პირველი გაკვეთილი

2008 წლის რუსეთ-საქართველოს ომის დროს, კონვენციური საბრძოლო მოქმედებების პარალელურად განხორციელდა კიბერშეტევები ქართულ სამთავრობო და მედია საიტებზე. საქართველო მას სრულიად მოუმზადებელი შეხვდა. კიბერშეტევები ინფორმაციული ომის ნაწილი იყო და მიზნად ისახავდა ინფორმაციის გავრცელების ჩახშობას საქართველოდან.

სამიზნეთა შორის იყო საგარეო საქმეთა სამინისტროს ვებსაიტიც. საგარეო საქმეთა სამინისტრო ახალ ამბებს Blogspot პლატფორმაზე დებდა. ქართულმა სამთავრობო და მედია საშუალებებმა კიბერსივრცეში ოპერირების გაგრძელება მხოლოდ გარე დახმარებით შეძლეს. ასევე გარე დახმარება გახდა საჭირო ინციდენტების გამოძიებისა და იმ სისუსტეების მოძიება-აღმოფხვრისთვის, რომელთა საშუალებითაც მოხერხდა შეტევის განხორციელება.

აღსანიშნავია, რომ მაშინ რუსეთს არ დასჭირდა კიბერშეტევისთვის რაიმე რთული მექანიზმების გამოყენება. ქართულ საიტებზე წარმატებული შეტევა შესაძლებელი გახადა უსაფრთხოების დაბალმა დონემ, მოუგვარებელი ტექნიკური სისუსტეების სიმრავლემ თუ ელემენტარული კიბერ უსაფრთხოების ექსპერტიზის არქონამ.

ამ თემაზე მეტი ინფორმაციისთვის იხილეთ New York Times-ის სტატია.

ჩავარდნილი კანონი

სახელმწიფო ორგანიზაციებში (პირველი კატეგორიის სუბიექტებში) OTA-ს ექნება უფლება, მოითხოვოს ქსელური სენსორის დანერგვა ინციდენტების აღმოსაჩენად. ქსელურ სენსორში, სავარაუდოდ, ქსელის სრულმა ტრაფიკმა უნდა გაიაროს. ჩნდება შესაძლებლობა, სუს-ის სსიპ-ს ჰქონდეს წვდომა სახელმწიფო და სატელეკომუნიკაციო ორგანიზაციების ინფორმაციულ სისტემებზე, მონაცემთა ბაზებზე და ასე შემდეგ.

2008 წლის კიბერკოლაფსის შემდეგ შეიქმნა კომპიუტერულ ინციდენტებზე რეაგირების ჯგუფი, რომელსაც დაევალა საჯარო და კერძო სფეროში დაფიქსირებული ინციდენტების აღრიცხვა და გამოძიება. დაიწყო მუშაობა ინფორმაციული უსაფრთხოების კანონზე. კანონი 2012 წელს მიიღეს. კანონით განისაზღვრა ინფორმაციული უსაფრთხოების მინიმალური სტანდარტი, რომელიც წარმოადგენდა ISO 27001 საერთაშორისო სტანდარტის ქართულ ენაზე ადაპტირებულ ვარიანტს. განისაზღვრა 39 კრიტიკული ინფორმაციული ინფრასტრუქტურის მქონე სუბიექტი (ყველა მათგანი სახელმწიფო სექტორიდან), რომელთაც დაევალათ კანონის დანერგვა 3 წლის ვადაში.

2018 წლისთვის 39 სუბიექტიდან კანონის მოთხოვნებს რამდენიმე (ათამდე) სახელმწიფო ორგანიზაცია აკმაყოფილებდა. ცალსახად შეიძლება ითქვას, რომ კანონი ჩავარდა. დროთა განმავლობაში გამოიკვეთა ჩავარდნის რამდენიმე მიზეზი.

კანონის ჩავარდნის მიზეზები

თუ წაიკითხავთ ISO 27001 სტანდარტს (ან ნებისმიერ სხვა სტანდარტს, რომელიც ეხება ზოგადად მართვის სისტემების, ინფორმაციული უსაფრთხოების მართვის სისტემის თუ ხარისხის მართვის სისტემის დანერგვას), პირველივე აბზაცში წერია, რომ მართვის სისტემის დანერგვისთვის აუცილებელია "მენეჯმენტის მხარდაჭერა". ორგანიზაციაში ეს მხარდაჭერა გამოიხატება შესაბამისი რესურსების გამოყოფით და საკითხის გაპრიორიტეტებით. ზუსტად იგივეა საჭირო ქვეყნის მასშტაბითაც.

