კიბერკონტროლი უსაფრთხოებაზე ზრუნვის მოტივით

თაზო კუპრეიშვილი, ნეტგაზეთი

სამომავლოდ მნიშვნელოვან კერძო და სახელმწიფო დაწესებულებების ინფორმაციულ უსაფრთხოებას თუ პრობლემები შეექმნება, მის მოგვარებაზე სახელმწიფო იზრუნებს. ხარვეზის აღმოფხვრისას კი მისთვის ხელმისაწვდომი იქნება კომპიუტერულ სისტემაში დაცული ინფორმაცია.

საქართველოს პარლამენტის ურმავლესობის წევრებმა აღნიშნული საკითხის დასარეგულირებლად პარლამენტში წარმოადგინეს კანონპროექტი „ინფორმაციული უსაფრთხოების შესახებ“. კანონპროექტის მიხედვით, სახელმწიფო იზრუნებს ქვეყნისთვის მნიშვნელოვანი სახელმწიფო თუ კერძო დაწესებულებების ინფორმაციული უსაფრთხოების დაცვაზ¬ე. დაცვის აუცილებლობიდან გამომდინარე კი, შესაძლოა, სახელმწიფოს მიეცეს უფლება, კერძო კომპანიების კომპიუტერულ სისტემებში დაცულ ინფორმაციაზე მიუწვდებოდეს ხელი.

პარლამენტარების - კახაბერ ანჯაფარიძისა და ზვიად კუკავას მიერ წარმოდგენილი კანონპროექტი პარლამენტში გასულ კვირას დარეგისტრირდა, თუმცა პირველი მოსმენა ჯერ არ გამართულა.

სპეციალისტთა ნაწილი კანონპროექტს „ინფორმაციული უსაფრთხოების შესახებ“ ბუნდოვანს და გაურკვეველს უწოდებს და მიიჩნევს, რომ თუ მას ამჟამინდელი ფორმით მიიღებენ,  კერძო ორგანიზაციების კომპიუტერულ სისტემებში დაცული მრავალი სახის ინფორმაცია ხელისუფლებისთვის ხელმისაწვდომი გახდება.

კანონპროექტის მიხედვით, უნდა შეიქმნას ერთიანი სისტემა, რომლის საშუალებითაც ქვეყანა ერთობლივი ძალებით გაუმკლავდება კიბერსაფრთხეებს.

კანონპროექტი „ინფორმაციული უსაფრთხოების შესახებ“ ამკვიდრებს ახალ ტერმინებსაც, როგორიცაა „კრიტიკული ინფრასტრუქტურა“. ის გულისმხობს იურიდიული პირების, სახელმწიფო ორგანოებისა და საქმიანობის სფეროების ერთობლიობას, რომლის ინფორმაციული სისტემის „უწყვეტი ფუნქციონირება მნიშვნელოვანია ქვეყნის თავდაცვის ან/და ეკონომიკური უსაფრთხოებისათვის, სახელმწიფო ხელისუფლების ან/და საზოგადოების ნორმალური ფუნქციონირებისათვის“.

საკანონმდებლო ინიციატივის მიხედვით, კრიტიკული ინფრასტრუქტურის სუბიექტი ვალდებულია, იუსტიციის სამინისტროს დაქვემდებარებულ „მონაცემთა გაცვლის სააგენტოს“ წარუდგინოს მიღებული ინფორმაციული უსაფრთხოების პოლიტიკა, ისევე როგორც მასში განხორციელებული ნებისმიერი ცვლილება.

ინფორმაციული უსაფრთხოების პოლიტიკის შექმნა კი სავალდებულო ხდება. გარდა ამისა, კრიტიკული ინფრასტრუქტურის სუბიექტები ვალდებულნი იქნებიან, შექმნან ინფორმაციული უსაფრთხოების ოფიცრის პოსტი, სადაც მომუშავე ადამიანი ვალდებული იქნება უსაფრთხოების პოლიტიკის განხორციელებაზე.

კერძო და სახელმწიფო ორგანიზაციების ინფორმაციული უსაფრთხოების აუდიტის ჩატარების უფლება მხოლოდ „მონაცემთა გაცვლის სააგენტოს“ ექნება და ამ მომსახურების საფასური კონტრაქტით იქნება შეთანხმებული.

