1. Головна
  2. Дослідження
  3. Національна безпека
  4. "Проблеми чинної вітчизняної нормативно-правової бази у сфері боротьби із кіберзлочинністю: основні напрями реформування". Аналітична записка

"Проблеми чинної вітчизняної нормативно-правової бази у сфері боротьби із кіберзлочинністю: основні напрями реформування". Аналітична записка

Поділитися:

Анотація

 

Охарактеризовано ключові проблеми вітчизняного законодавства у сфері протидії кіберзлочинам. Розглянуто основні напрями вдосконалення нормативно-правової бази у сфері протидії кіберзлочинності. Наведено основні параметри структури основного закону у сфері захисту кіберпростору держави. Запропоновано визначення ключових термінів з кібербезпеки, що можуть стати основою для законодавства в даній сфері.

 

ПРОБЛЕМИ ЧИННОЇ ВІТЧИЗНЯНОЇ НОРМАТИВНО-ПРАВОВОЇ БАЗИ В СФЕРІ БОРОТЬБИ ІЗ КІБЕРЗЛОЧИННІСТЮ: ОСНОВНІ НАПРЯМИ РЕФОРМУВАННЯ

 

Чинна вітчизняна нормативно-правова база у сфері протидії злочинам в кіберпросторі лише частково задовольняє потреби часу та не завжди охоплює всі ключові елементи, які необхідні для ефективної протидії кіберзлочинам всіх рівнів складності. На сьогоднішній день в Україні діє низка Законів України та нормативних документів різних рівнів, що охоплюють проблеми забезпечення кібербезпеки держави.

 

Водночас спостерігається вільне використання значної кількості термінів (та їх синонімів) що часто не узгоджені між собою. Так у Законі України «Про основи національної безпеки України» згадуються «комп’ютерна злочинність» та «комп’ютерний тероризм», при чому жоден з цих термінів на має свого визначення а ні в цьому, а ні в інших нормативних документах. В Законі України «Про боротьбу з тероризмом» поняття «комп’ютерний тероризм» не згадується взагалі, а ті елементи, що можуть до нього відноситись прописані як складова частина поняття «технологічний тероризм». У «Стратегії національної безпеки України» (в редакції від 12 лютого 2007 року № 105/2007) комп’ютерні загрози не згадуються, а «кібербезпека» - лише в контексті необхідності «розробки та впровадження національних стандартів та технічних регламентів застосування інформаційно-комунікаційних технологій, гармонізованих з відповідними європейськими стандартами, у тому числі згідно з вимогами ратифікованої Верховною Радою України Конвенції про кіберзлочинність». Однак нова оприлюднена редакція «Стратегії національної безпеки» (2011 року) вже використовує термін «кібербезпека». В «Доктрині інформаційної безпеки України» також згадуються «комп'ютерна злочинність» та «комп'ютерний тероризм», знову ж таки – без жодних пояснень чи посилання на такі пояснення. Крім того, в Доктрині згадуються і «кібератаки» без визначення терміну. Отже можна констатувати, що в більшості своїй вітчизняне нормативно-правове поле в сфері інформаційної (кібернетичної) безпеки оперує термінами визначень яких фактично немає.

 

Національним інститутом стратегічних досліджень було спрямовано низку офіційних запитів до ключових відомств (Служба безпеки України, Служба зовнішньої розвідки, Головне управління розвідки Міністерства оборони України, Міністерство внутрішніх справ) та наукових установ (Інститут телекомунікацій і глобального інформаційного простору Національної академії наук України, Міжвідомчий науково-дослідний центр з проблем боротьби з організованою злочинністю Ради національної безпеки і оборони України), що мають відношення до інформаційної (в тому числі – технологічної компоненти) безпеки держави з метою визначення підходів до основних термінів в даній сфері.

