Постійний діалог між зацікавленими сторонами на основі активного включення влади, бізнесу, громадського та експертного середовища та вироблення спільних рекомендацій для прискорення розвитку цифрової економіки та суспільства України – є основною метою PKI FORUM UA з його першого проведення.
Механізми електронної ідентифікації користувачів, які недостатньо враховують такі базові принципи, як безпека, захист персональних даних, достовірність ідентифікації, інтероперабельність, можуть призводити до порушення кібербезпеки держави.
Доцільність використання електронного цифрового підпису (довірчих послуг) при функціонування інформаційних систем для надання і споживання тих чи інших послуг в електронному вигляді вже не викликає навіть запитань.
Виконання взятих Україною зобов’язань в рамках Угоди про асоціацію з ЄС в частині нормативно-правового наближення між Сторонами у секторі телекомунікаційних послуг (оновлений додаток 17 до Угоди про Асоціацію з ЄС потребує більш глибокого аналізу існуючого законодавства та розробленого на виконання взятих зобов’язань Закону України «Про електронні довірчі послуги», «Про основні засади кібербезпеки України» та інших законодавчих актів у сфері захисту інформації.
Зобов’язання країн СхП імплементувати Регламент eIDAS, загальні правила захисту даних та інші документи ЄС (acquis) є актуальними і для України.
Українські електронні цифрові підписи не визнаються на рівні ЄС та країн СхП, при цьому на рівні держави мають визнання і широке застосування. В процесі створення знаходиться пілотний проект транскордонної системи надання цифрових послуг для бізнесу між країнами-партнерами СхП та ЄС.
Захист прав інтелектуальної власності, захист від спаму, захист конфіденційного характеру інформації (в тому числі персональних даних), захист від шахрайства, кіберзлочинності, а також заходи для електронної торгівлі в Україні все же потребують належного розгляду і законодавчого регулювання . Такі законодавчі акти необхідні для створення клімату довіри та впевненості при використанні цифрових мереж з метою налагодження конструктивного діалогу між ЄС та СхП.
Закон України «Про електронні довірчі послуги» вже має власну історію, проте нормативна база щодо його імплементації все ще формується. У зв’язку з чим просимо усіх зацікавлені сторони долучитися та сприяти у цьому враховуючи виклики сьогодення, та допомоги органам влади з метою як найоптимальнішого шляху вирішення тих чи інших технологічних та технічних питань з метою закріплення їх на законодавчому рівні.
Важливим напрямом, який продовжує потребувати розвитку та уваги всіх учасників, це сфера захисту персональних даних. Контроль за рухом власних персональних даних пов’язаних з розвитком електронної комерції та розповсюдженням та популяризацією послуг у тому числі, що надаються державою в електронному виді. Розробники програмного забезпечення мають дотримуватись нових стандартів захисту персональних даних, що вступили в силу в ЄС, громадяни мають більше уваги звертати на власне порушення їх прав та активніше звертатись за захистом.
Наголошуємо, що державні органи, відповідальні за сферу захисту персональних даних мають більш прискіпливо із залученням зацікавлених сторін розпочати роботу з розробки законодавства з метою імплементації GDPR та сприяти ратифікації оновленої Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, що була схвалена у травні 2018 року.
Ризик неконтрольованого поширення персональних даних пов’язаний зі зростаючим числом грубих порушень інформаційної безпеки – кібершахрайства, що зростають у такій самій прогресії як і рівень електронної комерції, не сприяє довірі та подальшому поширенню електронних сервісів.
Забезпечення безпеки неможливе силами тільки однієї сторони – держави, і розуміючи це, учасники наголошують на перегляді можливостей для державно-приватного партнерства з метою розвитку цифрової економіки.
У Європейському Союзі під “мережевою та інформаційною безпекою” розуміють здатність мережі чи інформаційної системи протистояти певному випадку конфліктності випадкових подій або незаконних або зловмисних дій, що ускладнюють доступність, автентичність, цілісність та конфіденційність збережених або переданих даних та відповідних послуг, пропонованих або доступних через ці мережі та системи.