კანონპროექტში ასევე წერია, რომ ნებისმიერ კიბერ-საფრთხეზე რეაგირების პასუხისმგებლობა ეკისრება იუსტიციის სამინისტროს მონაცემთა გაცვლის სააგენტოს „სწრაფი რეაგირების ჯგუფს“.

სწრაფი რეაგირების ჯგუფს კი უფლება აქვს, მოითხოვოს წვდომა  კრიტიკული ინფრასტრუქტურის სუბიექტის ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე, თუ ამგვარი წვდომა აუცილებელია მიმდინარე ან მომხდარ კომპიუტერულ ინციდენტზე სათანადო რეაგირებისათვის.

კანონპროექტის მიზანი

ავტორები მიიჩნევენ, რომ კანონპროექტმა „ინფორმაციული უსაფრთხოების შესახებ“ ხელი უნდა შეუწყოს ინფორმაციული უსაფრთხოების ეფექტურ დაცვას, რა მიზნითაც კანონპროექტი ადგენს ინფორმაციული უსაფრთხოების ძირითად სტანდარტებს და კიბერ–უსაფრთხოების განხორციელების სამართლებრივ და ინსტიტუციურ საფუძვლებს. კანონპროექტი ადგენს საჯარო და კერძო სექტორის უფლება-მოვალეობებს ინფორმაციული უსაფრთხოების დაცვის სფეროში, ასევე განსაზღვრავს ინფორმაციული უსაფრთხოების პოლიტიკის განხორციელების სახელმწიფო კონტროლის მექანიზმებს, როგორიცაა კრიტიკული ინფრასტრუქტურის სუბიექტთა წრის დადგენა, ასევე, აუდიტის, აქტივების ინვენტარიზაციის, ინფორმაციის კლასიფიცირების და სხვა ვალდებულებათა მონიტორინგის სისტემის შექმნა.

კანონპროექტის ავტორების მოსაზრებით, ტექნოლოგიებს მნიშვნელოვანი ადგილი უკავია საქართველოს მოქალაქეების ყოველდღიურ ცხოვრებასა და სახელმწიფოს მიერ მისი მოვალეობის განხორციელების პროცესში. თანამედროვე ტექნოლოგიებზე  დამოკიდებულება კი დღითიდღე იზრდება.

„აქედან გამომდინარე, არსებული სისტემების შეფერხებამ, ან მათმა კომპრომატირებამ შესაძლებელია, მნიშვნელოვანი, ზოგიერთ შემთხვევაში კი გამოუსწორებელი, პოლიტიკურ-ეკონომიკური ზიანი მიაყენოს ქვეყანას, რისი ყველაზე ნათელი მაგალითი გახლდათ საქართველოს წინააღმდეგ 2008 წლის აგვისტოში განხორციელებული მასშტაბური კიბერ-შეტევა“, - წერენ კანონპროექტის განმარტებით ბარათში ავტორი პარლამენტარები.

მიზანი - დიადი, კანონპროექტი - ბუნდოვანი

სპეციალისტთა გარკვეული ჯგუფი მიიჩნევს, რომ კანონპროექტს „ინფორმაციული უსაფრთხოების შესახებ“ „დიადი მიზნები აქვს“. თუმცა, ძალიან ბუნდოვანი და გაურკვევლია, რომელიც გარკვეულ რისკებს აჩენს.

საქართველოს ახალგაზრდა იურისტთა ასოციაციის იურისტი თამარ კორძაია ამბობს, რომ კანონპროექტში, პირველ რიგში, გაურკვეველია ტერმინოლგია - კონფიდენციალური ინფორმაცია, შეზღუდული ინფორმაცია, არაკლასიფიცირებული ინფორმაცია.

„კანონპროექტის მესამე მუხლის მეხუთე პუნქტში წერია, რომ კანონის ეს დებულებები გავლენას არ ახდენს საქართველოს კანონმდებლობით გათვალისწინებულ  იმ ნორმათა მოქმედებაზე, რომელიც არეგულირებს ინფორმაციის თავისუფლებას, პერსონალური მონაცემების დაცვას, პირადი და კომერციული საიდუმლოს დაცვას. საქართველოს კონსტიტუცია იცნობს ასეთ რაღაცას, რომ ინფორმაცია შეიძლება იყოს სახელმწიფო, კომერციული ან პერსონალური საიდუმლო. გაურკვეველი რჩება, თვითონ ეს კანონი კონსტიტუციით დაცულ რომელ საიდუმლო ინფორმაციას იცავს. თვითონ ეს ინფორმაციული უსაფრთხოება რომელ კატეგორიას მიეკუთვნება - კომერციულს, სახელმწიფოს თუ პირადს, ანუ ეს საკითხი ბუნდოვანია“, - ამბობს თამარ კორძაია.

