Над усилиями России в сфере регулирования интернета в Украине принято насмехаться. Попытки «Роскомнадзора» «удалить информацию из сети», блокировать ресурсы, мешающие пропаганде формировать нужную картину мира, периодические разговоры о необходимости создания своего, посконного «Чебурнета» с Путиным и лаптями – все это источник шуток над тем добровольным «неорабством», которое отличает Россию от Украины. Однако, похоже, что у украинской власти несколько иной взгляд на эти вещи.
В течение нескольких месяцев в Украине разворачивается история, в финале которой мы можем оказаться сразу на несколько сотен шагов ближе к тому режиму, который существует в России за последние двадцать лет – тотальному государственному контролю за медиа, включая больший или меньший контроль за информацией, которую можно получить в интернете путем блокирования «неугодных» ресурсов по решению чиновников, имена которых – никому неизвестны и подотчетны только вертикали власти.
В конце января 2023 г. Национальный центр оперативно-технического управления сетями (НЦОТУС) при Государственной службе специальной связи и защиты информации издал распоряжение № 67/850 «О внедрении системы фильтрации фишинговых доменов». Согласно этому документу, украинские интернет-провайдеры до 2 марта 2023 года должны были установить систему блокировки доступа к вебресурсам, которая бы каждые 15 минут автоматически загружала на сервер провайдера перечень сайтов для автоматической блокировки.
Предполагалось, что этот перечень будет размещаться на отдельном ресурсе, будет администрировать (а соответственно и вносить сайты, которые следует заблокировать) СSIRT-NBU – специальная структура Нацбанка при Центре киберзащиты НБУ. А собственником всей системы блокирования нежелательных ресурсов будет СНБО. Стоит напомнить, что публично декларируемой целью создания этой системы было противодействие фишингу, то есть получению платежных данных пользователей путем мошенничества или злоупотребления доверием. Зачем нужно такое распределение полномочий, какое отношение СНБО имеет в банковской системе – в Распоряжении не объяснили.
Однако подобное разграничение значительно усложнило бы обжалование решений по блокированию доступа к тем или иным ресурсам, поскольку СSIRT-NBU не является самостоятельным юридическим лицом, а СНБО, формально, не принимает решений по внесению в список блокировки. Само же Распоряжение НЦОТУС не содержит никакого алгоритма обжалования решения об отказе исключить сайт из списка на блокировку – это целиком и полностью зависит от мнения СSIRT-NBU, по сути, группы людей, принимающих решение о блокировании доступа к интернет-ресурсу по своему усмотрению.
«Вишенкой» на этом тортике является транзитный сервер СНБО, на который должна передаваться информация, полученная в процессе работы системы. Здесь снова возникает вопрос без ответа – при чем здесь СНБО? И не появится ли у СНБО, в результате, возможность по своему усмотрению изменять список сайтов для блокировки? В Интернет ассоциации Украины (ИнАУ) отметили, что эта часть системы создает дополнительные риски, снижает уровень защиты системы и фактически дублирует уже существующие функции системы.
Как подобная схема будет работать на практике, вы могли видеть, если наблюдали историю с блокировкой спутникового вещания «Прямого», «5 канала» и «Эспрессо». Если кратко, то уже больше года представители каналов не могут выяснить, даже по чьему решению и на каком основании их фактически выключили с телеэфира, не говоря уже о возможности такое решение обжаловать в суде. Не помогли даже намеки со стороны западных партнеров. И здесь тоже возникает вопрос – кто будет следующим?
Единственным местом, где упомянутые три канала сохранили возможность работать, остается интернет, однако читайте предыдущие абзацы. Стоит только отметить, что в случае с телеканалами рано или поздно принимавшие решения и совершавшие действия лица найдутся и, вероятно, будут привлечены к ответственности. В случае с системой блокировки доменов вероятность наступления подобного результата сведена к нулю на уровне нормативной базы.
Кроме рисков с произвольной блокировкой интернет-ресурсов, эксперты акцентируют внимание на еще одной проблеме – сборе данных пользователей. Как отметил в комментарии #Буквам исполнительный директор ИнАУ Владимир Куковский, после регистрации оператора в системе фильтрации она автоматически будет получать информацию о пользователе, который пытался перейти на заблокированный системой ресурс.
Эти данные могут включать, в частности, IP-адрес и данные о клиентском устройстве: используемый браузер, операционную систему и т.д. Этот перечень не исчерпывающий, и содержание Регламента, которым регулируется работа системы, допускает сбор другой информации, а также ее передачу другим государственным органам.