 

Після проведеного аналізу відповідей (більш докладно, щодо запропонованих визначень – Додаток 1), було сформовано визначення ключових термінів в сфері кібербезпеки які можуть бути покладені в основу розроблюваної нормативно-правової бази в царині захисту кіберпростору держави (Додаток 2).

 

Нагальною стає проблема координації діяльності правоохоронних структур та правового унормування зон відповідальності відомств, процедур взаємодії та засобів комплексного реагування на загрози кібербезпеці держави, а також значної роботи із попередження таких злочинів. Законом України «Про Державну службу спеціального зв’язку та захисту інформації  України» на ДССЗЗІ покладено функцію участі у «формуванні та реалізація державної політики у сфері захисту державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації». Обмеженість суто захистом (технічним) державних інформаційних ресурсів не відповідає сучасним тенденціям в сфері боротьби із кіберзлочинністю, що потребує додаткового розширення зон уваги правоохоронних органів в тому числі на приватні комп’ютерні мережі та окремі ПК. Крім того, ДССЗЗІ не має повноважень проводити оперативно-розшукову діяльність, чим займаються профільні відділи, управління та департаменти СБУ та МВС України. Діяльність цих трьох відомств у сфері боротьби із кіберзлочинністю є ключовою. Інтернаціональний характер загроз цілком може змусити долучати до такої діяльності та інші відомства, що можуть відноситись до військової організації держави – Головне управління розвідки Міністерства оборони України та Служба зовнішньої розвідки.

 

Частково з метою вирішення цих проблем та невпорядкованості нормативно-правового поля державними безпековими інституціями проводиться цілий ряд заходів. Основою для них стало рішення Ради національної безпеки і оборони України від 17 листопада 2010 року «Про виклики та загрози національній безпеці України у 2011 році», яке затверджено Указом Президента України від 10 грудня 2010 року № 1119/2010. Відповідно до даного Указу в Україні має бути створена Єдина загальнодержавна система протидії кіберзлочинності.

 

Проміжним результатом згаданого Указу є рішення першого віце‑прем’єр-міністра України Клюєва А.П. від 2 лютого 2011 року щодо необхідності підготовки законопроекту про кібернетичну безпеку України.

 

Проведений аналіз (більш докладно – див. Аналітичний матеріал, що додається) проблем чинного законодавства та термінологічних невизначеностей в сфері кібербезпеки дозволив зробити наступні висновки:

 

1. Незважаючи на наявність цілої низки чинних нормативно-правових документів щодо проблем забезпечення безпеки кіберпростору держави, вони не охоплюють всього спектру сучасних загроз кібербезпеці держави.

 

2. В чинній нормативно-правовій базі відсутні визначення (а відповідно і не реалізовані особливі форми захисту, реагування та відповідальності) ключових елементів державної інфраструктури саме від кібератак.

 

3. Термінологічне поле сфери кібербезпеки держави все ще залишається фрагментарним, що унеможливлює формування дієвих нормативно-правових документів із протидії кіберзагрозам.

 

4. Відсутні не просто усталені визначення ключових термінів («кіберпростір», «кібербезпека», «кіберзахист», «кібератака», «кібервійна», «кібертероризм», «кіберзброя», «кіберінфраструктура», «критична кіберінфраструктура»), але й такі, що можуть ефективно застосовуватись в практиці правоохоронної діяльності.

 

5. Єдина загальнодержавна система протидії кіберзлочинності із відповідним нормативним забезпеченням все ще знаходиться в процесі розробки і швидше за все не зможе запрацювати раніше наступного року.

 

6. Державні органи безпекового сектору здійснюють низку заходів з метою подолання зазначених недоліків на рівні робочих груп із розробки концептуальних нормативно-правових документів в даній сфері.

 

Рекомендації:

1. Доцільним є проведення засідання Ради національної безпеки і оборони з метою більш повного обговорення на найвищому рівні проблем забезпечення кібернетичної безпеки України. Це додатково дозволить формалізувати та прискорити процес підготовки законопроекту «Про кібернетичну безпеку України», перевівши контроль за його виконанням на президентський рівень.

