„ინფორმაციული უსაფრთხოების შესახებ“ კანონპროექტის რისკები და გამოწვევები - IDFI-ს შეფასება

სიახლეები | კარგი მმართველობა | პუბლიკაციები | სტატია 10 ნოემბერი 2019

ინფორმაციის თავისუფლების განვითარების ინსტიტუტი (IDFI) ეხმიანება საქართველოს პარლამენტში 2019 წლის 2 ოქტომბერს „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონში ცვლილების შეტანის შესახებ ინიცირებულ კანონპროექტს.

 

უპირველეს ყოვლისა ხაზი უნდა გავუსვათ იმ ფაქტს, რომ ინფორმაციული ტექნოლოგიების სწრაფი განვითარება ზრდის ერთი მხრივ საზოგადოების თითოეული წევრის დამოკიდებულებას თანამედროვე ელექტრონულ სისტემებზე, ხოლო მეორე მხრივ აძლიერებს სახელმწიფო სერვისების, სტრუქტურების და უსაფრთხოების სისტემების დამოკიდებულებას მუდმივად განახლებად ციფრულ ტექნოლოგიებზე, რაც ბუნებრივად წარმოშობს როგორც საგარეო, ასევე, საშინაო რისკებს. ასეთი რისკების განსაზღვრა და მათი დაცვის შესაბამისი ღონისძიებების დანერგვა აუცილებელია. თუმცა, გასათვალისწინებელია ის ფაქტი, რომ საქართველო ახალგაზრდა დემოკრატიაა, სადაც არ არის ჩამოყალიბებული კარგი და ანგარიშვალდებული სახელმწიფო მმართველობის სისტემები, შესაბამისად, უსაფრთხოების სექტორის მაკონტროლებელი უფლებამოსილებების პოტენციური, და ამ ეტაპზე დაუსაბუთებელი, ზრდა არ უნდა განხორციელდეს თავისუფლების შეზღუდვის ხარჯზე.

 

2019 წლის 2 ოქტომბერს ინიცირებულ კანონპროექტში, IDFI ხედავს რისკებს, რომელიც სხვადასხვა დასაბუთებულ ფაქტორებზე დაყრდნობით შეიძლება შემდეგნაირად ჩამოყალიბდეს:

 

1. ინფორმაციული უსაფრთხოების სისტემის კარდინალური რეფორმა

 

კანონპროექტით შემოთავაზებულ ვერსიაში კარდინალურად იცვლება არსებული კიბერ უსაფრთხოების არქიტექტურა.  სახელმწიფო უსაფრთხოების სამსახურის სსიპ ოპერატიულ - ტექნიკური სააგენტო ფაქტობრივად ხდება საინფორმაციო და კიბერუსაფრთხოების უზრუნველყოფის მთავარი მაკოორდინირებელი და ზედამხედველი უწყება, რომლის უფლებამოსილება გავრცელდება არა მხოლოდ კრიტიკულ ინფრასტრუქტურას მიკუთვნებულ საჯარო დაწესებულებებზე, არამედ კერძო სექტორზეც. კანონპროექტში არ ჩანს, თუ როგორ მოხდება კოორდინაციის გაძლიერება უწყებებს შორის. პირიქით, კოორდინაციის სახელმწიფო ღერძს ემატება უწყება, რომელმაც არა მხოლოდ უნდა განახორციელოს შესაბამისი სუბიექტების ზედამხედველობა, არამედ უნდა ითანამშრომლოს უკვე არსებულ სახელმწიფო უწყებასთან (მათ შორის ერთობლივი ბრძანებების გამოცემის სახით), რაც კიბერუსაფრთხოების მენეჯმენტს კიდევ უფრო გაართულებს. კოორდინაციის კუთხით კანონპროექტით მკაფიოდ არ არის განსაზღვრული არც თავდაცვის სამინისტროს კიბერუსაფრთხოების ბიუროსა და შინაგან საქმეთა სამინისტროს შესაბამისი სტრუქტურული ქვედანაყოფის როლი ახალ მოწესრიგებაში.

 

ინიცირებული კანონპროექტის მიხედვით, იუსტიციის სამინისტროს საჯარო სამართლის იურიდიულ პირს - მონაცემთა გაცვლის სააგენტოს, საკუთარი უფლებამოსილების განხორციელებისას სუს-ის ოპერატიულ-ტექნიკურ სააგენტოსთან კოორდინაციის ვალდებულება ეკისრება.

 

მიუხედავად იმისა, რომ ორმა უწყებამ ერთობლივად უნდა გამოსცეს ინფორმაციული უსაფრთხოების მარეგულირებელი ბრძანებები და ნორმატიულ აქტები, ასეთი მოწესრიგების პირობებში, მონაცემთა გაცვლის სააგენტოს ზედამხედველობა აღარ გავრცელდება საჯარო სექტორზე და ის მთლიანად გადავა ოპერატიულ-ტექნიკური სააგენტოს კომპეტენციაში.

