ინფორმაციის თავისუფლების განვითარების ინსტიტუტი (IDFI) ეხმიანება საქართველოს პარლამენტში 2019 წლის 2 ოქტომბერს „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონში ცვლილების შეტანის შესახებ ინიცირებულ კანონპროექტს.
უპირველეს ყოვლისა ხაზი უნდა გავუსვათ იმ ფაქტს, რომ ინფორმაციული ტექნოლოგიების სწრაფი განვითარება ზრდის ერთი მხრივ საზოგადოების თითოეული წევრის დამოკიდებულებას თანამედროვე ელექტრონულ სისტემებზე, ხოლო მეორე მხრივ აძლიერებს სახელმწიფო სერვისების, სტრუქტურების და უსაფრთხოების სისტემების დამოკიდებულებას მუდმივად განახლებად ციფრულ ტექნოლოგიებზე, რაც ბუნებრივად წარმოშობს როგორც საგარეო, ასევე, საშინაო რისკებს. ასეთი რისკების განსაზღვრა და მათი დაცვის შესაბამისი ღონისძიებების დანერგვა აუცილებელია. თუმცა, გასათვალისწინებელია ის ფაქტი, რომ საქართველო ახალგაზრდა დემოკრატიაა, სადაც არ არის ჩამოყალიბებული კარგი და ანგარიშვალდებული სახელმწიფო მმართველობის სისტემები, შესაბამისად, უსაფრთხოების სექტორის მაკონტროლებელი უფლებამოსილებების პოტენციური, და ამ ეტაპზე დაუსაბუთებელი, ზრდა არ უნდა განხორციელდეს თავისუფლების შეზღუდვის ხარჯზე.
2019 წლის 2 ოქტომბერს ინიცირებულ კანონპროექტში, IDFI ხედავს რისკებს, რომელიც სხვადასხვა დასაბუთებულ ფაქტორებზე დაყრდნობით შეიძლება შემდეგნაირად ჩამოყალიბდეს:
1. ინფორმაციული უსაფრთხოების სისტემის კარდინალური რეფორმა
კანონპროექტით შემოთავაზებულ ვერსიაში კარდინალურად იცვლება არსებული კიბერ უსაფრთხოების არქიტექტურა. სახელმწიფო უსაფრთხოების სამსახურის სსიპ ოპერატიულ - ტექნიკური სააგენტო ფაქტობრივად ხდება საინფორმაციო და კიბერუსაფრთხოების უზრუნველყოფის მთავარი მაკოორდინირებელი და ზედამხედველი უწყება, რომლის უფლებამოსილება გავრცელდება არა მხოლოდ კრიტიკულ ინფრასტრუქტურას მიკუთვნებულ საჯარო დაწესებულებებზე, არამედ კერძო სექტორზეც. კანონპროექტში არ ჩანს, თუ როგორ მოხდება კოორდინაციის გაძლიერება უწყებებს შორის. პირიქით, კოორდინაციის სახელმწიფო ღერძს ემატება უწყება, რომელმაც არა მხოლოდ უნდა განახორციელოს შესაბამისი სუბიექტების ზედამხედველობა, არამედ უნდა ითანამშრომლოს უკვე არსებულ სახელმწიფო უწყებასთან (მათ შორის ერთობლივი ბრძანებების გამოცემის სახით), რაც კიბერუსაფრთხოების მენეჯმენტს კიდევ უფრო გაართულებს. კოორდინაციის კუთხით კანონპროექტით მკაფიოდ არ არის განსაზღვრული არც თავდაცვის სამინისტროს კიბერუსაფრთხოების ბიუროსა და შინაგან საქმეთა სამინისტროს შესაბამისი სტრუქტურული ქვედანაყოფის როლი ახალ მოწესრიგებაში.
ინიცირებული კანონპროექტის მიხედვით, იუსტიციის სამინისტროს საჯარო სამართლის იურიდიულ პირს - მონაცემთა გაცვლის სააგენტოს, საკუთარი უფლებამოსილების განხორციელებისას სუს-ის ოპერატიულ-ტექნიკურ სააგენტოსთან კოორდინაციის ვალდებულება ეკისრება.