 

2. Під час підготовки законопроекту «Про кібернетичну безпеку України» та змін до чинного законодавства (з метою посилення можливостей реагування на кіберзагрози) варто максимально обережно поставитись до питань, що можуть трактуватись як заходи, спрямовані на контроль за мережею Інтернет або його обмеження в надзвичайних умовах, оскільки це може призвести до посилення тиску на політичне керівництво держави як з боку опозиційних сил так і зовнішніх суб’єктів.

 

3. Одночасно з підготовкою законопроекту «Про кібернетичну безпеку України» доцільним є розпочати підготовку і «Стратегії кібернетичної безпеки України». Це дозволило б Президенту України, одночасно їх ухваленням згаданого законопроекту Верховною Радою України, оперативно закінчити формування основних концептуальних документів в даній царині.

 

4. Таке завдання може потребувати залучення до основної робочої групи додаткових державних та наукових установ, однак в цілому дозволить інтенсифікувати згаданий процес підготовки. Крім того, більш активне залучення наукових установ дозволить частково вирішити проблему необхідності проведення «громадського обговорення».

 

5. При розгляді змін, які необхідно вносити в чинне законодавство з метою оптимізації системи кіберзахисту держави, варто розглянути можливість внесення до Закону України «Про інформацію» поняття «інформація про об’єкти критичної інфраструктури» з метою забезпечення правоохоронних органів (і зокрема - Єдиної загальнодержавної системи протидії кіберзлочинності) необхідною інформацією про стан об’єктів критичної інфраструктури, що знаходяться в приватній власності.

 

6. Вбачається доцільним розглянути можливість максимально пришвидшити роботи над текстом законопроекту з тим, щоб подати його на розгляд Верховної Ради України на початку червня 2011 року. Це дозволить уникнути надмірної критики та політизації законопроекту з боку політичних сил, що в вересні 2011 року можуть розпочати свої передвиборчі компанії. Крім того, можна очікувати спроб дезінформації громадськості щодо правильних уявлень про положення законопроекту та його мету.

 

Відділ досліджень інформаційного суспільства

та інформаційних стратегій

(Д. Дубов, М. Ожеван)

 

АНАЛІТИЧНИЙ МАТЕРІАЛ

 

Чинна вітчизняна нормативно-правова база в сфері протидії злочинам в кіберпросторі лише частково задовольняє потреби часу та не завжди охоплює всі ключові елементи, які необхідні для ефективної протидії кіберзлочинам всіх рівнів складності.

 

На сьогоднішній день в Україні діє низка Законів України та нормативних документів різних рівнів, що охоплюють проблеми забезпечення кібербезпеки держави. Це, зокрема, Закони України «Про Державну службу спеціального зв’язку та захисту інформації України», «Про інформацію», «Про державну таємницю», «Про захист інформації в інформаційно-телекомунікаційних системах», «Про основи національної безпеки України». Крім того в межах даної проблеми діє два стратегічних документа: Стратегія національної безпеки України та Доктрина інформаційної безпеки України, а також ратифікована Верховною Радою України «Конвенція про кіберзлочинність». Чинний Кримінальний кодекс України встановлює (відповідно до Розділу (XVI) відповідальність за «злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку» (статті 361-363).