 

ამავე დროს კერძო სექტორის ინფორმაციული უსაფრთხოების სტანდარტების ზედამხედველობაც მონაცემთა გაცვლის სააგენტომ უნდა განახორციელოს სუს-ის ოპერატიულ ტექნიკურ სააგენტოსთან შეთანხმებით და კოორდინაციით. ასეთ პირობებში გაუგებარი რჩება ზოგადად მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე რეაგირების ჯგუფის, როგორც ცალკე არსებული ერთეულის, დანიშნულება.

 

2. სუბიექტებად დაყოფის კატეგორიზაციის პრობლემურობა და დაცულ უფლებებში ჩარევის მომეტებული რისკი

კანონპროექტით გათვალისწინებული ცვლილების შესაბამისად, კრიტიკული ინფორმაციული სისტემის სუბიექტები დაიყოფიან 3 კატეგორიად:


ა) პირველი კატეგორიის სუბიექტებში მოხვდებიან სახელმწიფო ორგანოები, დაწესებულებები, საჯარო სამართლის იურიდიული პირები (გარდა რელიგიური და პოლიტიკური გაერთიანებებისა) და სახელმწიფო საწარმოები; 


ბ) მეორე კატეგორიის სუბიექტებში მოხვდებიან ელექტრონული კომუნიკაციების კომპანიები; 


გ) მესამე კატეგორიის სუბიექტებში მოიაზრებიან ისეთი კერძო სამართლის იურიდიული პირები, როგორებიც არიან მაგალითად ბანკები და ფინანსური ინსტიტუტები.

 

შემოთავაზებული მოწესრიგებით ოპერატიულ ტექნიკური სააგენტოს ეძლევა საშუალება ჰქონდეს სრული წვდომა პირველი კატეგორიას მიკუთვნებული დაწესებულებების ინფორმაციულ აქტივებზე, ინფორმაციული სისტემებსა და ინფრასტრუქტურაზე. ხოლო კანონპროექტის მე-10 მუხლის მე-4 პუნქტის მიხედვით კომპიუტერული  ინციდენტების იდენტიფიცირებისთვის თავად აკონტროლებდეს ამ დაწესებულებაში განთავსებულ სენსორს და ქსელს. ამავე დროს, თანამედროვე ტექნოლოგიები საშუალებას იძლევა ქსელური სენსორების კონფიგურირებას იმგვარად, რომ მათ გაცილებით უფრო დიდი მოცულობის და შინაარსის ინფორმაცია დაამუშაონ, მათ შორის საშუალებას, რომ მოხდეს გზავნილების შინაარსის კონტროლიც რეალურ რეჟიმში. რაც ზრდის რისკს იმისა, რომ სახელმწიფო უსაფრთხოების სამსახური, თანამედროვე ტექნოლოგიების გამოყენებით, მოიპოვებს პირადი ხასიათის ინფორმაციას განუსაზღვრელ პირთა წრის შესახებ. 

 

 

სუბიექტების კატეგორიზაციაში განსაკუთრებით პრობლემურია მეორე და მესამე კატეგორიის სუბიექტები, რომლებიც კერძო სუბიექტებს წარმოადგენენ. განსაკუთრებით მეორე კატეგორიის სუბიექტები, რომლებიც კანონპროექტის 1-ლი მუხლის „ზ2“ ქვეპუნქტის თანახმად წარმოადგენენ „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონით განსაზღვრულ ელექტრონული კომუნიკაციის კომპანიებს.

ამ შემთხვევაში, გაუგებარია რა პრინციპით არიან ისინი გაყოფილნი მეორე და მესამე კატეგორიად და რატომ უწესდებათ ელექტრონული კომუნიკაციის კომპანიებს ოპერატიულ ტექნიკურ სააგენტოსთან ანგარიშვალდებულების უფრო მაღალი სტანდარტი. ოპერატიულ-ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი უფლებამოსილია კომპიუტერული ინციდენტის განმეორების საფრთხის თავიდან აცილების მიზნით იმპერატიულად მოსთხოვოს ელექტრონული კომუნიკაციის კომპანიას მის ინფრასტრუქტურაში კომპიუტერული ინციდენტების იდენტიფიცირებისა და ნეიტრალიზებისთვის აუცილებელი ღონისძიებების განხორციელება. აღსანიშნავია, რომ ამ ვალდებულების შეუსრულებლობა იწვევს ადმინისტრაციულ-სამართლებრივ პასუხისმგებლობას, რამაც თავის მხრივ, შესაძლებელია მეორე კატეგორიის სუბიექტები უფრო მოწყვლადი გახადოს ოპერატიულ-ტექნიკურ სააგენტოსთან ურთიერთობაში და ჯარიმის თავიდან აცილების მიზნით, მათ საკუთარი ნებით მისცენ ოპერატიულ ტექნიკურ სააგენტოს წვდომა საკუთარ ინფრასტრუქტურასთან, მათ შორის ქსელურ სენსორებთან.  

