ვლადიმერ სვანაძე ახალი კანონპროექტის შესახებ

ვლადიმერ სვანაძე ახალი კანონპროექტის შესახებ

იმ შემთხვევაში, თუ პარლამენტმა მიიღო, 2020 წლიდან ძალაში შევა კანონპროექტი, რომელიც კრიტიკული ინფორმაციული ინფრასტრუქტურის 3 კატეგორიის სუბიექტს განსაზღვრავს: სახელმწიფო სექტორს, ტელეკომუნიკაციების სექტორსა და კერძო სექტორს. პარალელურად, ქართულ კიბერსივრცეში შემოდის ახალი აქტორი – ოპერატიულ-ტექნიკური სააგენტო (OTA), რომელიც სახელმწიფო უსაფრთხოების სამსახურის (სუსი) სსიპ-ს წარმოადგენს

OTA გაუწევს კოორდინირებას პირველ და მეორე კატეგორიაში შესულ ორგანიზაციებს, მონაცემთა გაცვლის სააგენტო კი – კერძო სექტორს.

როგორც “კიბერ კვირასთან” საუბრისას “საქართველოს კიბერუსაფრთხოების აკადემიის” დამფუძნებელი ვლადიმერ სვანაძე აცხადებს, კანონპროექტი გარკვეულ საფრთხეებს შეიცავს და ის პარლამენტმა არ უნდა მიიღოს.

- პირველი კანონი ინფორმაციული უსაფრთხოების შესახებ 2012 წელს მიიღეს. იქიდან მოყოლებული კანონში ცვლილებები, ფაქტობრივად, ნაკლებად შედიოდა. შედიოდა მხოლოდ სტრუქტურული ცვლილებები. დიდი ხანია ვამბობთ, რომ კანონში ცვლილებების დრო დადგა. 2012 წლის კანონი უფრო აღწერილობით ხასიათს ატარებდა. ის ცვლილებები, რომლებიც ახალი კანონპროექტით შემოგვთავაზეს, მიუღებელია.

იქმნება ოპერატიულ-ტექნიკური სააგენტო (OTA), რომლის შემადგენლობაშიც იქნება ახალი CERT, რომელიც გააკონტროლებს იგივე სუბიექტებს, რასაც უკვე არსებული CERT. ეს მხოლოდ დამატებითი მაკონტროლებელი რგოლია, რაც კონტროლის მექანიზმების გაძლიერებას ნიშნავს და არ არის მისაღები. ამის ნაცვლად, უმჯობესია, არსებული CERT კადრებით გავაძლიეროთ და ფინანსურად დავეხმაროთ. 2 წლის წინ ჩვენ ვიზეიმეთ გლობალური კიბერუსაფრთხოების ინდექსებში საქართველოს წინსვლა, რაც იმას ნიშნავდა, რომ პროცესი სწორი მიმართულებით მიდიოდა. ახლა რა შეიცვალა?!

- კიდევ ვისთან იქნება დაკავშირებული ოპერატიულ-ტექნიკური სააგენტო და კონკრეტულად, რა საფრთხეებზეა საუბარი?

- გარდა კრიტიკული ინფრასტრუქტურის სუბიექტებისა, OTA გააკონტროლებს ტელეკომუნიკაციების პროვაიდერებსაც. ასეთ შემთხვევაში, მათ წვდომა ექნებათ მოქალაქეების მონაცემებსა და პერსონალურ ინფორმაციაზე. მე სულ ვამბობდი, რომ საერთაშორისო სტანდარტების შესაბამისად, აუცილებელია ჩვენი პროვაიდერები დავავალდებულოთ, აღჭურვონ თავიანთი ინფრასტრუქტურა ისეთი ტექნიკური საშუალებებით, რომლებიც ინტერნეტსაფრთხეებისგან უფრო მეტად დაგვიცავდნენ. საფრთხის პირველი გამტარი სწორედ ინტერნეტპტოვაიდერები არიან. სტანდარტების დაწესება აუცილებელია, მაგრამ ეს სტანდარტები, ზოგადი სტანდარტის გარდა, ახალ კანონპროექტში მითითებული არ არის.