 

Водночас спостерігається вільне використання значної кількості термінів (та їх синонімів) що часто не узгоджені між собою. Так у Законі України «Про основи національної безпеки України» згадуються «комп’ютерна злочинність» та «комп’ютерний тероризм», при чому жоден з цих термінів на має свого визначення а ні в цьому, а ні в інших нормативних документах. В Законі України «Про боротьбу з тероризмом» поняття «комп’ютерний тероризм» не згадується взагалі, а ті елементи, що можуть до нього відноситись прописані як складова частина поняття «технологічний тероризм». В «Стратегії національної безпеки України» (в редакції від 12 лютого 2007 року № 105/2007) комп’ютерні загрози не згадуються, а «кібербезпека» - лише в контексті необхідності «розробки та впровадження національних стандартів та технічних регламентів застосування інформаційно-комунікаційних технологій, гармонізованих з відповідними європейськими стандартами, у тому числі згідно з вимогами ратифікованої Верховною Радою України Конвенції про кіберзлочинність». Однак нова оприлюднена редакція «Стратегії національної безпеки» (2011 року) вже використовує термін «кібербезпека». В «Доктрині інформаційної безпеки України» також згадуються «комп’ютерна злочинність» та «комп’ютерний тероризм», знову ж таки – без жодних пояснень чи посилання на такі пояснення. Крім того, в Доктрині згадуються і «кібератаки» без визначення терміна.

 

Таким чином, можна констатувати, що в більшості своїй вітчизняне нормативно-правове поле у сфері інформаційної безпеки оперує дефініціями визначень яких фактично немає.

 

Водночас на сьогоднішній день значна кількість загроз, що пов’язана із використанням сучасних ІКТ, мають більш широкі та більш комплексні наслідки (що можуть виходити далеко за межі конкретної цілі атаки) для об’єктів атаки. Більш того, виразною особливістю сучасних кіберзагроз є їх подальша інтеграція із суто гуманітарними аспектами безпеки (вплив на громадську думку, залякування населення тощо). Відповідно це потребуватиме внесення суттєвих змін як до чинного законодавства, так і Кримінального кодексу України.

 

Таким чином, на сьогоднішній день можна виділити три основні проблеми (які тісно пов’язані між собою), що ускладнюють боротьбу проти злочинів в кіберсфері:

 

1. Відсутність не просто усталених визначень ключових термінів («кіберпростір», «кібербезпека», «кіберзахист», «кібератака», «кібервійна», «кібертероризм», «кіберзброя», «кіберінфраструктура», «критична кіберінфраструктура»), але й таких, що можуть ефективно застосовуватись в практиці правоохоронної діяльності.

 

2. Несформованість (не реформованість) чинного нормативно‑правового поля.

 

3. Відсутність Єдиної загальнодержавної системи протидії кіберзлочинності із відповідним нормативним забезпеченням.

Водночас боротьба із кіберзлочинністю та протидії кіберзлочинам залишається організаційно розпорошеною. Законом України «Про Державну службу спеціального зв’язку та захисту інформації України» на ДССЗЗІ покладено функцію участі у «формуванні та реалізація державної політики у сфері захисту державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації». Обмеженість суто захистом державних інформаційних ресурсів не відповідає сучасним тенденціям у сфері боротьби із кіберзлочинністю та профілактики терористичної, диверсійної та шпигунської діяльності, що потребує додаткового розширення зон уваги правоохоронних органів в тому числі на приватні комп’ютерні мережі та окремі ПК. Крім того, ДССЗЗІ не має повноважень проводити оперативно-розшукову діяльність, чим займаються профільні відділи, управління та департаменти СБУ та МВС України. Діяльність цих трьох відомств в сфері боротьби із кіберзлочинністю є ключовою. Інтернаціональний характер загроз змушує долучати до такої діяльності і інші відомства, що можуть відноситись до військової організації держави – ГУР та СЗР.

 

Нагальною стає проблема координації їх діяльності та правового унормування зон відповідальності відомств, процедур взаємодії та засобів комплексного як реагування на самі загрози кібербезпеці держави, так і значної роботи із попередження таких злочинів.

 

З метою вирішення цих проблем та невпорядкованості нормативно-правового поля державними безпековими інституціями проводиться цілий ряд заходів. Базою для них стало рішення Ради національної безпеки і оборони України від 17 листопада 2010 року «Про виклики та загрози національній безпеці України у 2011 році», яке затверджено Указом Президента України від 10 грудня 2010 року № 1119/2010.

