не с конечным клиентом.

3. Полномочия по выдаче указаний гражданским субъектам — поставщикам — ограничены обстоятельствами реального опасения тяжёлой кибератаки, определённой чётко и ограниченно. Определение делает акцент на последствиях и волновых эффектах, которые могут возникнуть в результате обнаружения тяжёлой кибератаки у конкретного поставщика.

4. Осуществление полномочий — поэтапное:

   • Сначала поставщику предоставляется возможность объяснить, какие меры он принимает для противодействия атаке, или заявить, что его системы соответствуют признанному американскому стандарту безопасности. Факт того, что принятие международных технологических стандартов обеспечивает иммунитет регулируемым субъектам, создаёт эффективный стимул для ответственного управления киберрисками.
   • Только если поставщик не предоставляет соответствующего заявления или не принимает надлежащих мер, уполномоченный сотрудник получает право выдавать указания. Но и тогда он обязан предоставить поставщику возможность высказать свои доводы.

5. Учёт соразмерности, конфиденциальности и стоимости: при принятии решений придаётся значение праву на неприкосновенность частной жизни, соразмерности, экономическим затратам на реализацию указаний и их последствиям для непрерывной деятельности поставщика и третьих лиц.

6. Прозрачность: Законопроект устанавливает передачу регулируемому субъекту фактической и профессиональной базы уже при первоначальном уведомлении, а также документирование в письменной форме в разумные сроки.

7. Слушание и обжалование: регулируемому субъекту предоставляется возможность высказать свои доводы до принятия решения о выдаче указаний, а также возможность обжаловать указания в Административном суде.

Рекомендации по улучшению

1. Форум обсуждения

Законопроект касается регулирования гражданских субъектов. Для устранения опасений следует проводить обсуждение Законопроекта прозрачно и открыто для общественности. Засекречивание обсуждений противоречит гражданскому характеру кибер-управления и необходимости принятия норм поведения, подходящих для работы с гражданскими субъектами.

2. Чёткое разграничение полномочий между ШАБАКом и Кибер-управлением

Законопроект наделяет идентичными полномочиями уполномоченного сотрудника Кибер-управления и ШАБАКа — уведомлять поставщика об опасности тяжёлой кибератаки и выдавать ему указания. Хотя уточняется, что осуществление полномочий в отношении конкретного поставщика по конкретной атаке осуществляется только одним органом, ситуация конкуренции полномочий между двумя государственными органами не является нормальной в отношениях с гражданскими субъектами. Законопроект не детализирует механизм распределения полномочий. Если разграничение полномочий между ШАБАКом и Кибер-управлением ясно, его следует чётко прописать в Законопроекте.

3. Отчётность Управлению по защите частной жизни

Законопроект сосредоточен на выявлении тяжёлых кибератак, их предотвращении или сдерживании и возлагает на Кибер-управление, ШАБАК и Управление безопасности МО обязанность отчитываться юридической советнице правительства и Комиссии по иностранным делам и обороне. Однако тяжёлая кибератака может привести к нарушению персональных данных. Иногда сбор персональных данных граждан является одной из целей кибератаки — как инструмент прямого контакта с гражданами, как часть информационной войны или как попытка нанести удар по тылу. Поэтому, по нашему мнению, наряду с отчётностью следует обязать также уведомлять руководителя Управления по защите частной жизни. Отсутствие интерфейса между данным законодательством и Законом о защите частной жизни и правилами информационной безопасности может привести к проблемам в будущем.

4. Замечание на перспективу — работа с цепочками поставок

По данным исследования Всемирного экономического форума, 39% организаций в частном секторе пострадали от кибератак на третьи стороны в их цепочках поставок. Кибератаки на субъектов в цепочках поставок были вторым по значимости фактором кибератак в 2021 году. Однако, несмотря на их огромную важность для киберзащиты, в 66% кибератак на поставщиков в цепочках поставок поставщики не знали или не проявляли прозрачность относительно того, что они подверглись атаке. В результате почти 62% кибератак на клиентов поставщиков в цепочках поставок были вызваны доверием клиентов к поставщикам.