Интересную логику можно отметить у российского законодателя при разработке законопроектов в сфере информационных технологий, защиты информации и персональных данных. Не пытаясь успеть за стремительно развивающимися цифровыми технологиями и в то же время предпринимая попытки борьбы с киберпреступностью, он выбирает пока что «запретительный» подход как в области законотворчества, так и в правоприменительной практике. Постараемся показать это на примерах.
Прозрачность в Интернете
С самого первого дня нового года вступят в силу поправки, запрещающие анонимное использование мобильных мессенджеров. Изменения вносятся Федеральным законом от 29.07.2017 № 241-ФЗ «О внесении изменений в статьи 10.1 и 15.4 Федерального закона «Об информации, информационных технологиях и о защите информации» (далее – Закон об информации).
Статья 10.1 Закона от 27.07.2006 № 149-ФЗ устанавливает обязанности организатора распространения информации в Интернете, а статья 15.4 регулирует порядок ограничения доступа к информационному ресурсу организатора. Нововведения, вступающие в силу в 2018 году, устанавливают обязанность для интернет-мессенджеров, которые являются организаторами распространения информации в Интернете, идентифицировать пользователей по номеру мобильного телефона.
В подобных запретах заинтересованы прежде всего силовые структуры Российской Федерации. Услуги по передаче мгновенных сообщений необходимо будет предоставлять лишь тем пользователям, которые пройдут идентификацию на базе абонентского номера и соответствующего договора. Другими словами, со следующего года оператор приложения или сервиса мессенджера должен будет на договорной основе взаимодействовать с соответствующими операторами связи. Такие меры, по мнению законодателя, позволят бороться с массовой рассылкой нежелательных сообщений, так как у пользователя сервиса есть возможность отказаться от получения электронных сообщений от других пользователей.
Интересно, что попытка регулирования новой цифровой реальности, за которой, очевидно, не поспевает законодатель, начинается с запретов и ограничений: вспомнить хотя бы заблокированный LinkedIn, WeChat, угрозу блокировки Facebook в случае дальнейших попыток игнорирования требований о локализации, предусмотренных законодательством о персональных данных Российской Федерации. Так и в случае с мессенджерами введено требование о том, что хранение идентификационных сведений об абонентском номере необходимо осуществлять только на территории России.
Понятно, что российская прокуратура и надзорные ведомства рассматривают этот шаг в контексте борьбы с киберпреступностью ввиду участившихся хакерских атак и вирусов, новости о которых не утихали всю вторую половину 2017 года: вирусы-вымогатели WannaCry и Petya атаковали компьютеры по всему миру, зашифровав данные пользователей, после чего следовала блокировка компьютера и требование выкупа; вирус Bad Rabbit известен тем, что после скачивания обновлений на компьютер система блокировалась и поступало требование о выкупе.
Информационная безопасность
Проблема распространения киберпреступлений по всему миру дала еще один толчок к принятию некоторых нововведений, вступающих в силу 1 января 2018 года. В частности, с нового года начнут действовать изменения, устанавливающие уголовную ответственность за неправомерный доступ к критической информационной структуре Российской Федерации, системам управления технологическими процессами в атомной и химической промышленности, энергетике и оборонно-промышленном комплексе. Другими словами, речь идет о ключевых системах жизнеобеспечения страны.
Понятие критической информационной инфраструктуры вводится новым Федеральным законом от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»(далее – Закон № 187-ФЗ) и включает как объекты критической информационной инфраструктуры, так и сети электросвязи, используемые для организации их взаимодействия, к примеру, информационные системы сети госорганов, автоматизированные системы управления технологическими процессами в оборонной индустрии, в сфере здравоохранении, связи, на транспорте, в кредитно-финансовой сфере и энергетике, а также в ряде отраслей промышленности, включая топливную, атомную, ракетно-космическую и другие отрасли. Работа над новым федеральным законом велась давно, начиная с 2006 года, сначала в виде поправок в Закон об информации, а затем, когда угроза киберпреступности перестала быть лишь угрозой и показала свое лицо в виде хакерских атак, в качестве самостоятельного закона, инициированного Федеральной службой безопасности. Пока вопросы вызывает только то, как дорого обойдется субъектам (владельцам) критической информационной инфраструктуры реализация положений Закона № 187-ФЗ на практике. Ведь внедрение в существующую инфраструктуру специальных средств, предназначенных для обнаружения, предупреждения и ликвидации последствий компьютерных атак и реагирования на компьютерные инциденты, требует немалых капиталовложений. Ко всему прочему, никакой методологической базы для реализации данного Закона на практике пока не выработано. Есть ощущения, что с вступлением Закона № 187-ФЗ в силу вопросов меньше не станет.
Немало средств, вероятнее всего, придется потратить и на реализацию некоторых положений «пакета Яровой», вступающих в силу с 1 июля 2018 года. Речь идет о требовании к операторам связи и организаторам распространения информации в Интернете хранить на территории Российской Федерации весь трафик, включая текстовые сообщения, изображения, голосовую информацию и прочее в течение полугода с момента окончания их приема, передачи, доставки и (или) обработки. Хранение данных на территории России без регулярного анализа трафика едва ли сможет со стопроцентной вероятностью предотвратить кибератаку и в целом обеспечить кибербезопасность на национальном уровне.