Закон Великобританії про кіберстійкість: що це означає для конфіденційності VPN

Закон Великобританії про кіберстійкість: що це означає для конфіденційності VPN

Уряд Великобританії представив Закон про кібербезпеку та стійкість — важливий законодавчий акт, який перекласифікує центри обробки даних як об'єкти критичної інфраструктури та включає їх до офіційного національного режиму звітності з кібербезпеки. Поки більшість публікацій зосереджена на корпоративних зобов'язаннях щодо відповідності, закон має реальні наслідки для всіх, хто використовує VPN-сервіс, що маршрутизує трафік через інфраструктуру на території Великобританії. Для користувачів, які дбають про конфіденційність, розуміння аспекту приватності в контексті Закону про кіберстійкість Великобританії більше не є необов'язковим.

Що насправді вимагає Закон про кібербезпеку та стійкість від центрів обробки даних

За своєю суттю закон розширює сферу дії чинних норм щодо мереж та інформаційних систем (NIS). Центри обробки даних, що функціонують у Великобританії, зобов'язані дотримуватися нових базових стандартів кібербезпеки і — що принципово важливо — звітувати про значні інциденти регуляторам у встановлені терміни. Логіка уряду зрозуміла: центри обробки даних більше не є пасивними сховищами. Вони забезпечують роботу банківської сфери, охорони здоров'я, комунікацій і хмарних сервісів. Ставитися до них як до звичайних комерційних приміщень завжди було прогалиною в регулюванні, і нещодавні резонансні витоки даних зробили цю прогалину очевидною.

Закон надає регуляторам ширші повноваження для розслідувань, зокрема можливість вимагати технічну інформацію, перевіряти практики безпеки та вживати примусових заходів щодо операторів, які не відповідають вимогам. Для великих комерційних центрів обробки даних це означає, що команди з відповідності повинні будуть зіставляти кожен інцидент із новими порогами звітності. Для менших операторів витрати на виконання вимог можуть виявитися суттєвими.

Чого закон не робить — принаймні в нинішньому формулюванні — так це явно не розглядає наслідків для конфіденційності у зв'язку з обов'язковим розкриттям інформації. Коли центр обробки даних повідомляє про інцидент державному регулятору, у звіті може описуватися, які дані були порушені, які орендарі були залучені та до яких систем здійснювався доступ. Ця інформація потрапляє до державної бази даних, а умови її подальшого поширення ще не визначені повністю.

Як режими обов'язкової звітності створюють нові ризики для інфраструктури VPN-серверів у Великобританії

Постачальники VPN, які орендують серверні потужності в центрах обробки даних Великобританії, є орендарями цих об'єктів. Вони не звільнені від ланцюга звітності. Якщо центр обробки даних, що розміщує VPN-сервери, зазнає кваліфікованого інциденту, оператор зобов'язаний про це повідомити. Такий звіт може містити відомості про те, які сервіси працювали на ураженій інфраструктурі, відкриваючи доступ до інформації про діяльність VPN-серверів, якого за інших обставин не існувало б.

Окрім звітності про інциденти, розширені повноваження для розслідувань, передбачені законом, ставлять більш постійне запитання: чи можуть регулятори зобов'язати центр обробки даних надати доступ до інфраструктури орендаря під час розслідування? Формулювання законодавства щодо збору інформації є широким, і правові тлумачення потребуватимуть часу для вироблення через прецедентне право та регуляторні роз'яснення.

Для користувачів VPN практичний ризик полягає не обов'язково в тому, що державний чиновник завтра прочитає їхню історію перегляду. Ризик має структурний характер. Регуляторна база, яка розглядає центри обробки даних як об'єкти критичної національної інфраструктури, наділена розширеними повноваженнями доступу та примусового розкриття інформації, створює умови, які принципово менш сприятливі для анонімних, конфіденційних сервісів, ніж база, яка цього не передбачає.

Вилучення серверів є найгострішим аспектом цього занепокоєння. Правоохоронні органи Великобританії вже мають механізми вилучення серверів у рамках кримінальних розслідувань. Новий закон безпосередньо не розширює ці повноваження, але більш тісний зв'язок між операторами центрів обробки даних і державними регуляторами робить операційне середовище більш проникним. Постачальники, які не впровадили перевірену архітектуру без ведення журналів, стикаються з підвищеним ризиком у цьому контексті.

Кіберзаконодавство Великобританії проти GDPR та NIS2: місце в глобальній регуляторній картині

Закон Великобританії виник не у вакуумі. Після Brexit Великобританія зберегла норми NIS, похідні від оригінальної Директиви ЄС про NIS, але відійшла від них ще до набрання чинності оновленим NIS2 ЄС. NIS2 значно розширив категорії охоплюваних суб'єктів і посилив терміни звітності про інциденти в усіх державах-членах ЄС. Закон Великобританії про кібербезпеку та стійкість є, зокрема, відповіддю британського уряду на NIS2, що переслідує схожі цілі через внутрішній законодавчий інструмент.

