Законопроект Великобритании о киберустойчивости: что это означает для конфиденциальности VPN

Законопроект Великобритании о киберустойчивости: что это означает для конфиденциальности VPN

Правительство Великобритании представило Законопроект о кибербезопасности и устойчивости — значимый нормативный акт, переклассифицирующий центры обработки данных как объекты критической инфраструктуры и включающий их в официальный национальный режим отчётности по кибербезопасности. Пока большинство публикаций сосредоточено на обязательствах компаний по соблюдению требований, законопроект несёт реальные последствия для всех, кто использует VPN-сервис, маршрутизирующий трафик через инфраструктуру на территории Великобритании. Для пользователей, озабоченных конфиденциальностью, понимание аспектов приватности в контексте Законопроекта о киберустойчивости UK больше не является опциональным.

Что Законопроект о кибербезопасности и устойчивости фактически требует от центров обработки данных

По своей сути законопроект расширяет сферу действия существующих регламентов о безопасности сетей и информационных систем (NIS). Центры обработки данных, работающие в Великобритании, будут обязаны соответствовать новым базовым стандартам кибербезопасности и — что принципиально важно — сообщать о значимых инцидентах регуляторам в установленные сроки. Обоснование правительства прямолинейно: центры обработки данных больше не являются пассивными хранилищами. Они обеспечивают работу банковской сферы, здравоохранения, коммуникаций и облачных сервисов. Отношение к ним как к обычным коммерческим объектам всегда было нормативным пробелом, и недавние резонансные нарушения безопасности сделали этот пробел невозможным для игнорирования.

Законопроект предоставляет регуляторам более широкие следственные полномочия, включая возможность требовать техническую информацию, проверять практики безопасности и применять принудительные меры в случае несоответствия операторов требованиям. Для крупных коммерческих центров обработки данных это означает, что команды по соблюдению требований должны будут сопоставлять каждый инцидент с новыми пороговыми значениями отчётности. Для небольших операторов накладные расходы могут оказаться существенными.

Чего законопроект не делает — по крайней мере, в нынешней редакции — так это явно не затрагивает последствий для конфиденциальности при обязательном раскрытии информации. Когда центр обработки данных сообщает об инциденте государственному регулятору, в этом отчёте может быть описано, какие данные были затронуты, какие арендаторы были вовлечены и к каким системам был получен доступ. Эта информация поступает в государственную базу данных, а условия её дальнейшего распространения пока не определены в полной мере.

Как режимы обязательной отчётности создают новые риски для инфраструктуры VPN-серверов в Великобритании

VPN-провайдеры, арендующие серверное пространство в британских центрах обработки данных, являются арендаторами этих объектов. Они не освобождены от цепочки отчётности. Если центр обработки данных, где размещены VPN-серверы, столкнётся с квалифицированным инцидентом, оператор обязан сообщить о нём. Этот отчёт может включать сведения о том, какие сервисы работали на затронутой инфраструктуре, открывая окно в деятельность VPN-серверов, которого в иных обстоятельствах не существовало бы.

Помимо отчётности об инцидентах, расширенные следственные полномочия законопроекта поднимают более устойчивый вопрос: могут ли регуляторы обязать центр обработки данных предоставить доступ к инфраструктуре арендатора в ходе расследования? Формулировки законопроекта в части сбора информации достаточно широки, и правовые интерпретации будут формироваться со временем через прецедентное право и нормативные руководства.

Для пользователей VPN практический риск состоит не обязательно в том, что правительственный чиновник прочитает их историю браузера завтра. Риск носит структурный характер. Нормативно-правовая база, рассматривающая центры обработки данных как критическую национальную инфраструктуру, наделённая расширенными полномочиями доступа и принудительного раскрытия информации, создаёт условия, принципиально менее благоприятные для анонимных сервисов, защищающих конфиденциальность, чем та, где таких полномочий нет.

Изъятие серверов — острая грань этой проблемы. У британских правоохранительных органов уже есть механизмы изъятия серверов в рамках уголовных расследований. Новый законопроект напрямую не расширяет эти полномочия, однако более тесное взаимодействие операторов центров обработки данных с государственными регуляторами делает операционную среду более проницаемой. Провайдеры, не реализовавшие верифицированную архитектуру нулевых логов, в этом контексте подвергаются повышенному риску.

Британское киберзаконодательство vs. GDPR и NIS2: место в глобальной регуляторной картине

Британский законопроект появился не в вакууме. После Brexit Великобритания сохранила регламенты NIS, производные от оригинальной директивы NIS ЕС, однако разошлась с ним до вступления в силу обновлённой NIS2. NIS2 значительно расширила категории охватываемых субъектов и ужесточила сроки отчётности об инцидентах в государствах — членах ЕС. Британский Законопроект о кибербезопасности и устойчивости — это, по существу, ответ британского правительства на NIS2, преследующий аналогичные цели посредством национального законодательного инструмента.