 

Проміжним результатом згаданого Указу є рішення першого віце‑прем’єр-міністра України Клюєва А.П. від 2 лютого 2011 року щодо необхідності підготовки законопроекту про кібернетичну безпеку України. З метою напрацювання концепції даного законопроекту створено робочу групу з представників уповноважених відомств. Попередньо даний законопроект має визначити:

  • понятійно-категоріальний апарат;
  • загрози кібернетичній безпеці;
  • механізми прийняття рішень та розмежування повноважень;
  • критерії віднесення об’єктів до критичної інформаційної інфраструктури, порядок формування переліку таких об’єктів;
  • критерії віднесення інформації на об’єктах всіх форм власності, несанкціоновані дії щодо якої створюють загрозу кібернетичній безпеці держави, до інформації з обмеженим доступом;
  • повноваження державних структур щодо вжиття заходів із протидії кіберзагрозам на об’єктах усіх форм власності;
  • механізми партнерства державного та приватного секторів у сфері забезпечення кібернетичної безпеки.

 

Важливим є передбачити ще на рівні закону систему профілактики кіберзлочинів та підвищення обізнаності населення про конкретні форми кіберзлочинів, способи захисту від них тощо. На думку фахівців в ІТ-сфері значна частина кіберзлочинів відбувається або із використанням соціальної інженерії або порушень (незнання про особливості) умов експлуатації автоматизованих систем всіх рівнів складності.

 

Вбачається доцільним забезпечити повноцінне інтегрування в такий закон і Єдиної загальнодержавної системи протидії кіберзлочинності (відповідно до необхідності створити її на виконання Указу Президента України «Про виклики та загрози національній безпеці України у 2011 році» від 10 грудня 2010 року № 1119/2010).

 

Службою безпеки України було запропоновано цілком слушну, на нашу думку, модель організаційної структури та функціонування такої системи, що має функціонувати на кшталт Єдиної системи запобігання, реагування і припинення терористичних актів та мінімізації їх наслідків, положення про яку затверджено постановою Кабінету Міністрів України від 15 серпня 2007 р. № 1051.

 

Зокрема, в рамках ЄДСПК пропонується передбачити такі функціональні елементи:

  • національна система моніторингу та реагування на загрози безпеці кіберпростору (передбачає швидку ідентифікацію зловмисника та вжиття заходів із локалізації шкоди, викликаної зловмисними діями);
  • система заходів із нівелювання загроз і вразливості кіберпростору та розслідування кіберзлочинів;
  • національна система захисту критичної інформаційної інфраструктури.

Організаційно до ЄДСПК пропонується включити такі структурні елементи:

 

І. Орган координації на загальнодержавному рівні:

Національний центр протидії кіберзагрозам з функціями:

  • забезпечення термінового обміну відомостями про нові та наявні загрози;
  • аналізу загроз та визначення відомств, чиї ресурси та повноваження мають бути задіяні у першу чергу;
  • забезпечення рішень вищого керівництва держави;
  • прийняття управлінських рішень відповідно розвитку оперативної обстановки, здійснення контролю за їх виконанням (з урахуванням швидкоплинності процесів в ІТС та відповідно до світових стандартів прийняття рішень в аналогічних ситуаціях («10-хвилинна готовність»);
  • розробки сценаріїв реагування на загрози, рекомендацій по протидії ризикам;
  • розробки алгоритмів дій у разі виникнення загроз;
  • розробки методології оцінки ризиків;
  • удосконалення нормативно-правової бази.