Важлива відмінність для цілей конфіденційності полягає у юрисдикції. GDPR, який продовжує діяти у Великобританії через збережений UK GDPR, забезпечує основу для прав суб'єктів даних і накладає обмеження на обробку та передачу персональних даних. Новий закон про кібербезпеку функціонує в іншому регуляторному полі, зосередженому на стані безпеки та звітності про інциденти, а не на правах суб'єктів даних. Те, як ці дві системи взаємодіють і де потенційно конфліктують, залишається відкритим питанням, яке регуляторам і судам ще належить вирішити.

Для користувачів VPN, що порівнюють юрисдикції, це ставить Великобританію в більш складне становище, ніж п'ять років тому. Вона зберігає захист, похідний від GDPR, але водночас формує більш інтервенційний режим кібербезпеки з прямим доступом до інфраструктурного рівня.

На що звертати увагу користувачам VPN, щоб уникнути впливу юрисдикції Великобританії

Юрисдикція є одним із найменш врахованих факторів під час вибору постачальника VPN, і наслідки Закону про кіберстійкість Великобританії для конфіденційності роблять її актуальнішою, ніж будь-коли. Варто оцінити кілька конкретних аспектів.

По-перше, де юридично зареєстровано постачальника VPN? Компанія, що має штаб-квартиру у Великобританії, підпадає під запити правоохоронних органів Великобританії та регуляторні зобов'язання незалежно від того, де фізично розташовані її сервери. Постачальник, що базується в юрисдикції за межами Великобританії та за межами альянсу розвідувального обміну «П'ять очей», діє за іншою правовою базою.

По-друге, де фізично знаходяться сервери, якими ви користуєтеся? Навіть постачальник, що не є британським, може експлуатувати сервери всередині центрів обробки даних Великобританії, які тепер підпадають під новий режим звітності. Постачальники, що пропонують сервери тільки в оперативній пам'яті або чітко документують свої інфраструктурні рішення, дають користувачам більше інформації для аналізу.

По-третє, чи була політика відсутності журналів постачальника незалежно перевірена? Звіти про аудит не усувають правового ризику, але встановлюють фактичну основу щодо того, які дані існують. Постачальник, який нічого не реєструє, не має нічого значущого для розкриття в сценарії примусового звітування.

Постачальники зі Швеції, наприклад, діють за шведським законодавством, яке має власний захист конфіденційності, відмінний від британської системи. PrivateVPN, заснований у 2009 році зі штаб-квартирою у Швеції, є одним із прикладів постачальника, юрисдикція якого повністю знаходиться за межами британського регуляторного впливу. Це не робить його захищеним від будь-якого правового тиску, але означає, що британська влада не може безпосередньо вимагати розкриття інформації через внутрішнє законодавство.

Що це означає для вас

Закон Великобританії про кібербезпеку та стійкість не є законом про спостереження у традиційному розумінні. Він насамперед є заходом у сфері безпеки та відповідності, спрямованим на зміцнення національної інфраструктури. Але інфраструктура, на яку він спрямований, включає центри обробки даних, де розміщуються VPN-сервери, а розширені повноваження звітності та розслідування, які він створює, мають непрямі наслідки для конфіденційності.

Якщо ваш постачальник VPN використовує сервери в центрах обробки даних Великобританії, ці сервери тепер існують у більш регульованому, більш прозорому для уряду середовищі, ніж раніше. Якщо ваш постачальник також юридично зареєстрований у Великобританії, ваш ризик зростає.

Практичні кроки, які варто вжити зараз:

• Перегляньте список серверів вашого постачальника VPN і перевірте, чи входять британські сервери до вашого шляху підключення за замовчуванням.
• Прочитайте політику конфіденційності постачальника та зверніть увагу на незалежні аудити їхніх заяв про відсутність журналів.
• Розгляньте, чи зареєстрований ваш постачальник у юрисдикції з надійним законодавством про конфіденційність і без прямого впливу британського регуляторного примусу.
• Якщо юрисдикція Великобританії вас турбує, оцініть постачальників зі штаб-квартирами за межами Великобританії та за межами держав-членів «П'яти очей».

Подібне законодавство, як правило, розвивається після прийняття. Поточний законопроєкт проходитиме через парламент, зазнаватиме поправок і генеруватиме регуляторні роз'яснення протягом наступних місяців. Стежити за інформацією в міру уточнення деталей — це найефективніше, що можуть зробити зараз користувачі, які піклуються про конфіденційність.