Впродовж кількох місяців в Україні розгортається історія, в фіналі якої ми можемо опинитись одразу на декілька сотень кроків ближче до того режиму, який існує в Росії впродовж останніх двадцяти років – тотального державного контролю за медіа, включаючи більший чи менший контроль за інформацією, яку можна отримати в інтернеті шляхом блокування «неугодних» ресурсів за рішенням чиновників, імена яких – нікому невідомі і котрі підзвітні лише владній вертикалі.
Наприкінці січня 2023 року Національний центр оперативно-технічного управління мережами (НЦОТУМ) при Державній службі спеціального зв’язку та захисту інформації видав розпорядження № 67/850 «Про впровадження системи фільтрації фішингових доменів». Згідно з цим документом, українські інтернет-провайдери до 2 березня 2023 року мали встановити систему блокування доступу до вебресурсів, яка кожні 15 хвилин автоматично завантажувала б на сервер провайдера перелік сайтів для автоматичного блокування.
Передбачалось, що цей перелік буде розміщуватись на окремому ресурсі, адмініструватиме (а відповідно і вноситиме сайти, які слід заблокувати) СSIRT-NBU – спеціальна структура Нацбанку при Центрі кіберзахисту НБУ. А власником всієї системи блокування небажаних ресурсів буде РНБО. Варто нагадати, що публічно декларованою метою створення цієї системи була саме протидія фішингу, тобто одержанню платіжних даних користувачів шляхом шахрайства чи зловживання довірою. Навіщо потрібен такий розподіл повноважень, який стосунок РНБО має до банківської системи – у Розпорядженні не пояснили.
Однак подібне розмежування значно б ускладнило оскарження рішень щодо блокування доступу до тих чи інших ресурсів, оскільки СSIRT-NBU не є самостійною юридичною особою, а РНБО, формально, не приймає рішень щодо внесення до списку блокування. Саме ж Розпорядження НЦОТУМ не містить жодного алгоритму оскарження рішення про відмову виключити сайт зі списку на блокування – це цілком і повністю залежить від думки СSIRT-NBU, по суті, групи людей, які приймають рішення про блокування доступу до інтернет-ресурсу на власний розсуд.
«Вишенькою» на цьому тортику є транзитний сервер РНБО, на який мала б передаватись інформація, отримана в процесі роботи системи. Тут знову виникає питання без відповіді – до чого тут РНБО? І чи не з’явиться у РНБО, в результаті, можливість на власний розсуд змінювати список сайтів для блокування? В Інтернет асоціації України (ІнАУ) зазначили, що ця частина системи створює додаткові ризики, знижує рівень захисту системи та фактично є дублюванням вже наявних функцій системи.
Як подібна схема працюватиме на практиці, ви могли бачити, якщо спостерігали за історією з блокуванням супутникового мовлення «Прямого», «5 каналу» та «Еспресо». Якщо коротко, то вже понад рік представники каналів не можуть з’ясувати, навіть за чиїм рішенням та на якій підставі їх фактично вимкнули з телеетеру, не кажучи вже про можливість таке рішення оскаржити в суді. Не допомогли навіть натяки з боку західних партнерів. І тут теж виникає запитання – хто буде наступним?
Єдиним місцем, де згадані три канали зберегли можливість працювати, залишається інтернет, однак – читайте попередні абзаци. Варто тільки зазначити, що у випадку з телеканалами рано чи пізно особи, які ухвалювали рішення та вчиняли дії – знайдуться і, ймовірно, будуть притягнуті до відповідальності. У випадку з системою блокування доменів, вірогідність настання подібного результату зведена до нуля на рівні нормативної бази.
Крім ризиків зі свавільним блокуванням інтернет-ресурсів, експерти акцентують увагу на ще одній проблемі – збиранні даних користувачів. Як зауважив у коментарі #Буквам виконавчий директор ІнАУ Володимир Куковський, після реєстрації оператора в системі фільтрації, вона автоматично отримуватиме інформацію про користувача, який намагався перейти на заблокований системою ресурс. Ці дані можуть включати, зокрема, IP-адресу та дані про клієнтський пристрій: браузер, що використовується, операційну систему тощо. Цей перелік не є вичерпним, і зміст Регламенту, яким регулюється робота системи, допускає збирання іншої інформації, а також її передавання іншим державним органам.