 

ІІ. Суб’єкти забезпечення кібернетичної безпеки держави:

  • підрозділи розвідувальних органів України, що виконують завдання із забезпечення кібернетичної безпеки України;
  • центральний орган виконавчої влади, що реалізує державну політику у сфері захисту державних інформаційних ресурсів в інформаційно-телекомунікаційних системах, криптографічного та технічного захисту інформації;
  • центральний орган виконавчої влади, що реалізує державну політику у сфері інформатизації та телекомунікацій;
  • Національний банк України (формує та реалізує державну політику із забезпечення інформаційної безпеки банківських установ);
  • органи державної влади, підприємства, установи, організації (в тому числі приватні), які експлуатують об’єкти критичної інфраструктури;
  • правоохоронні органи, що здійснюють досудове слідство в справах про злочини у сфері інформаційних технологій;
  • Збройні Сили України, що здійснюють стримування та відсіч військовій агресії, що здійснюється у т.ч. із застосуванням кібернетичної зброї;
  • підприємства, установи, організації, що проводять господарську діяльність у сфері захисту інформації в інформаційно‑телекомунікаційних системах.
  • оператори (провайдери) телекомунікацій.

 

Проблеми термінологічного характеру можуть стати суттєвою перепоною при створенні згаданих нормативних документів. Незважаючи на широке використання в науковій, публіцистичній та офіційній мові термінів із префіксом «кібер», проблема його визначення все ще залишається вкрай неоднозначною. В першу чергу це стосується центрального поняття – «кіберпростір».

 

Національним інститутом стратегічних досліджень було спрямовано низку офіційних запитів до ключових відомств (Служба безпеки України, Служба зовнішньої розвідки, Головне управління розвідки Міністерства оборони України, Міністерство внутрішніх справ) та наукових установ (Інститут телекомунікацій і глобального інформаційного простору Національної академії наук України, Міжвідомчий науково-дослідний центр з проблем боротьби з організованою злочинністю Ради національної безпеки і оборони України), що мають відношення до інформаційної (в тому числі – технологічної компоненти) безпеки держави з метою визначення підходів до основних термінів в даній сфері.

 

Після проведеного аналізу відповідей (більш докладно, щодо запропонованих визначень – Додаток 1), було сформовано визначення ключових термінів в сфері кібербезпеки які можуть бути покладені в основу розроблюваної нормативно-правової бази в царині захисту кіберпростору держави (Додаток 2).

 

На нашу думку, найбільш цілісним та практично застосованим є розуміння кіберпростору як «об’єктів інформаційної інфраструктури що керуються інформаційними (автоматизованими) системами[1] управління та інформації, що в них циркулює».

 

Відповідно під поняттям «кіберпростір держави» слід розуміти «об’єкти інформаційної інфраструктури держави, що керуються інформаційними (автоматизованими) системами управління та інформації, що в них циркулює».

 

Дане визначення містить лише один невизначений в чинному законодавстві елемент – «інформаційна інфраструктура» («інформаційна інфраструктура держави»). Під ними нами пропонується розуміти:

 

1. «Інформаційна інфраструктура - сукупність об’єктів телекомунікаційних систем[2] всіх форм власності».

 

2. «Інформаційна інфраструктура держави - сукупність об’єктів телекомунікаційних систем всіх форм власності, що розташовані на території держави або доступ до яких здійснюється з території держави».

 

За таких умов до інформаційної інфраструктури держави будуть відноситись як телекомунікаційні системи державної форми власності, так і об’єкти приватної власності, що відображає сучасну тенденцію зрощування питань приватної та державної безпеки в сфері протидії загрозам в кіберпросторі. Крім того, це дозволить державі здійснювати ефективний моніторинг про стан таких об’єктів. Важливим моментом в такому визначенні є те, що частиною «інформаційної інфраструктури держави» стають і персональні комп’ютери користувачів і навіть ті, що не під’єднанні до мереж різного типу.