მიუხედავად იმისა, რომ ორმა უწყებამ ერთობლივად უნდა გამოსცეს ინფორმაციული უსაფრთხოების მარეგულირებელი ბრძანებები და ნორმატიულ აქტები, ასეთი მოწესრიგების პირობებში, მონაცემთა გაცვლის სააგენტოს ზედამხედველობა აღარ გავრცელდება საჯარო სექტორზე და ის მთლიანად გადავა ოპერატიულ-ტექნიკური სააგენტოს კომპეტენციაში.
ამავე დროს კერძო სექტორის ინფორმაციული უსაფრთხოების სტანდარტების ზედამხედველობაც მონაცემთა გაცვლის სააგენტომ უნდა განახორციელოს სუს-ის ოპერატიულ ტექნიკურ სააგენტოსთან შეთანხმებით და კოორდინაციით. ასეთ პირობებში გაუგებარი რჩება ზოგადად მონაცემთა გაცვლის სააგენტოს კომპიუტერულ ინციდენტებზე რეაგირების ჯგუფის, როგორც ცალკე არსებული ერთეულის, დანიშნულება.
2. სუბიექტებად დაყოფის კატეგორიზაციის პრობლემურობა და დაცულ უფლებებში ჩარევის მომეტებული რისკი
კანონპროექტით გათვალისწინებული ცვლილების შესაბამისად, კრიტიკული ინფორმაციული სისტემის სუბიექტები დაიყოფიან 3 კატეგორიად:
ა) პირველი კატეგორიის სუბიექტებში მოხვდებიან სახელმწიფო ორგანოები, დაწესებულებები, საჯარო სამართლის იურიდიული პირები (გარდა რელიგიური და პოლიტიკური გაერთიანებებისა) და სახელმწიფო საწარმოები;
ბ) მეორე კატეგორიის სუბიექტებში მოხვდებიან ელექტრონული კომუნიკაციების კომპანიები;
გ) მესამე კატეგორიის სუბიექტებში მოიაზრებიან ისეთი კერძო სამართლის იურიდიული პირები, როგორებიც არიან მაგალითად ბანკები და ფინანსური ინსტიტუტები.
შემოთავაზებული მოწესრიგებით ოპერატიულ ტექნიკური სააგენტოს ეძლევა საშუალება ჰქონდეს სრული წვდომა პირველი კატეგორიას მიკუთვნებული დაწესებულებების ინფორმაციულ აქტივებზე, ინფორმაციული სისტემებსა და ინფრასტრუქტურაზე. ხოლო კანონპროექტის მე-10 მუხლის მე-4 პუნქტის მიხედვით კომპიუტერული ინციდენტების იდენტიფიცირებისთვის თავად აკონტროლებდეს ამ დაწესებულებაში განთავსებულ სენსორს და ქსელს. ამავე დროს, თანამედროვე ტექნოლოგიები საშუალებას იძლევა ქსელური სენსორების კონფიგურირებას იმგვარად, რომ მათ გაცილებით უფრო დიდი მოცულობის და შინაარსის ინფორმაცია დაამუშაონ, მათ შორის საშუალებას, რომ მოხდეს გზავნილების შინაარსის კონტროლიც რეალურ რეჟიმში. რაც ზრდის რისკს იმისა, რომ სახელმწიფო უსაფრთხოების სამსახური, თანამედროვე ტექნოლოგიების გამოყენებით, მოიპოვებს პირადი ხასიათის ინფორმაციას განუსაზღვრელ პირთა წრის შესახებ.
სუბიექტების კატეგორიზაციაში განსაკუთრებით პრობლემურია მეორე და მესამე კატეგორიის სუბიექტები, რომლებიც კერძო სუბიექტებს წარმოადგენენ. განსაკუთრებით მეორე კატეგორიის სუბიექტები, რომლებიც კანონპროექტის 1-ლი მუხლის „ზ2“ ქვეპუნქტის თანახმად წარმოადგენენ „ელექტრონული კომუნიკაციების შესახებ“ საქართველოს კანონით განსაზღვრულ ელექტრონული კომუნიკაციის კომპანიებს.
