Кібербезпека – це «інфраструктура довіри»

Створення чистого та здорового мережевого середовища

Проект Закону про кібербезпеку обговорюється та коментується депутатами Національних зборів, і очікується, що його буде прийнято наприкінці 10-ї сесії 15-ї Національної асамблеї. Висловлюючи свої думки щодо проекту Закону, багато депутатів зазначили, що в контексті стрімкого розвитку науково -технічної революції ситуація з кіберзлочинністю є надзвичайно складною.

З метою створення чистого та здорового мережевого середовища як основи та важеля для сприяння соціально -економічному розвитку та забезпечення національної оборони та безпеки, протягом останнього часу наша партія та держава видали багато важливих політик та орієнтирів щодо забезпечення безпеки мережі. З метою інституціоналізації політики партії, цей змінений закон об'єднав Закон про інформаційну безпеку мережі 2015 року та Закон про безпеку мережі 2018 року в один закон, відповідно до політики законодавчої реформи та міжнародних договорів, учасницею яких є наша країна, реагуючи на поточну практичну ситуацію.

Цей законопроект є терміновою правовою базою, що сприяє захисту національного суверенітету , соціального порядку та безпеки, а також інформаційної інфраструктури від дедалі складніших та організованіших загроз; водночас створюючи основу для безпечного та здорового кіберпростору.

Делегат Бе Чунг Ань (делегація Національних зборів провінції Віньлонг) зазначив, що в цифрову епоху кібербезпека – це «інфраструктура довіри», і багато положень законопроекту спрямовані на досягнення цієї мети. Цього разу поправки до Закону про кібербезпеку спрямовані не лише на вдосконалення чинних норм, але й на створення основи для нової моделі розвитку, в якій кібербезпека не лише відіграє роль захисного «щита», але й стає інфраструктурою для сприяння цифровому економічному зростанню.

Він навів той факт, що країни з коефіцієнтом цифрової економіки, що перевищує 25% ВВП, розглядають кібербезпеку як інфраструктуру розвитку, а не як інструмент контролю. «Якщо закон все ще зосереджується виключно на захисті та розгляді порушень, ми просто будуємо стіну, яка стає все вищою та товстішою, не створюючи рушійної сили для розвитку», – сказав делегат Бе Чунг Ань.

Делегат також зазначив, що штучний інтелект тепер може виводити та витягувати персональну інформацію з публічних даних. Однак, у проекті Закону ще не визначено, що таке виведені дані, і не встановлено прав захисту для цього типу даних. Це лазівка, яка може безпосередньо вплинути на конфіденційність людей. Тому він запропонував додати положення, яке забороняє обробку виведених даних для автентифікації або ідентифікації осіб без явної згоди суб'єкта даних.

З огляду на те, що кібербезпека є дуже мінливою галуззю, делегат проаналізував, що якщо закон не передбачає гнучкого механізму оновлення, він дуже швидко застаріє. Тому уряду слід дозволити оновлювати список ризиків та стандарти безпеки щоквартально, замість того, щоб вносити зміни до закону кожні 3-5 років. Делегат Бе Чунг Ань наголосив, що цей переглянутий закон має змістити свою увагу з захисту сьогодення на створення майбутнього, не просто «щита», а «злітно-посадкової смуги для зльоту цифрової нації». Закон має прокласти шлях для інновацій, звільнити ресурси та розкрити потенціал національного розвитку в цифрову епоху.

Забезпечення безпеки мережевої інформації

Стурбований питанням забезпечення безпеки мережевої інформації, делегат Дінь Тхі Нгок Зунг (делегація Національних зборів міста Хайфон) зазначив, що проект Закону передбачає: Вітчизняні та іноземні підприємства, що надають послуги в телекомунікаційних мережах, Інтернеті та послуг з доданою вартістю в кіберпросторі, несуть відповідальність за надання інформації про користувачів спеціалізованим силам із захисту мережевої безпеки при Міністерстві громадської безпеки не пізніше 24 годин після отримання письмового запиту або електронною поштою, телефоном чи іншим підтвердженим способом обміну інформацією для розслідування та вирішення порушень закону про мережеву безпеку.

Однак, на думку делегатів, слід розглянути форму запиту персональної інформації телефоном, ця форма насправді не є зручною та її важко перевірити у точності.

«Якщо ця форма й надалі регулюватиметься, необхідно уточнити в циркулярах та постановах посаду та статус особи, якій дозволено подавати запити телефоном, а особа, яка отримує та обробляє запит, також повинна бути ключовою особою в підприємстві, що надає послуги в телекомунікаційних мережах, Інтернеті та послуги з доданою вартістю в кіберпросторі. Це питання, пов’язане з правами людини та правами особистості, тому використання інформації має забезпечувати суворі процеси та процедури, уникаючи надмірного спрощення, яке може легко призвести до порушення прав та інтересів громадян під час процесу впровадження», – сказав делегат Дінь Тхі Нгок Зунг.

Щодо бюджету на кіберзахист, делегат Дінь Тхі Нгок Зунг зазначив, що проект Закону передбачає, що бюджет на кіберзахист політичних органів та організацій повинен забезпечувати щонайменше 10% від загального бюджету на реалізацію проектів, програм та інвестиційних планів щодо застосування та розвитку інформаційних технологій.

Делегат запропонував, щоб це положення також потребувало подальшого розгляду, оскільки насправді важко розділити фінансування захисту мережевої безпеки в проекті розвитку інформаційних технологій. «Оскільки додаток, програмне забезпечення, система, операційна частина та частина безпеки розроблятимуться разом і не можуть бути розділені. Водночас, у деяких законах ми також передбачили положення щодо відсотка фінансування для забезпечення низки заходів, але насправді реалізація все ще не гарантована, оскільки залежить від багатьох факторів, таких як загальний рівень фінансування та завдання кожного етапу», – пояснив делегат.

Щодо управління підприємницькою діяльністю продуктів та послуг кібербезпеки, багато делегатів зазначили, що проекти положень щодо умов видачі бізнес-ліцензій на продукти та послуги кібербезпеки все ще мають тенденцію до попередньої перевірки, вимагаючи від підприємств наявності бізнес-ліцензій та сертифікатів на практику. Такий підхід легко збільшує адміністративні процедури та витрати на дотримання вимог, особливо для стартапів у технологічному секторі.

Зіткнувшись із цією реальністю, делегати запропонували перейти до механізму пост-інспекції, що означає, що підприємства можуть вільно працювати, якщо вони відповідають технічним стандартам і правилам. Держава проводитиме інспекції лише після виявлення ознак порушень. Це також відповідає Постанові Центрального комітету № 66 про інституційну реформу та соціально-економічний розвиток.