 

Потребує свого визначення і поняття «критична інформаційна інфраструктура». Узагальненим поняттям можна вважати наступне: «Критична інформаційна інфраструктура держави - сукупність інформаційно-телекомунікаційних систем держави та приватного сектору, що забезпечують функціонування та безпеку стратегічних інститутів держави і безпеку громадян. До таких систем відноситься: державні електронні інформаційні ресурси, автоматизовані системи управління або електронні інформаційні ресурси де обробляється (зберігається) інформація що є власністю держави, або інформація, несанкціоновані дії щодо якої може створювати загрозу національній безпеці та обороноздатності країни (у тому числі відкрита інформація); автоматизовані системи управління, що використовуються суб’єктами Воєнної організації держави; телекомунікаційні системи загального користування; спеціальні телекомунікаційні системи; автоматизовані системи управління, що здійснюють керування виробничими та (або) технологічними процесами на об’єктах підвищеної небезпеки (у визначенні Закону України «Про захист населення і територій від надзвичайних ситуацій техногенного та природного характеру»); інформаційно-телекомунікаційні системи та автоматизовані системи управління, несанкціоноване втручання в роботу яких може загрожувати економічній, фінансовій, соціальній безпеці або завдати шкоди міжнародному іміджу держави».

 

В контексті необхідності забезпечення безпеки об’єктів критичної інфраструктури, може виникнути певні юридичні проблеми пов’язані з тим, що значна частина цих об’єктів можуть знаходитись в приватній власності і у правоохоронних органів може не бути можливості законно в моніторинговому режимі отримувати відомості про їх стан, безпекові параметри (характер програмного забезпечення, рівень захищеності тощо), що можуть бути критично важливими при забезпечення їх безпеки на державному рівні. Відповідно доцільним є введення до Закону України «Про інформацію» поняття «інформація про критичні об’єкти інфраструктури» або «критична інформація» що передбачає неможливість віднесення частини інформації про такі об’єкти до конфіденційної[3], а отже і недоступної правоохоронним органам. З метою недопущення використання даного механізму в корупційних цілях, або недобросовісної конкуренції, перелік інформації про об’єкти критичної інфраструктури має бути чітко регламентований, як щодо характеру такої інформації, так і її обсягів.

 

З огляду на вищезазначене під поняттями «кібербезпека», «кіберзахист», «кібератака», «кібертероризм» пропонується розуміти наступне:

1. Кібербезпека - стан захищеності кіберпростору в цілому або окремих об’єктів його інфраструктури від ризику стороннього кібернетичного впливу (кібератак), за якого забезпечується їх сталий розвиток, а також своєчасне виявлення, запобігання і нейтралізація реальних та потенційних загроз особистим, корпоративним та/або національним інтересам.

 

2. Кіберзахист - сукупність методів і заходів організаційного, нормативно-правового та технічного характеру спрямованих на забезпечення кібербезпеки.

 

3. Кібератака – цілеспрямовані дії, які реалізуються в кіберпросторі (або за допомогою його технічних можливостей), що призводять (можуть призвести) до досягнення несанкціонованих цілей (порушення конфіденційності, цілісності, авторства, спостережності та доступності інформації, деструктивних інформаційно-психологічних впливів на свідомість, психологічний та психічний стан громадян).

 

4. Кіберзлочин – кримінальна дія, відповідальність за яку передбачено кримінальним законодавством, яка здійснена (здійснюється) у кіберпросторі (або за допомогою його технічних можливостей) і несе у собі суспільну небезпеку.