Все вищеописане мало настати до 2 березня, однак через спротив частини учасників ринку та профільних організацій, повноцінний запуск системи відтермінували. Дедлайн перенесли на 21 березня розпорядженням НЦОТУМ № 179/963, а профільна спільнота підготувала пропозиції щодо змін у роботі системи та форматі її впровадження, які б дозволити уникнути ризиків щодо безпеки, збирання даних користувачів та незаконного блокування ресурсів, які не є фішинговими. Проте, як пояснив у коментарі #Буквам виконавчий директор ІнАУ Володимир Куковський, система фільтрації вже частково запрацювала, оскільки деякі оператори добровільно зареєструвались як її учасники. РНБО ж, своєю чергою, не квапиться комунікувати з ринком та профільними організаціями.
#Букви звернулись до Державної служби спеціального зв’язку та захисту інформації з запитом щодо поточного статусу системи фільтрації фішингових доменів та врахування пропозицій учасників ринку та профільних організацій стосовно її нормативного регулювання та функціонування, проте, у передбачений законодавством строк, не отримали жодної відповіді.
Доки тривали описані процеси, у Верховній Раді зареєстрували законопроєкт № 9250, який фактично легалізує вже створену та частково запущену систему фільтрації. Формально його назва звучить так: «Про внесення змін до Закону України «Про електронні комунікації» (щодо протидії фішингу)» і його змісту зовсім неочевидні реальні наслідки його прийняття – якщо не знати всієї передісторії, описаної вище. Однак, і сам по собі цей законопроєкт є досить сумнівним.
Він запроваджує законодавче визначення поняття «фішинг», яке звучить так: «неправомірні дії в мережі Інтернет, наслідком яких є або може бути виманювання персональних даних та інших даних абонентів, в тому числі реквізитів платіжних карток та паролів, ідентифікаційних номерів, номерів банківських рахунків тощо». Тобто, запроваджується новий вид неправомірної поведінки. При цьому, законопроєктом не передбачено доповнення законодавства, що регулює цивільні правовідносини, Кодексу України про адміністративні правопорушення (або запровадження адмінвідповідальності самим законом, КУпАП це допускає) чи Кримінального кодексу України нормами, що визначають обсяг відповідальності за цей вид неправомірної поведінки та підстави її настання.
Враховуючи, що пункт 22 статті 92 Конституції України передбачає, що засади цивільно-правової відповідальності, а також діяння, які є злочинами, адміністративними або дисциплінарними правопорушеннями, та відповідальність за них визначаються виключно законами України, а наслідком фішингу як неправомірного діяння є блокування домену, яке здійснюється відповідно до та на підставі підзаконного акта (розпорядження Державної служби спеціального зв’язку та захисту інформації України), законопроєкт № 9250 прямо порушує приписи пункту 22 статті 92 Конституції України.
Крім того, зміст визначення фішингу, яке пропонує законопроєкт, в тій чи іншій мірі охоплюється уже наявними в КК України статтями 185 (Крадіжка), 190 (Шахрайство), 192 (Заподіяння майнової шкоди шляхом обману або зловживання довірою), 200 (Незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, електронними грошима, обладнанням для їх виготовлення), 361 (Несанкціоноване втручання в роботу інформаційних (автоматизованих), електронних комунікаційних, інформаційно-комунікаційних систем, електронних комунікаційних мереж), 361-1 (Створення з метою протиправного використання, розповсюдження або збуту шкідливих програмних чи технічних засобів, а також їх розповсюдження або збут).
Важливо зауважити, що, визначаючи фішинг як неправомірну дію, законодавець в той же час повністю ігнорує необхідність боротьби зі зловмисниками. Адже запропонований спосіб протидії фішингу ніяк не впливає на самих виконавців, організаторів та пособників створення фішингових сайтів. Блокування сайту призведе до створення нового тими ж самими людьми, оскільки ні в КУпАП, ні в ККУ законопроєкт № 9250 змін не вносить, і як наслідок, винуватців неможливо притягнути до відповідальності. А якщо вважати, що відповідальність за фішинг уже передбачено (наприклад, у вищенаведених статтях ККУ), то слід визнати, що законопроєкт № 9250 просто не потрібен – натомість потрібне ефективне здійснення правоохоронцями, зокрема Кіберполіцією, уже наявних у них функцій та повноважень.
Якщо навести аналогію, то законопроєкт № 9250 пропонує боротись із крадіжками, конфісковуючи вкрадене майно в дохід держави, а не караючи злодіїв. А якщо продовжити цю аналогію, то він дозволяє конфіскувати у вас будь-яке майно сьогодні, бо, теоретично, його у вас можуть вкрасти злочинці завтра.