მესამე სეგმენტი კერძო სექტორია, რომელთან კოორდინაციაც მოუწევს მონაცემთა გაცვლის სააგენტოს, რომლის დაქვემდებარებაშიც შედის ამჟამინდელი Cert. კერძო სექტორში შევლენ საფინანსო-საბანკო სექტორი, ენერგო კომპანიები, სადაზღვევო კომპანიები და ა.შ. საფრთხე აქაც არსებობს. ზოგადად, ამა თუ იმ ორგანიზაციაში აუდიტის ჩატარების შემდეგ, ანგარიშვალდებულების თანახმად, შედეგები სუსში უნდა გადაიგზავნოს. ასე კი გამოდის, რომ აუდიტი სუსმა უნდა ჩაატაროს და საკუთარი ანგარიშიც ისევ თავად უნდა შეამოწმოს. მას ნებისმიერ დროს შეუძლია შემოვიდეს ორგანიზაციაში და მოწყვლადი ადგილების გამოვლენის მიზნით, არაგეგმური აუდიტი ჩაატაროს. აქ უკვე მნიშვნელოვანია, რამდენად იქნება დაცული ორგანიზაციის უფლებები. კანონი არ იძლევა მეტი კონკრეტიკის საშუალებას. არ ჩანს, თუ რა ვალდებულებები აქვს კერძო ან საჯარო სექტორს. კანონი არ გვცემს პასუხს იმაზე, თუ სად იწყება და სად მთავრდება ჩემი, როგორც პიროვნების უფლება-მოვალეობები ინტერნეტსივრცეში. ის არ არის გამიჯნული ეროვნული უსაფრთხოებისგან

- როგორ ფიქრობთ, არ მოხერხდება ოქროს შუალედის პოვნა?

-მინდა გავიხსენო 2010 წელი და “არაბული გაზაფხული”, რომელიც სოციალური ქსელების მეშვეობით დაორგანიზდა. მსოფლიომ პირველად მაშინ დაინახა, თუ რა მნიშვნელობა ჰქონდა სოციალურ ქსელებსა და მათ უსაფრთხოებას. მაშინ დაიწყო ბრიტანეთის ხელისუფლებამ ინტერნეტის კონტროლზე საუბარი, მაგრამ საზოგადოებამ ამაზე სერიოზული პროტესტი გამოხატა. დაიწყეს კიდეც ოქროს შუალედის ძებნა – სად გადიოდა ზღვარი ადამიანის უფლებებსა და ეროვნულ უსაფრთხოებას შორის. ამ კანონპროექტში კი ეს არ ჩანს.

- თქვენი ინფორმაციით, იღებდნენ თუ არა დოკუმენტის შემუშავებაში მონაწილეობას დარგის სპეციალისტები?

- კანონპროექტის შემუშავებისას არ გაუვლიათ კონსულტაცია არც ჩემთან და არც ჩემს ნაცნობ სპეციალისტებთან. სფეროს ექსპერტების ჩართულობის გარეშე მსგავსი კანონპროექტის დაწერა არაკვალიფიციურობის ეჭვს ბადებს.

- რომ შევაჯამოთ, თქვენ თვლით, რომ ეს კანონპროექტი პარლამენტმა არ უნდა მიიღოს?

- როცა კანონპროექტის მიღებაზე ვსაუბრობთ, მას წინ უნდა უძღოდეს ქვეყნის კიბერუსაფრთხოების სტრატეგია. სტრატეგიაში ერთ-ერთი პუნქტი სამართლებრივ-ნორმატიულ ბაზებზე მუშაობა და მისი განვითარებაა. ჯერ ახალი სტრატეგია არაა მიღებული და მთავარი მიმართულებებიც განუსაზღვრელია, ამიტომ კანონპროექტზე საუბარი ნაადრევია. კანონში ცვლილებები აუცილებლად შესატანია თუმცა არა ამ სახით. ჯერ ყველაფერი კარგად უნდა განვიხილოთ

წყარო: კიბერ კვირა

http://bit.ly/CSGAPPS