ამ შემთხვევაში, გაუგებარია რა პრინციპით არიან ისინი გაყოფილნი მეორე და მესამე კატეგორიად და რატომ უწესდებათ ელექტრონული კომუნიკაციის კომპანიებს ოპერატიულ ტექნიკურ სააგენტოსთან ანგარიშვალდებულების უფრო მაღალი სტანდარტი. ოპერატიულ-ტექნიკური სააგენტოს კომპიუტერულ ინციდენტებზე დახმარების ჯგუფი უფლებამოსილია კომპიუტერული ინციდენტის განმეორების საფრთხის თავიდან აცილების მიზნით იმპერატიულად მოსთხოვოს ელექტრონული კომუნიკაციის კომპანიას მის ინფრასტრუქტურაში კომპიუტერული ინციდენტების იდენტიფიცირებისა და ნეიტრალიზებისთვის აუცილებელი ღონისძიებების განხორციელება. აღსანიშნავია, რომ ამ ვალდებულების შეუსრულებლობა იწვევს ადმინისტრაციულ-სამართლებრივ პასუხისმგებლობას, რამაც თავის მხრივ, შესაძლებელია მეორე კატეგორიის სუბიექტები უფრო მოწყვლადი გახადოს ოპერატიულ-ტექნიკურ სააგენტოსთან ურთიერთობაში და ჯარიმის თავიდან აცილების მიზნით, მათ საკუთარი ნებით მისცენ ოპერატიულ ტექნიკურ სააგენტოს წვდომა საკუთარ ინფრასტრუქტურასთან, მათ შორის ქსელურ სენსორებთან.
3. კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ მონაცემების მიღებისა და დამუშავების სტანდარტის განსაზღვრა საქართველოს მთავრობის დადგენილებით
პრობლემურია კანონპროექტის მე-8² მუხლის 1-ლი პუნქტი, რომელიც ითვალისწინებს კრიტიკული ინფორმაციული სისტემის როგორც პირველი, ისე მესამე კატეგორიის (მაგალითად ბანკები) სუბიექტების მიერ მონაცემების მიღების, დამუშავების, შენახვის და გადაცემისთვის გამოყენებული აპარატული ან/და პროგრამული უზრუნველყოფის საშუალებების მწარმოებლებთან დაკავშირებული მოთხოვნების საქართველოს მთავრობის დადგენილებით განსაზღვრას. ამ მუხლის შესაბამისად საქართველოს მთავრობას ეძლევა საშუალება დაუდგინოს კერძო კომპანიებს გარკვეული შეზღუდვები საკუთარი IT ინფრასტრუქტურისა და პროგრამული უზრუნველყოფის შეძენის, განახლების ან გამოყენების კუთხით. აღსანიშნავია, რომ მთავრობის დადგენილებით გათვალისწინებული მოთხოვნების შეუსრულებლობა გამოიწვევს ამ სუბიექტების დაჯარიმებას 5000 ლარით. ასეთი მიდგომა თავის მხრივ ეწინააღმდეგება თავისუფალი ბაზრისა და კონკურენციის პრინციპებს.
კიბერუსაფრთხოების სფეროში ქვეყნის წინაშე არსებული გამოწვევების ფონზე „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონი საჭიროებს გადახედვას და ცვლილებებს, განსაკუთრებით აღსრულების მექანიზმების დახვეწის მიმართულებით. თუმცა, IDFI-ის მიერ იდენტიფიცირებული რისკებისა და პრობლემების გათვალისწინებით, მოვუწოდებთ საქართველოს პარლამენტს:
1. მხარი არ დაუჭიროს ინიცირებულ კანონპროექტს;
2. საქართველოს საინფორმაციო და კიბერუსაფრთხოების სისტემის რეფორმა განხორციელდეს საქართველოს მთავრობის მიერ კიბერუსაფრთხოების სტრატეგიისა და სამოქმედო გეგმის დამტკიცების შემდგომ;
3. „ინფორმაციული უსაფრთხოების შესახებ“ საქართველოს კანონში შესატანი ცვლილებების მომზადების პროცესში უზრუნველყოს ყველა დაინტერესებული მხარის, საერთაშორისო და ადგილობრივი არასამთავრობო ორგანიზაციების, კერძო სექტორის ჩართულობა.
სიახლეების გამოწერა