შეიძლება ითქვას, რომ კიბერ უსაფრთხოება არასოდეს ყოფილა მთავრობის პრიორიტეტებს შორის. არც კანონი ითვალისწინებდა რაიმე ჯარიმებს კანონის შეუსრულებლობისთვის. საბოლოო ჯამში, იუსტიციის სამინისტროს მიერ მომზადებული კანონით განსაზღვრული მოთხოვნები ნაწილობრივ იუსტიციის სამინისტროს სსიპ-ებმა და ეროვნულმა ბანკმა დანერგეს (ეროვნულმა ბანკმა ISO 27001 საერთაშორისო სერტიფიცირებაც გაიარა).

მივედით მეორე პრობლემამდე – კანონის დანერგვასა და კოორდინაციაზე პასუხისმგებელი იყო იუსტიციის სამინისტროს სსიპ მონაცემთა გაცვლის სააგენტო. ცხადია, იუსტიციის სამინისტროს სსიპ-ს გაუჭირდა სხვა სამინისტროებისა და მათი სსიპ-ებისათვის მოეთხოვა პასუხი კანონის შესრულებისთვის, მით უმეტეს, რომ არანაირი სადამსჯელო ბერკეტითაც არ იყო აღჭურვილი კანონის მიერ.

კანონის წარუმატებლობაზე საუბრისას ასევე აღნიშნავდნენ ადამიანური რესურსის ნაკლებობას. კიბერუსაფრთხოების სფეროში ადამიანური რესურსი ამერიკასა და დიდ ბრიტანეთსაც აკლიათ და, შესაბამისად, საქართველოში ეს პრობლემა მოსალოდნელი იყო. თუმცა, კიბერუსაფრთხოება რომ მთავრობის პრიორიტეტებს შორის ყოფილიყო, ასევე პრიორიტეტი იქნებოდა 39 სამთავრობო სუბიექტისთვისაც და ეს წაახალისებდა კიბერუსაფრთხოების სფეროს ზრდას.

კანონის ნაკლოვანებებზე საუბრისას ასევე ახსენებდნენ, რომ კანონი არ ვრცელდებოდა კერძო სექტორზე, მაგალითად, ბანკებზე ან ენერგეტიკის სფეროზე. თუმცა, აქვე უნდა გავიმეოროთ, რომ რაზეც გავრცელდა, იქაც ჩავარდა და უმეტეს შემთხვევაში, ვერ განხორციელდა.

ახალი კანონპროექტი

მომწიფდა იდეა, რომ კანონი საჭიროებდა გადახედვას და მომზადდა პროექტი, რომლის პარლამენტში კენჭისყრაც უკვე ნოემბერშია დაგეგმილი, ხოლო ძალაში 2020 წლის 1 იანვრიდან შეიძლება შევიდეს (მიღების შემთხვევაში). იხილეთ კანონპროექტი პარლამენტის საიტზე.

კანონი იძლევა შეშფოთების მიზეზს რამდენიმე ასპექტის გამო. ის არ ითვალისწინებს წარსულის შეცდომებს, არც სხვა ქვეყნების გამოცდილებას, წარმოშობს ტოტალური კონტროლის რისკს და პარალელურად შემოთავაზებულმა სიახლეებმა საეჭვოა გამოასწოროს არსებული მდგომარეობა.

ფოტო: Cyberhouse

კანონით განისაზღვრება კრიტიკული ინფორმაციული ინფრასტრუქტურის სამი კატეგორიის სუბიექტი: 1. სახელმწიფო სექტორი; 2. ტელეკომუნიკაციების სექტორი; 3. კერძო სექტორი.

შემოდის ახალი აქტორი: ოპერატიულ-ტექნიკური სააგენტო (OTA), რომელიც სახელმწიფო უსაფრთხოების სამსახურის (სუს) სსიპ იქნება. OTA გაუწევს კოორდინირებას პირველ და მეორე კატეგორიაში შესულ ორგანიზაციებს, მონაცემთა გაცვლის სააგენტო კი – კერძო სექტორს (მესამე კატეგორია).

რისი უფლება ექნება OTA-ს – ტოტალური კონტროლის რისკი

სახელმწიფო ორგანიზაციებში (პირველი კატეგორიის სუბიექტებში) OTA-ს ექნება უფლება, მოითხოვოს ქსელური სენსორის დანერგვა ინციდენტების აღმოსაჩენად. ქსელურ სენსორში, სავარაუდოდ, ქსელის სრულმა ტრაფიკმა უნდა გაიაროს (აქამდე ქსელური სენსორის მართვა მონაცემთა გაცვლის სააგენტოში იყო).

