Контроверсії стосовно нового законопроєкту Гонконгу з кібербезпеки

Зображення авторства Oiwan Lam з використанням елементів Canva Pro.

20 серпня уряд Гонконгу виступив із заявою у відповідь на звіт агентства Bloomberg про нове законодавство міста у сфері кібербезпеки, зокрема про законопроєкт щодо захисту критичної інфраструктури (критичних комп'ютерних систем), звинувативши агентство в упередженості. Запропонований 2 липня 2024 року закон спрямований на захист критичної інфраструктури (КІ) Гонконгу від кібератак, спрямованих на критичні комп'ютерні системи (ККС) КІ, а громадські консультації щодо нього завершилися 1 серпня.

В останньому повідомленні від 21 серпня агентство Bloomberg процитувало критиків і наголосило,

Запропоновані корективи надають державним органам надмірні повноваження, що може загрожувати чесності постачальників послуг та послабити довіру до цифрової економіки міста.

Інакше, уряд зазначив, що з 53 отриманих консультаційних матеріалів 52 висловлюють підтримку законопроєкту і включають корисні пропозиції.

Отже, які ж суперечки точаться навколо запропонованого законопроєкту? Розгляньмо деякі з його критичних зауважень та конструктивних пропозицій.

Законопроєкт розподілив критично важливу інфраструктуру на дві основні групи. Перша група включає в себе вісім секторів: енергетику, інформаційні технології, банківські та фінансові послуги, наземний транспорт, авіаційний транспорт, морський транспорт, охорону здоров'я, а також зв'язок і телерадіомовлення. Друга група охоплює об'єкти, що забезпечують підтримку ключових суспільних та економічних функцій.

Як стверджує ARTICLE 19, міжнародна організація, яка займається захистом свободи слова, визначення ІТ у першій категорії є надто широким, щоб інтегрувати їх до критичної інфраструктури.

Американська торговельна палата (AmCham) у своєму зверненні на консультації запропонувала виключити ІТ-сектор зі списку критичної інфраструктури. На думку AmCham, цей сектор є постачальником послуг, який зазвичай виступає третьою стороною і не має повноважень приймати рішення від імені власника комп'ютерної системи.

Незважаючи на те, що уряд заявив про намір регулювати лише певні організації критичної інфраструктури (ОКІ), а не конкретні сектори, право визначати ОКІ буде належати майбутньому офісу Комісії. При цьому визначення критичної інфраструктури (КІ) та критичних секторів (CCS) в законопроєкті залишається неясним. Американська торговельна палата закликала до уточнення цих понять і запропонувала конкретне визначення.

Якщо в певному секторі є кілька організацій, що надають практично однакові послуги або експлуатують подібну інфраструктуру, серйозність, інтенсивність і масштаби впливу перебоїв у наданні послуг або в роботі інфраструктури будуть обмеженими, а отже, інфраструктура, на яку спрямована атака, не повинна розглядатися як КІ.

У пропозиції також вказано, що майбутні закони будуть стосуватися всіх CCS, "незалежно від їх фізичного розташування в Гонконзі чи за його межами".

Палата наголосила, що екстериторіальні наслідки спричинять правові колізії, оскільки ОКІ можуть порушувати законодавство однієї держави, дотримуючись при цьому законів Гонконгу. Американська торговельна палата запропонувала, щоб закон діяв лише щодо КІ та CCS на території міста. Вона застерегла:

Розширення запропонованого законодавства на інфраструктуру та комп'ютерні системи за межами Гонконгу є непропорційним меті регулювання. Це може призвести до регуляторної фрагментації, збільшення витрат на дотримання вимог та відлякування транснаціональних компаній від ведення бізнесу та інвестицій у Гонконгу.

Запропонований закон надасть місцевим органам влади повноваження розслідувати інциденти, пов'язані з ІТ-директорами, шляхом постановки запитань, запиту інформації, входу в приміщення, доступу до відповідних комп'ютерних систем та їх перевірки тощо.

ARTICLE 19 вважає такі повноваження надмірними і наголошує, що примусове розкриття "дизайну, конфігурації та функціонування засобів безпеки комп'ютерних систем може прирівнюватися до розголошення комерційної таємниці".

У Додатку ІІ законопроєкту зазначено, що якщо ІТ-директори не виконають запити поліції, слідчі органи можуть навіть "підключити обладнання до КІ або встановити програму в CCS".

Палата охарактеризувала ці повноваження як "безпрецедентні" та підкреслила, що вони "можуть суттєво вплинути на роботу ІТ-директора та негативно позначитися на користувачах послуг, які надаються ІТ-директором".

Ми переконані, що впровадження цих повноважень, швидше за все, негативно позначиться на інвестиціях у технологічний сектор та цифрову економіку Гонконгу, а також знизить рівень довіри до постачальників послуг, які здійснюють свою діяльність у Гонконзі.

Американська торговельна палата радить уряду опублікувати "детальний перелік заходів", які можуть бути виконані за розпорядженням ІТ-директора.

Запропонований закон також надає повноваження Секретарю з питань безпеки вносити зміни до законодавства через прийняття підзаконних актів у декількох напрямках. Це включає визначення сектору критичної інфраструктури, перелік обов'язкової інформації для розкриття ІТ-директорами, сфери застосування планів управління безпекою комп'ютерних систем, проведення аудиту безпеки, оцінки ризиків та планів реагування на надзвичайні ситуації, а також зміст і строки подання обов'язкових звітів про інциденти безпеки.

Аналогічним чином, Офіс Комісії буде уповноважений видавати керівникам ІТ-дирекціям рекомендації щодо дій та стандартів, які вони повинні застосовувати в обов'язковому звіті про інциденти безпеки, аудиті безпеки, управлінні, оцінці, механізмах моніторингу тощо.

І ARTICLE 19, і Американська торговельна палата наголосили, що підзаконний акт ухвалять без залучення законодавчого органу та без проведення громадських обговорень.

На тлі реалізації Закону про національну безпеку, що призводить до закриття незалежних медіа та громадянських організацій, Майкл Кастер, керівник цифрової програми в Азії ARTICLE 19, застеріг, що "запропонований законопроєкт про критичну інфраструктуру, схоже, більше спрямований на обмеження свободи інтернету, ніж на вирішення реальних проблем кібербезпеки".