Важное различие для целей конфиденциальности носит юрисдикционный характер. GDPR, по-прежнему применяемый в Великобритании через удержанный UK GDPR, обеспечивает основу для прав субъектов данных и устанавливает ограничения на обработку и передачу персональных данных. Новый законопроект о кибербезопасности действует в иной нормативной плоскости, ориентированной на состояние безопасности и отчётность об инцидентах, а не на права субъектов данных. Вопрос о том, как эти две системы взаимодействуют и потенциально конфликтуют, остаётся открытым — его предстоит разрешить регуляторам и судам.

Для пользователей VPN, сравнивающих юрисдикции, это ставит Великобританию в более сложное положение, чем пять лет назад. Страна сохраняет защиту, производную от GDPR, но при этом выстраивает более интервенционистский режим кибербезопасности с прямым доступом к уровню инфраструктуры.

На что обратить внимание пользователям VPN, чтобы избежать рисков британской юрисдикции

Юрисдикция — один из наиболее игнорируемых факторов при выборе VPN-провайдера, и последствия для конфиденциальности в рамках Законопроекта о киберустойчивости UK делают его актуальнее, чем когда-либо. Стоит оценить несколько конкретных аспектов.

Во-первых, где юридически зарегистрирован VPN-провайдер? Компания со штаб-квартирой в Великобритании подпадает под запросы британских правоохранительных органов и регуляторные обязательства вне зависимости от физического расположения серверов. Провайдер, базирующийся в юрисдикции за пределами Великобритании и вне альянса разведывательного обмена Five Eyes, работает в иных правовых условиях.

Во-вторых, где расположены серверы, которые вы фактически используете? Даже небританский провайдер может эксплуатировать серверы в британских центрах обработки данных, которые теперь подпадают под новый режим отчётности. Провайдеры, предлагающие серверы только на оперативной памяти или чётко документирующие свои инфраструктурные решения, предоставляют пользователям больше информации для анализа.

В-третьих, проходила ли политика нулевых логов провайдера независимый аудит? Отчёты об аудите не устраняют правовые риски, но устанавливают фактическую базу относительно того, какие данные существуют. Провайдер, не ведущий никаких журналов, не имеет ничего значимого для раскрытия в сценарии принудительного предоставления информации.

Шведские провайдеры, например, действуют в соответствии со шведским законодательством, которое предоставляет собственные средства защиты конфиденциальности, отличные от британской системы. PrivateVPN, основанный в 2009 году со штаб-квартирой в Швеции, — один из примеров провайдера, чья юрисдикция полностью находится за пределами британского регуляторного воздействия. Это не делает его неуязвимым ко всему правовому давлению, однако означает, что британские власти не могут принудить к раскрытию информации непосредственно через внутреннее законодательство.

Что это означает для вас

Британский Законопроект о кибербезопасности и устойчивости — не закон о слежке в традиционном смысле. Это прежде всего мера безопасности и соответствия требованиям, направленная на укрепление национальной инфраструктуры. Но инфраструктура, на которую он нацелен, включает центры обработки данных, где размещены VPN-серверы, а создаваемые им расширенные полномочия отчётности и расследований имеют косвенные последствия для конфиденциальности.

Если ваш VPN-провайдер эксплуатирует серверы в британских центрах обработки данных, эти серверы теперь существуют в более урегулированной, более прозрачной для правительства среде, чем прежде. Если провайдер также юридически зарегистрирован в Великобритании, ваши риски возрастают.

Практические шаги, которые стоит предпринять сейчас:

• Изучите список серверов вашего VPN-провайдера и проверьте, включены ли британские серверы в ваш маршрут подключения по умолчанию.
• Ознакомьтесь с политикой конфиденциальности провайдера и найдите независимые аудиты их заявлений о нулевых логах.
• Оцените, зарегистрирован ли ваш провайдер в юрисдикции с надёжным законодательством о конфиденциальности и без прямой зависимости от британского регуляторного принуждения.
• Если британская юрисдикция вас беспокоит, рассмотрите провайдеров со штаб-квартирой за пределами Великобритании и государств — членов альянса Five Eyes.

Подобное законодательство, как правило, развивается после принятия. Нынешний законопроект пройдёт через Парламент, получит поправки и в течение следующих месяцев обрастёт нормативными руководствами. Следить за развитием событий по мере прояснения деталей — это самое эффективное, что пользователи, озабоченные конфиденциальностью, могут сделать прямо сейчас.