 

3. კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ მონაცემების მიღებისა და დამუშავების სტანდარტის განსაზღვრა საქართველოს მთავრობის დადგენილებით

 

პრობლემურია კანონპროექტის მე-8² მუხლის 1-ლი პუნქტი, რომელიც ითვალისწინებს კრიტიკული ინფორმაციული სისტემის როგორც პირველი, ისე მესამე კატეგორიის (მაგალითად ბანკები) სუბიექტების მიერ მონაცემების მიღების, დამუშავების, შენახვის და გადაცემისთვის გამოყენებული აპარატული ან/და პროგრამული უზრუნველყოფის საშუალებების მწარმოებლებთან დაკავშირებული მოთხოვნების საქართველოს მთავრობის დადგენილებით განსაზღვრას. ამ მუხლის შესაბამისად საქართველოს მთავრობას ეძლევა საშუალება დაუდგინოს კერძო კომპანიებს გარკვეული შეზღუდვები საკუთარი IT ინფრასტრუქტურისა და პროგრამული უზრუნველყოფის შეძენის, განახლების ან გამოყენების კუთხით. აღსანიშნავია, რომ მთავრობის დადგენილებით გათვალისწინებული მოთხოვნების შეუსრულებლობა გამოიწვევს ამ სუბიექტების დაჯარიმებას 5000 ლარით.  ასეთი მიდგომა თავის მხრივ ეწინააღმდეგება თავისუფალი ბაზრისა და კონკურენციის პრინციპებს.

 

კიბერუსაფრთხოების სფეროში ქვეყნის წინაშე არსებული გამოწვევების ფონზე „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონი საჭიროებს გადახედვას და ცვლილებებს, განსაკუთრებით აღსრულების მექანიზმების დახვეწის მიმართულებით. თუმცა, IDFI-ის მიერ იდენტიფიცირებული რისკებისა და პრობლემების გათვალისწინებით, მოვუწოდებთ საქართველოს პარლამენტს:

 

1. მხარი არ დაუჭიროს ინიცირებულ კანონპროექტს;

 

2. საქართველოს საინფორმაციო და კიბერუსაფრთხოების სისტემის რეფორმა განხორციელდეს საქართველოს მთავრობის მიერ კიბერუსაფრთხოების სტრატეგიისა და სამოქმედო გეგმის დამტკიცების შემდგომ;

 

3. „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონში შესატანი ცვლილებების მომზადების პროცესში უზრუნველყოს ყველა დაინტერესებული მხარის, საერთაშორისო და ადგილობრივი არასამთავრობო ორგანიზაციების, კერძო სექტორის ჩართულობა.

  

 

/public/upload/01Nino/zoro/risks_and_challenges_of_the_draft_amendments_to the_law_of_georgia_on_information_security_Geo.pdf

სხვა მასალები ამ თემაზე
სიახლეები

IDFI-მ პროექტის „კოვიდ-19-თან დაკავშირებული სახელმწიფო ხარჯების და ადამიანის უფლებების მდგომარეობის მონიტორინგი“ პრეზენტაცია გამართა

20.10.2020

Freedom House: საქართველოს ქულა ინტერნეტის თავისუფლების რეიტინგში გაუმჯობესდა

16.10.2020

მსოფლიო მმართველობის ინდიკატორები - საქართველო მსოფლიო ბანკის 2020 წლის შეფასებით

15.10.2020

IDFI-მ კორუფციასთან მებრძოლთა პროგრამის ფარგლებში ილიას სახელმწიფო უნივერსიტეტთან მემორანდუმი განაახლა

13.10.2020
განცხადებები

არასამთავრობო ორგანიზაციები საქართველოს საგამოძიებო და უსაფრთხოების უწყებებს, ასევე აუდიტის სამსახურს „პატრიოტთა ალიანსის“ შესახებ „დოსიეს“ მიერ გასაჯაროვებულ ინფორმაციაზე ადეკვატური რეაგირებისკენ მოუწოდებენ

02.10.2020

IDFI-ს განცხადება სასამართლოს გადაწყვეტილებების ხელმისაწვდომობის თაობაზე

24.09.2020

არასამთავრობოები მოქმედი მოსამართლეების წინააღმდეგ წარმოებული სისხლის სამართლის საქმეებზე ინფორმაციის გაასაჯაროებას მოითხოვენ

11.09.2020

კოალიცია საქართველოს პარლამენტში ინიცირებულ „საერთო სასამართლოების შესახებ” საქართველოს ორგანულ კანონში შესატან ცვლილებათა კანონპროექტს ეხმიანება

08.09.2020
ბლოგპოსტები

1930-იანი წლების რეპრესიების მეხსიერება - რას და რატომ ვიხსენებთ?

13.10.2020

კიბერშეტევა ჯანდაცვის სამინისტროზე და რუსული კვალი

03.09.2020

გამჭვირვალე სახელმწიფო შესყიდვების რეიტინგში უკრაინის წამყვანი პოზიცია საშიშროების წინაშე დგას

02.09.2020

რუსული სპორტი და პოლიტიკა

13.08.2020