Директива з безпеки мережевих та інформаційних систем (Директива NIS) забезпечує правові заходи для підвищення загального рівня кібербезпеки в ЄС. Вона вступила в силу в серпні 2016 роки, але держави-члени мали 21 місяць, щоб транспонувати Директиву в свої національні закони і більше 6 місяців, щоб визначити операторів основних послуг. Це важливо і для України. Слід відзначити, що в Україні вже створені групи з реагування на інциденти в галузі комп’ютерної безпеки (CSIRT), що відповідає також зобов’язанням країн СхП та Угоді про Асоціацію з ЄС, відповідно до яких мережа національних «комп’ютерних груп реагування на надзвичайні ситуації», повинна бути сполучена з подібною групою в ЄС (EU CERT) у всіх країнах СхП.
Стратегія мережевої та інформаційної безпеки України, повинна бути узгоджена з Агентством Європейського Союзу з питань мережевої та інформаційної безпеки (ENISA) для аналізу, отримання інформації та для уникнення дублювання зусиль.
Сферу безпеки регулюють: Закон України «Про основні засади забезпечення кібербезпеки України», Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», рішення Ради національної безпеки і оборони України від 27 січня 2016 року «Про Стратегію кібербезпеки України», від 14 вересня 2020 року «Про Стратегію національної безпеки України». На жаль, відсутня публічно доступна інформація про хід виконання стратегії кібербезпеки, є потреба розробки узгодженого з європейськими партнерами та усіма зацікавленими сторонами нового плану реалізації стратегії кібербезпеки та нового узгодженого законопроекту про електронні комунікації.
Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» потребує приведення у відповідність до Закону України «Про основні засади забезпечення кібербезпеки України», а сам рамковий Закон України «Про основні засади забезпечення кібербезпеки України» потребує перегляду, опрацювання та розробки базового основного закону.
Наголошуємо на необхідності широких консультацій щодо підведення підсумків реалізації стратегії кібербезпеки 2016-2020 року, особливо в частині відповідальності за кібербезпеку та кіберзахист. відображено спільну відповідальність держави та приватних структур, відповідальних за певні напрями кібербезпеки з урахуванням інформації, викладеної у звіті про виконання плану заходів з реалізації Стратегії кібербезпеки України та його узгодженню з європейськими партнерами та усіма зацікавленими сторонами.
Такий план повинен зачіпати багато різних областей, включаючи висвітлення значення ІКТ для країни; визначення та аналіз ризиків від кіберзлочинності і кібератак; визначення строків, відповідальних за виконання завдань, таких як запобігання і виявлення кіберзлочинів і кримінальне переслідування за такі злочини, розвиток цифрових навичок населення, заходи розвитку «цифрової гігієни» тощо.
Учасники PKI FORUM UA наголошують на необхідності якнайшвидшого вирішення наступних питань:
- Формування нормативно-правового забезпечення запровадження нових ефективних інструментів державно-приватного партнерства у секторах кібербезпеки та кіберзахисту, електронних довірчих послуг, захисту персональних даних для забезпечення довіри до цифрових послуг;
- Вивчення досвіду ЄС у сфері розвитку та започаткування нормативно-правового забезпечення регулювання криптоактивів. Зокрема розпочати вивчення проектів актів ЕС з цих питань прийнятих у першому читанні 24 вересня 2020 року з метою імплементації досвіду, зокрема:
- Регламенту про ринки криптоактивів та поправок до Директиви (ЄС) 2019/1937;
- Регламенту (COM (2020) 594 2020/0267) про пілотний режим для ринкової інфраструктури на основі технології розподіленого реєстру;
- Регламенту про цифрову операційну стійкість фінансового сектора та внесення поправок до Регламентів (ЄС) № 1060/2009, (ЄС) № 648/2012, (ЄС) № 600/2014 та (ЄС) № 909/2014.
- Перегляд нормативно-правового забезпечення регулювання питання розробки дієвих механізмів управління передачі на зберігання архівних електронних документів;
- Перегляду плану реалізації стратегії кібербезпеки, де буде відображено спільну відповідальність держави та приватних структур, відповідальних за певні напрями кібербезпеки з урахуванням інформації. Зокрема, визначення та аналіз ризиків від кіберзлочинності і кібератак; визначення строків, відповідальних за виконання завдань, таких як запобігання і виявлення кіберзлочинів і кримінальне переслідування за такі злочини, розвиток цифрових навичок населення, заходи розвитку «цифрової гігієни» тощо;
- Проведення зважаючи на ініціативи Мінцифри фахового ґрунтовного вивчені питання використання та можливостей відмов чи заміни від інструменту «комплексна система захисту інформації», в тому числі проведення громадського обговорення цього питання.