Все вышеописанное должно было наступить до 2 марта, однако из-за сопротивления части участников рынка и профильных организаций полноценный запуск системы отсрочили. Дедлайн перенесли на 21 марта распоряжением НЦОТУC № 179/963, а профильное сообщество подготовило предложения по изменениям в работе системы и формате ее внедрения, которые позволят избежать рисков безопасности, сбора данных пользователей и незаконной блокировки ресурсов, которые не являются фишинговыми.
Однако, как пояснил в комментарии #Буквам исполнительный директор ИнАУ Владимир Куковский, система фильтрации уже частично заработала, поскольку некоторые операторы добровольно зарегистрировались как ее участники. СНБО же, в свою очередь, не спешит общаться с рынком и профильными организациями.
Буквы обратились в Государственную службу специальной связи и защиты информации с запросом относительно текущего статуса системы фильтрации фишинговых доменов и учета предложений участников рынка и профильных организаций относительно ее нормативного регулирования и функционирования, однако в предусмотренный законодательством срок не получили ответа.
Укрэнерго объявило про обновленный график отключений на 22 ноября
Украинцам обнародовали тариф на газ с 1 декабря: во сколько обойдется один кубометр
В Киеве усилят меры безопасности и выставят дополнительные блокпосты
Путин скорректировал условия прекращения войны с Украиной
Пока продолжались описанные процессы, в Верховной Раде зарегистрировали законопроект №9250, который фактически легализует уже созданную и частично запущенную систему фильтрации. Формально его название звучит так: «О внесении изменений в Закон Украины «Об электронных коммуникациях» (по противодействию фишингу)» и его содержанию совершенно неочевидны реальные последствия его принятия – если не знать всей предыстории, описанной выше. Однако и сам по себе этот законопроект достаточно сомнительный.
Он вводит законодательное определение понятия «фишинг», звучащее так: «неправомерные действия в сети Интернет, следствием которых является или может быть выманивание персональных данных и других данных абонентов, в том числе реквизитов платежных карт и паролей, идентификационных номеров, номеров банковских счетов и т.п. ». То есть вводится новый вид неправомерного поведения.
При этом законопроектом не предусмотрено дополнение законодательства, регулирующего гражданские правоотношения, Кодекса Украины об административных правонарушениях (или введение админответственности самим законом, КУоАП это допускает) или Уголовного кодекса Украины нормами, определяющими объем ответственности за этот вид неправомерного поведения и основания ее наступления.
Учитывая, что пункт 22 статьи 92 Конституции Украины предусматривает, что основы гражданско-правовой ответственности, а также деяния, являющиеся преступлениями, административными или дисциплинарными правонарушениями, и ответственность за них определяются исключительно законами Украины, а следствием фишинга как неправомерного деяния является блокирование домена, которое осуществляется в соответствии с и на основании подзаконного акта (распоряжение Государственной службы специальной связи и защиты информации Украины), законопроект № 9250 прямо нарушает предписания пункта 22 статьи 92 Конституции Украины.
Кроме того, содержание определения фишинга, которое предлагает законопроект, в той или иной степени охватывается уже имеющимися в УК Украины статьями 185 (Кража), 190 (Мошенничество), 192 (Нанесение имущественного вреда путем обмана или злоупотребления доверием), 200 (Незаконные действия с документами на перевод, платежными картами и другими средствами доступа к банковским счетам, электронными деньгами, оборудованием для их изготовления), 361 (Несанкционированное вмешательство в работу информационных (автоматизированных), электронных коммуникационных, информационно-коммуникационных систем, электронных коммуникационных сетей), 361-1 (Создание с целью противоправного использования, распространения или сбыта вредоносных программных или технических средств, а также их распространение или сбыт).
Важно отметить, что, определяя фишинг как неправомерное действие, законодатель в то же время полностью игнорирует необходимость борьбы со злоумышленниками. Ведь предложенный способ противодействия фишингу никак не влияет на самих исполнителей, организаторов и пособников по созданию фишинговых сайтов. Блокировка сайта приведет к созданию нового теми же людьми, поскольку ни в КУоАП, ни в УКУ законопроект № 9250 изменений не вносит, и как следствие, виновников невозможно привлечь к ответственности.
А если считать, что ответственность за фишинг уже предусмотрена (например, в вышеприведенных статьях УКУ), то следует признать, что законопроект № 9250 просто не нужен – вместо этого нужно эффективное осуществление правоохранителями, в частности Киберполицией, уже имеющихся у них функций и полномочий.
Если привести аналогию, то законопроект № 9250 предлагает бороться с воровством, конфисковывая украденное имущество в доход государства, а не наказывая воров. А если продолжить эту аналогию, то он позволяет конфисковать у вас любое имущество сегодня, потому что теоретически его у вас могут украсть преступники завтра.
Источник: #Буквы