 

Виокремлення поняття «кібертероризм» в якості самостійного є однією з найбільш дискусійних проблем в кібербезпековій сфері. Це обумовлено, по‑перше, надзвичайною політизацією терміну, а по‑друге – необхідністю чітко (та практично застосовано) виписати його ключові параметри так, щоб під їх дію не можна було підвести звичайні комп’ютерні злочини чи комп’ютерне хуліганство. На сьогоднішній в Україні протидія тероризму та боротьба із його проявами здійснюються на базі Закону України «Про боротьбу з тероризмом» в якому тероризм визначений як «суспільно небезпечна діяльність, яка полягає у свідомому, цілеспрямованому застосуванні насильства шляхом захоплення заручників, підпалів, убивств, тортур, залякування населення та органів влади або вчинення інших посягань на життя чи здоров’я ні в чому не винних людей або погрози вчинення злочинних дій з метою досягнення злочинних цілей». Крім того, в даному ж Законі наведено поняття «технологічний тероризм», що включає в себе «злочини, що вчиняються з терористичною метою із застосуванням ядерної, хімічної, бактеріологічної (біологічної) та іншої зброї масового ураження або її компонентів, інших шкідливих для здоров’я людей речовин, засобів електромагнітної дії, комп’ютерних систем та комунікаційних мереж, включаючи захоплення, виведення з ладу і руйнування потенційно небезпечних об’єктів, які прямо чи опосередковано створили або загрожують виникненням загрози надзвичайної ситуації внаслідок цих дій та становлять небезпеку для персоналу, населення та довкілля; створюють умови для аварій і катастроф техногенного характеру». Окремі положення даного визначення включають в себе компоненти, що можуть бути віднесені до «кібертероризму» («…застосування засобів електромагнітної дії, комп’ютерних систем…»), однак внаслідок своєї недеталізованості не можуть бути в повному обсязі використані в практичній роботі правоохоронних органів.

 

Серед запропонованих визначень кібертероризму найбільше відповідає чинній редакції Закону України «Про боротьбу з тероризмом» пропозиція Служби безпеки України. Водночас дане визначення потребує певного уточнення і в кінцевому вигляді може бути представлено наступним чином: «Кібертероризм – суспільно небезпечна діяльність, що здійснюється в кіберпросторі (або із використанням його технічних можливостей) з терористичною метою і полягає у свідомому, цілеспрямованому залякуванню населення та органів влади або вчинення інших посягань на життя і здоров’я людей».

 

Дане визначення доцільно внести до Закону України «Про боротьбу з тероризмом», при цьому вилучивши з визначення «технологічного тероризму» слова «…застосування засобів електромагнітної дії, комп’ютерних систем…».

 

Крім того, Службою безпеки України запропоновано виділити окремо низку дефініцій, що можуть відрізняти кібертерористичні акти від інших злочинних дій: кіберпроступки, кібершпигунство, кібердиверсія.

 

Кіберпроступки - правопорушення, що здійснюється в кіберпросторі відповідальність за яке передбачене, насамперед, адміністративним законодавством.

 

Кібершпигунство (зрада) -це передача або збирання з метою передачі іноземній державі, іноземній організації або їх представникам інформації з обмеженим доступом, що охороняється законом, якщо ці дії вчинені фізичними особами у кіберпросторі.

 

Кібердиверсія - це суспільно небезпечні діяння у кіберпросторі, наслідки яких можуть призвести до масового знищення людей, заподіяння тілесних ушкоджень чи іншої шкоди їхньому здоров’ю, зруйнування або пошкодження стратегічних об’єктів шляхом втручання у роботу ІТС.

 

Додаток 1

Запропоновані визначення  ключових термінів в сфері кібербезпеки

профільними відомствами та науковими установами

 

1. Термін «кіберпростір»

Термін і визначення

Установа

Кіберпростір – середовище, сформоване у рамках поєднання віртуального і реального просторів пов’язаних між собою інформаційних, комп’ютерних  та телекомунікаційних систем, а також мережевих технологій цивільного та/або військового призначення, які в процесах обробки, передачі й зберігання інформації використовують електромагнітний спектр і діють як єдине ціле.

Головне управління розвідки Міністерства оборони України

Кіберпростір (кібернетичний простір) – штучне електронне середовище існування інформаційних об’єктів у цифровій формі, що утворене в результаті функціонування кібернетичних комп’ютерних систем управління і обробки інформації та забезпечує корис