Политика и преступностьПравительство внедряет кибербезопасность в SOA
Опубликовано: 02.05.2023
Странный спор продолжается уже много лет между хорватским правительством и администрацией Брюсселя. По пока непонятным причинам переводческие службы отказываются переводить английское слово «кибер» термином «кибернетический», как того требует хорватская сторона, и вместо этого используют перевод «кибер-». Правительство он настаивает что это создает путаницу и вызывает юридическую неопределенность, но брюссельские переводчики не сдаются. И пока они уверенно лидируют.
На днях Хорватия также приложила к официальным документам Совета заявление, протестующее против использования, по мнению правительства, неправильного перевода. И на этот раз, похоже, безуспешно. Однако пока в Брюсселе продолжается спор о переводе слова «кибер», в Загребе открывается новая полемика по смежной теме — будущему закону о кибербезопасности.
Проблемная модель
Для этого закона Министерство по делам ветеранов Хорватии направило форму предварительной оценки на общественное обсуждение в марте. Это обычная процедура, прежде чем любое юридическое предложение будет написано и по нему будет проведено общественное обсуждение. Однако эта форма уже вызвала несколько оживленных комментариев. Среди прочего, еще и из-за того, что он прибыл на общественное обсуждение с адреса министерства, не имеющего никакого отношения к кибербезопасности.
Однако это была не единственная претензия.Марко Ракар, консультант в области ИТ-систем, предупредил о некоторых, по его мнению, нелогичности в том, как в будущем будет организована система кибербезопасности, а также необходимы большие инвестиции для внедрения новые европейские правила - для чего был анонсирован этот закон - и который, по мнению Ракара, министерство просто недооценило в своей оценке воздействия.
При чем тут секретная служба?
В документе, прошедшем общественное обсуждение, предусмотрено, что будет принята централизованная модель управления кибербезопасностью. Эта модель должна опираться на Национальный центр кибербезопасности (NCSC), который, в свою очередь, «планируется создать в SOA на базе существующего Центра кибербезопасности SOA».
«Эта централизованная модель обеспечивает все необходимые уровни управления кибербезопасностью, от технического до оперативного и стратегического уровня», — говорится в оценке воздействия. Однако Ракар считает проблематичным, что создание НКСК планируется в рамках разведывательной службы. Наоборот, он утверждает, что в других странах Европы такой практики не существует.
«NCSC призван стать центральным органом, занимающимся вопросами кибербезопасности на национальном уровне. В большинстве европейских стран это либо государственное учреждение, либо независимое государственное учреждение, либо ведомство в составе министерства, например министерства экономики, инфраструктуры, связи и т. д. В некоторых странах это Министерство обороны или МВД, но не разведывательный сектор», — отмечает Ракар.
Статья продолжается под объявлением
Роль Центра будет публичной
При этом он отмечает, что кибербезопасность является общественным делом и поэтому не может и не должна скрываться за спецслужбами. Центр «по самой своей природе должен будет общаться, говорить, обучать... Это общественная работа и общественная функция с большой общественной активностью», объясняет Ракар, почему нелогично, чтобы такое учреждение было частью система, которая по своей природе является секретной.
Министерство отвергло его замечания. В рамках общественного обсуждения они только что объявили подробные объяснения в котором они защищают запланированную модель и перечисляют целый ряд задач и ролей SOA, когда речь идет о кибербезопасности, а также проекты, над которыми агентство уже работает с государственным и частным секторами. В ответе министерства говорится, что единого подхода на уровне государств-членов нет, поэтому утверждается, что спецслужбы были задействованы и в других странах.
Как там в других странах ЕС
«Для этого процесса централизации использовались системы безопасности и разведки большого количества стран-членов ЕС, поскольку сфера кибербезопасности является неотъемлемой и очень важной частью национальной безопасности», — пишет министерство. Однако они не уточняют, какие это члены ЕС. В отличие от Ракара, который аргументирует конкретными примерами стран, где национальный центр не в разведывательном аппарате.
Статья продолжается под объявлением
В Ирландии, по его словам, это находится в Министерстве окружающей среды, климата и коммуникаций. В Австрии это правительственное учреждение, как и во Франции. В Италии независимое агентство на национальном уровне. В Швеции часть гражданской защиты. В Финляндии в рамках Агентства транспорта и коммуникаций. В Чешской Республике существует отдельное агентство кибербезопасности и информационной безопасности, перечисляет Rakar.
В 15 раз больше налогоплательщиков
На примере Чехии он также поясняет, почему считает, что эффект будет намного больше, чем прогнозирует министерство. Закон о кибербезопасности принимается в связи с принятием на себя обязательств со стороны т.н. директива NIS2, которой он целью укрепления киберустойчивость целого ряда секторов, от энергетики и здравоохранения до финансов и государственного управления. В нее входит значительно большее количество компаний и других юридических лиц, чем предшествовавшая ей директива, и которые теперь должны будут взять на себя определенные обязательства в отношении кибербезопасности.
«В Чехии, например, количество компаний и юридических лиц, подпадающих под NIS2, увеличилось с 400 по старым правилам до шести тысяч. То есть в 15 раз», — указывает Ракар, добавляя, что НИС2 охватывает практически все отрасли экономики и государственного управления, такие как логистика, энергетика, водоснабжение, транспорт, связь, здравоохранение и так далее.
Пример: как защитить водоснабжение
Поэтому он не согласен с оценкой министерства о том, что затраты на адаптацию в секторе экономики будут незначительными. Они основывают это убеждение на том факте, что практически все компании уже основывают хотя бы часть своих бизнес-процессов на информационных и коммуникационных технологиях и инвестируют в них. Но, по оценке Ракара, потребуются дополнительные инвестиции в инфраструктуру, программное обеспечение, образование...
«Если, например, гидроузлу нужно принять какие-то меры для обеспечения минимальной безопасности своей системы, они должны покупать оборудование, программное обеспечение, платить консультантам, внедрять правила... Это для них издержки ведения бизнеса, а затраты на ведение бизнеса в конечном итоге всегда оплачиваются гражданами», — отмечает он.
Статья продолжается под объявлением
Кто в конечном итоге пишет Закон?
Хотя оценка воздействия поступила от департамента министраТоме Медведя, министерство уверяет, что это связано с тем, что министр является заместителем премьер-министра, отвечающим за национальную безопасность, но что закон будет работать через Национальный совет по кибербезопасности и его межведомственную рабочую группу.
Министерство «не имеет компетенции в области кибербезопасности, но выполняет административную роль в процессе переноса директивы NIS2», — говорят в ответ на наш запрос ведомства Медведя, добавляя, что «законопроект находится в стадии разработки» и что, конечно, он также будет проходить консультации. Учитывая комментарии, которые вызвал первый шаг, неудивительно, что это будет довольно оживленная общественная дискуссия.