  • მისი მოთხოვნისთანავე, პირველი და მეორე კატეგორიის სუბიექტებმა უნდა მისცენ წვდომა ინფორმაციულ აქტივზე, ინფორმაციულ სისტემაზე ან/და ინფორმაციულ ინფრასტრუქტურაში შემავალ საგანზე, თუ ამგვარი წვდომა აუცილებელია მიმდინარე ან მომხდარ კომპიუტერულ ინციდენტზე რეაგირებისთვის. ჩანაწერის მიხედვით, პრაქტიკულად დაუბრკოლებლად შეძლებს OTA სუბიექტების ინფორმაციულ სისტემებზე წვდომას. ჩნდება შესაძლებლობა, სუს-ის სსიპ-ს ჰქონდეს წვდომა სახელმწიფო და სატელეკომუნიკაციო ორგანიზაციების ინფორმაციულ სისტემებზე, მონაცემთა ბაზებზე, ფაირვოლზე და ასე შემდეგ. აქვე დავაზუსტებთ, რომ სახელმწიფო ორგანიზაციებში შეიძლება იგულისხმებოდეს ნებისმიერი სამინისტრო და პარლამენტი.
  • მეორე ან მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის თანხმობით ოპერატიულ–ტექნიკური სააგენტო, მონაცემთა გაცვლის სააგენტო ან მის მიერ ავტორიზებულ პირთაგან კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ შერჩეული პირი ან ორგანიზაცია ატარებს ინფორმაციული უსაფრთხოების აუდიტს. აუდიტის ჩატარების შემდგომ დგება დასკვნა, რომლის მოთხოვნების შესრულება სავალდებულოა. მონაცემთა გაცვლის სააგენტოს ან მის მიერ ავტორიზებული პირის მიერ ჩატარებული აუდიტის დასკვნის ერთი ეგზემპლარი ეგზავნება ოპერატიულ–ტექნიკურ სააგენტოს. ნებისმიერ შემთხვევაში აუდიტის დასკვნები მეორე და მესამე კატეგორიის სუბიექტების სისუსტეების შესახებ იგზავნება OTA-ში, რომელიც შედეგად ინფორმირებული იქნება ყველა კრიტიკული კერძო (მაგალითად, ბანკების) და სატელეკომუნიკაციო ორგანიზაციების სისუსტეების შესახებ.
  • ასევე, OTA-ს ეძლევა უფლება, პირველი კატეგორიის სუბიექტებში განახორციელოს გეგმიური თუ არაგეგმიური შემოწმებები, რომელიც მოიცავს: შიდა ქსელს; გარე ქსელზე წვდომის წერტილს; ქსელის კონფიგურირებას; ქსელის ფუნქციონირებისთვის, ასევე მისი უსაფრთხოებისთვის გამოყენებულ პროგრამული ან/და აპარატული უზრუნველყოფის საშუალებებს; ქსელში ჩართულ პროგრამულ ან/და აპარატული უზრუნველყოფის საშუალებებს, რომლებიც გამოიყენება მონაცემების მიღების, დამუშავების, შენახვის და გადაცემისთვის; პროგრამული ან/და აპარატული საშუალებების ქსელში ჩართვის ფორმალიზებულ ან არაფორმალიზებულ წესებს და პროცედურებს. რეალურად, OTA-ს ინციდენტის არსებობის გარეშეც ექნება შესაძლებლობა, მოითხოვოს წვდომა სისტემებზე დაქვემდებარებულ სუბიექტებში.

სამი CERT და ორი რეგულატორი

იქმნება მეორე სახელმწიფო CERT ოპერატიულ-ტექნიკურ სააგენტოში. გაუგებარია, რატომ უნდა შეიქმნას კიდევ ერთი საჯარო CERT, როდესაც მონაცემთა გაცვლის სააგენტოს CERT-ის მუშაობაზე პრეტენზია არავის ჰქონია. მათ რამდენიმე წარმატებული პროექტი განახორციელეს.

რატომ იყოფა კომპეტენციები ისედაც მწირი ადამიანური რესურსების პირობებში? დგება საკითხი, როგორ მოახერხებს ეს ორი ჯგუფი კოორდინაციას. ან საერთოდ რატომ უნდა გართულდეს ახალი ორგანოს დამატებით და კოორდინაციის საჭიროების შექმნით დალაგებული საკითხი? აქვე აღვნიშნავთ, რომ კიდევ ერთი სახელმწიფო CERT კი თავდაცვის სამინისტროს ჰყავდა (კიბერ უსაფრთოების ბიუროს ფარგლებში) და მას ცვლილებები არ ეხება.