იურისტის მოსაზრებით, ეს არის „ძალიან საშიში შესაძლებლობა“ სახელმწიფოს მხრიდან, ჩაერიოს კერძო იურიდიული პირის საქმიანობაში.  თამარ კორძაია ამბობს, რომ საკუთარი ინფორმაციული უსაფრთხოების დაცვა კერძო პირის ინტერესებში შედის და სახელმწიფო ამაში არ უნდა ერეოდეს.  მისი აზრით, ამ კანონში ძალიან მკაფიოდ უნდა ჩანდეს, რატომ ერევა კერძო ბიზნესის ინტერესებში და რატომ მიაჩნია, რომ თუნდაც საბანკო სისტემის უსაფრთხოების დაცვაზე თვითონ უკეთ იზრუნებს, ვიდრე თავად ბანკები. მით უმეტეს, რომ ბანკს შეიძლება მილიონობით ზიანი მიადგეს,  თუ სისტემას არ დაიცავს.

„ამ ნაწილში მეტი დასაბუთება სჭირდება სახელმწიფოს, სხვა მხრივ ეს ჰგავს იმას, რომ სახელმწიფოს სურს ჩაერიოს კერძო სექტორის საქმიანობაში და ფლობდეს ინფორმაციას კერძო სექტორის კომპიუტერულ სისტემებში დაცულ ინფორმაციაზე. ქვეყანა იყოს დაცული - მიზანი მისაღებია, მაგრამ ამის მიღწევის გზები ძალიან გაურკვეველია, გარდა ამისა, ამ ყველაფერში ჩაერევა უშიშროების საბჭო, რომელიც დაადგენს უსაფრთხოების კრიტერიუმებს და მერე ამ კრიტერიუმებს დაამტკიცებს პრეზიდენტი“, - განუცხადა „ნეტგაზეთს“ თამარ კორძაიამ.

კანონპროეტში არსებეულ ხარვეზებზე ასევე საუბრობს არასამთავრობო ორგანიზაცია „კონსტიტუციის 42-ე მუხლის“ იურისტი დიმიტრი ხაჩიძე.

მისი თქმით, კანონპროექტის მეორე მუხლში წერია, რომ „კრიტიკული ინფრასტრუქტურის სუბიექტად“ სახელმწიფო უწყების გარდა შეიძლება ჩაითვალოს ნებისმიერი იურიდიული პირი, რომელთა ნუსხასაც განსაზღვრავს პრეზიდენტი კანონის მიღებიდან ექვს თვეში.

„მე მგონი, პირიქით იქნებოდა კარგი, ჯერ  განგვესაზღვრა, ვის ვიცავთ და რას ვიცავთ და კანონიც იმ პირების უშუალო მონაწილეობით მიგვეღო, ვისაც შეეხებოდა“, - უთხრა „ნეტგაზეთს“ დიმიტრი ხაჩიძემ.

იურისტის მოსაზრებით, სახელმწიფო სტრუქტურამ [ამ შემთხვევაში იუსტიციის სამინსიტროს მონაცემთა გაცვლის სააგენტომ] უნდა დაიცვას თავისი ინფორმაცია, მაგრამ როცა ის ერევა კერძო სტრუქტურის უსაფრთხოების დაცვაში, აქ განსხვავებული რეგულაციებია საჭირო.

დიმიტრი ხაჩიძე ასევე ამბობს, რომ კანონში „ინფორმაციული უსაფრთხოების შესახებ“ აუცილებლად უნდა ჩაიწეროს, რომ სახელმწიფომ ინფორმაციული უსაფრთხოების დაცვისას მიღებული კომერციული თუ პირადი საიდუმლო ინფორმაცია არავის წინააღმდეგ არ გამოიყენოს, რაც კანონპროექტის ამჟამინდელ ვერსიაში არ არის.