კანონპროექტის მიხედვით, ინფორმაციული უსაფრთხოების სტანდარტი ერთობლივად უნდა გამოაქვეყნონ OTA-მ და მონაცემთა გაცვლის სააგენტომ. გაუგებარია, რას ემსახურება კომპეტენციების გაყოფა მონაცემთა გაცვლის სააგენტოსა და OTA-ს შორის. რატომ უნდა აქვეყნებდეს ორი ორგანიზაცია ერთ სტანდარტს? რომელ ქვეყანაში არსებობს მსგავსი პრეცედენტი?

ეროვნული ბანკის რეგულაცია ბანკებისთვის

მორიგი საკითხია მესამე კატეგორიის სუბიექტები, სადაც, სავარაუდოდ, შევლენ ბანკებიც. არადა, ეროვნულმა ბანკმა გამოაქვეყნა კიბერუსაფრთხოების ჩარჩო, რომელიც დაფუძნებულია ამერიკული NIST-ის კიბერ უსაფრთხოების ჩარჩოზე. რეალურად, როგორც კანონი, ასევე ეს ჩარჩო ითხოვს ინფორმაციული უსაფრთხოების მართვის სისტემის დანერგვას. გაუგებარია, რატომ არის საჭირო ორი მარეგულირებელი ერთსა და იმავე თემაზე ერთი და იმავე მოთხოვნებით? კანონის მომზადებაში არ იყო ეროვნული ბანკი ჩართული? რატომ არ მოხდა კოორდინაცია კანონის მომზადების დროს ეროვნულ ბანკთან? თუ კანონის შემუშავებაში ეროვნული ბანკიც იყო ჩართული და მაინც დარჩა ერთსა და იმავე საკითხზე ორი მარეგულირებლის თემა?

ევროპული ქვეყნების პრაქტიკა

დასავლეთის ქვეყნებში არ გვაქვს პრეცედენტი, ქვეყანაში კიბერუსაფრთხოების სტანდარტების დანერგვა და კიბერუსაფრთხოების დონის გაზრდა უსაფრთხოების ან სადაზვერვო სამსახურებს ევალებოდეთ. მაგალითად, ესტონეთში კიბერუსაფრთხოების სფეროს მართავს ორგანიზაცია, რომელიც არის ეკონომიკის სამინისტროს დაქვემდებარებაში. იხილეთ ესტონეთის კიბერ უსაფრთხოების კანონი.

სახელმწიფო აუდიტის სამსახური თამაშგარე მდგომარეობაში

საინტერესოა, რომ როგორც არსებული, ისე ახალი კანონის მიხედვით, სურათიდან საერთოდ ამოგდებულია სახელმწიფო აუდიტის სამსახური, იმის მიუხედავად, რომ აუდიტის სამსახურმა რამდენიმე IT აუდიტიც შეასრულა, შესაბამისად, დაგროვილი აქვს გარკვეული კვალიფიკაციაც და გამოცდილებაც.

ამჟამინდელი მონაცემებით საქართველოს კიბერსივრცეში სამართლებრივი თვალსაზრისით შემდეგ სიტუაციაა:

ფოტო: Cyberhouse

ამათ ემატება კრიზისების მართვის საბჭო, რომელსაც კრიზისის პერიოდში ევალება ყველა სააგენტოს მუშაობის კოორდინაცია.

ახალი კანონპროექტით ვიღებთ შემდეგ სურათს:

ფოტო: Cyberhouse

ზოგადად, ლოგიკურია, რომ პარლამენტმა მიიღოს კანონი, რომლის შესრულებაც დაევალება მთავრობას, ხოლო იმპლემენტაცია აკონტროლოს დამოუკიდებელმა ორგანომ, რომელიც ექვემდებარება პარლამენტს (ასეთი კი სწორედ აუდიტის სამსახურია).

ფოტო: Cyberhouse

ახალ კანონში ეს ლოგიკური და განვითარებულ ქვეყნებში (და უკვე საქართველოშიც) აპრობირებული ჯაჭვი დარღვეულია. პარლამენტი მიიღებს კანონს, რომლის შესრულებაც დაევალება მთავრობას და კერძო სექტორს, ხოლო იმპლემენტაციას გააკონტროლებს არა პარლამენტი ან მისი ორგანო, არამედ მთავრობა (უფრო კონკრეტულად კი სუს-ის სსიპ და მონაცემთა გაცვლის სააგენტო). ინფორმაციული უსაფრთხოების ერთ-ერთი კრიტიკული კონტროლი, როლებისა და პასუხისმგებლობების გადანაწილების შესახებ, დარღვეულია.

მეტი ბიუროკრატია + ნაკლები კონკურენცია = გაუარესებულ ხარისხს


კიდევ ერთი უარყოფითი ასპექტი, რომელიც ჩადებული იყო 2012 წლის კანონში და ახლა ძლიერდება, არის სახელმწიფო ორგანიზაციების (ამ შემთხვევაში, OTA-სა და მონაცემთა გაცვლის სააგენტოს) შესაძლებლობა, იმუშაონ ტენდერებზე.

OTA-ს და მონაცემთა გაცვლის სააგენტოს ექნებათ უფლება, კანონის დანერგვის აუდიტი თავად გააკეთონ. ასევე ექნებათ უფლება, გააკეთონ შეღწევადობის ტესტები. ეს კი ვნებს კერძო სექტორს, რომლისთვისაც შეუძლებელია საბიუჯეტო ორგანიზაციასთან კონკურენციაში შესვლა (რადგანაც ამ ორგანიზაციებს კვალიფიკაციის ამაღლება და ადამიანური რესურსის მოზიდვა ბიუჯეტის ანუ გადასახადების გადამხდელთა თანხებით შეუძლიათ), განსაკუთრებით იმ პირობებში, როდესაც საბიუჯეტო ორგანიზაცია თავად არის მარეგულირებელი.

საკანონმდებლო პროექტის მეექვსე მუხლში ცალსახად არის ჩანაწერი გაკეთებული, რომ "მეორე ან მესამე კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის თანხმობით ოპერატიულ-ტექნიკური სააგენტო, მონაცემთა გაცვლის სააგენტო ან მის მიერ ავტორიზებულ პირთაგან კრიტიკული ინფორმაციული სისტემის სუბიექტის მიერ შერჩეული პირი ან ორგანიზაცია ატარებს ინფორმაციული უსაფრთხოების აუდიტს". მაშინ, როცა იმავე მუხლის პირველი პუნქტის მიხედვით, პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემების აუდიტს ატარებს მხოლოდ ოპერატიულ-ტექნიკური სააგენტო: "პირველი კატეგორიის კრიტიკული ინფორმაციული სისტემის სუბიექტის ინფორმაციული უსაფრთხოების აუდიტს უსასყიდლოდ ატარებს ოპერატიულ-ტექნიკური სააგენტო".

გარე ორგანიზაციები მთლიანად ეთიშებიან აუდიტის პროცესს, რაც აჩენს რისკს, რომ აუდიტი იქნება მონოპოლიზირებული, სუბიექტებს არ გაუჩნდებათ სურვილი დამატებით აუდიტების ჩატარების და, შესაბამისად, აუდიტების ხარისხი იქნება დაბალი. ვინ გადაამოწმებს OTA-ს მიერ ჩატარებული აუდიტების ხარისხს? უკონკურენტო გარემოში რა მოტივაცია ექნება OTA-ს, რომ უზრუნველყოს მაღალი ხარისხი?

არაკონკურენტული გარემო ხელს შეუშლის ქვეყანაში კიბერუსაფრთხოების სფეროს განვითარებას. საერთაშორისო და ადგილობრივ ორგანიზაციებს არ ექნებათ უცხოელი და ადგილობრივი კადრების მოზიდვის და განვითარების მოტივაცია (საქართველო ისედაც პატარა ბაზარია). დღემდე ცოდნის და გამოცდილების იმპორტი უმეტესწილად სწორედ უცხოელი ექსპერტების ადგილობრივ პროექტებში ჩართულობის ხარჯზე ხდებოდა.

თუ პარლამენტს/მთავრობას სურს გადაამოწმოს, რამდენად სრულდება კანონის მოთხოვნები, უბრალოდ შეუძლია, სუბიექტს მოსთხოვოს დამოუკიდებელი მესამე მხარის მიერ ჩატარებული აუდიტის დასკვნა ან (სახელმწიფო ორგანიზაციებში) სახელმწიფო აუდიტის სამსახურის დასკვნებით იხელმძღვანელოს.


დასკვნის სახით შეიძლება ითქვას, რომ ახალი კანონპროექტით ვერც საქართველოს კიბერუსაფრთხოების გაუმჯობესება მოხერხდება, მეორეს მხრივ კი გაჩნდება სუს-ის მიერ კრიტიკული ინფორმაციული ინფრასტრუქტურის სუბიექტებისა და მათი ინფორმაციული სისტემების ერთიანი ცენტრალიზებული კონტროლის რისკი.