იურისტ თამარ კორძაიას კანონპროექტის ერთ-ერთ ნაკლად ისიც მიაჩნია, რომ იურიდიული პირისთვის კრიტიკული ინფრასტრუქტურის სუბიექტის სტატუსის მინიჭების პრეროგატივა პრეზიდენტს შესაბამისი ბრძანების გამოცემით მიეცემა და ეს თავად კანონში არ იქნება ჩაწერილი.

„გამოდის, რომ ეს შეიძლება ნებისმიერ იურიდიულ პირზე გავრცელდეს, რომელიც თავისი საქმიანობისას იყენებს კომპიუტერულ ტექნოლოგიებს“, - მიიჩნევს თამარ კორძაია.

კანონპროექტში არსებული უზუსტობები

ინტერნეტ-ტექნოლოგიების სპეციალისტი კონსტანტინ სტალინსკი ამბობს, რომ კანონპროექტში „ინფორმაციული უსაფრთხოების შესახებ“ არის მნიშვნელოვანი ტერმინოლოგიური შეცდომები და გარკვეულ საკითხთა შესახებ ინფორმაცია არასწორადაა წარმოდგენილი.

სტალინსკის თქმით, ტერმინი არაკლასიფიცირებული ინფორმაცია არასწორი თარგმნის შედეგად მიღებული ტერმინია.

„Classified information – ნიშნავს „საიდუმლო ინფორმაციას“. ზოგადად,  ინფორმაციის კლასიფიცირება არ შედის დაცვის სფეროში. მაგალითად, რომელიმე გამოცემის გარკვეული N სტატიისთვის X კატეგორიის მინიჭება ნიშნავს კლასიფიცირებას.  ამას საერთო არაფერი აქვს  Classified information-თან“, - ამბობს კომპიუტერული ტექნოლოგიების სპეციალისტი.

კონსტანტინ სტალინსკის შეფასებით, სახელმწიფო უწყება [მონაცემთა გაცვლის სააგენტო] არ უნდა აწარმოებდეს კერძო იურიდიული პირის ინფორმაციული უსაფრთხოების აუდიტს. მისი თქმით, საზღვარგარეთ ამას კერძო კომპანიები მრავალი წელია, უკეთ ართმევენ თავს და ხარისხიანი აუდიტის გამოცდილება საერთაშორისო კომპანიებსაც აქვთ.

კომპიუტერული ტექნოლოგიების სპეციალისტის თქმით, წარმოდგენილი კანონპროექტი წარმოქმნის მრავალ კითხვას. მაგალითად, „რა უფლება-მოვალეობები ენიჭება მონაცემთა გაცვლის სააგენტოს? ექნება თუ არა მას უფლება, მოითხოვოს კერძო კომპანიის სერვერებზე დაცული ინფორმაცია [მონაცემთა ბაზები]? კომპიუტერული სისტემიდან ინფორმაციის წაშლა უნდა შეუთანხმო თუ არა მონაცემთა გაცვლის სააგენტოს? ასევე, ამ სააგენტოს მომსახურება კიბერსაფრთხის აღმოფხვრისას იქნება თუ არა ფასიანი და ა.შ.“

კანონპროექტის ავტორები განმარტებით ბარათში წერენ, რომ აღნიშნული პროექტის მიღება და კრიტიკული ინფრასტრუქტურის სამართლებრივიდ რეგულირება ქვეყანას დაიცავს ისეთი კიბერსაფრთხეებიდან, როგორიც ქვეყანამ გადაიტანა 2008 წლის აგვისტოს ომის დროს.

კონსტანტინ სტალინსკის თქმით, საქართველოს წინააღმდეგ 2008 წლის აგვისტოში, გარდა საიტების გატეხვისა, მასობრივად იყო გამოყენებული DDoS attack. ასეთი ტიპის კიბერთავდასხმა გულისხმობს ვებგვერდზე 2-3 მილიონი IP მისამართის ხელოვნურ შესვლას, თითქოსდა ინფორმაციის მისაღებად. შედეგად ვერც სერვერი და ვერც ხაზის გამტარუნარიანობა ვერ უძლებს და „ითიშება“.

სპეციალისტის შეფასებით, მსგავსი ტიპის შეტევების პრევენცია წინასწარ შეუძლებელია, მით უმეტეს - პარლამენტში ამჟამად წარმოდგენილ კანონპროექტში გათვალისწინებული ქმედებებით.