Думки
Як перетворитись на Росію, воюючи з Росією – під прикриттям захисту від шахраїв влада створює українську версію «Роскомнадзора». Частина друга
Назар Чорний фахівець з управління відносинами з авдиторією та керівник юридичного напрямку #Букв, Адміністратор телеграм каналу Павла Фукса
В Україні створено та запущено систему позасудового блокування доступу до інтернет-ресурсів. Формально – для того, щоб боротись з шахрайством в інтернеті. Фактично ж система дозволяє блокувати доступ до сайтів за рішенням групи осіб з-поміж чиновників НБУ, Держспецзв’язку, РНБО тощо, без будь-яких обґрунтувань. Така ситуація створює як очевидні ризики обмеження свободи слова та запровадження цензури, так і полегшує життя російським спецслужбам, які можуть скористатись системою для блокування сайтів у власних цілях.
П’ятниця, 26 травня 2023, 12:29

У першій частині йшлося про непублічний процес появи і початку роботи системи блокування доступу до сайтів, а також перестороги провайдерів щодо наслідків створення подібного механізму в Україні. Серед них передусім банальна корупція, коли недобросовісні чиновники та бізнесмени використовуватимуть можливість заблокувати сайт конкурента для отримання вигоди. Щось подібне відбувається у ліцензованих сферах бізнесу, де зволікання з продовженням ліцензії з боку чиновників обертається втратами для ліцензіата та його клієнтів, як це зараз відбувається з сервісом платежів Wayforpay.

Також були названі ризики для свободи слова, коли під виглядом “фішингового” може бути заблокований сайт ЗМІ або особистий блог людини, яка критикує владу – жодних доказів для цього збирати і демонструвати не потрібно, рішення ухвалюється на розсуд колегіальної структури, що автоматично розмиває відповідальність. А також ризики отримання доступу до цієї системи росіянами, які матимуть інструмент централізованого блокування будь-якого сайту для українських користувачів. 

Увага громадськості до цієї проблеми змусила авторів системи блокування почати нарешті комунікацію з суспільством щодо своїх дій і 19 травня у медіацентрі Укрінформу відбулась пресконференція за участі народного депутата від “Слуги народу” Олександра Федієнка (автора законопроєкту № 9250 про легалізацію створеної раніше системи блокування інтернет-ресурсів), представників РНБО, Держспецзв’язку, Кіберполіції, бізнесу та громадськості. До слова, представника Нацбанку, який, формально, є ключовою структурою в цій системі – на пресконференцію навіть не покликали. З цього можна зробити чимало висновків про реальне призначення цієї системи, але про це трохи згодом.

Метою прессконференції було обговорення загроз та ризиків, які створює “система фільтрації фішингових доменів” – це формальна назва, а фактично система призначена для блокування доступу до інтернет-ресурсів, які адміністратор вважатиме фішинговими. Тут і далі ми вживатимемо саме слово “блокування”, оскільки, якщо в результаті якогось процесу доступ до чогось блокується (а саме так працює система), то це називається блокуванням, а не фільтрацією.

Ця подія заслуговувала на увагу хоча б тому, що до цього моменту весь процес створення українського аналога систем, які працюють в Росії, Китаї та країнах зі схожим форматом взаємовідносин державної влади з суспільством, був абсолютно непрозорим і про його перебіг знали тільки залучені держструктури і бізнес, на діяльність якого поширювались вимоги державних органів. 

І першим враженням від пресконференції було те, що представники влади ДУЖЕ не хочуть вживати слово “блокування”. Можливо, тому, що українцям навряд сподобається, якщо влада, користуючись війною, запровадить інструмент цензури. В той же час, “фільтрація” є більш нейтральним терміном. Схожою логікою, напевно, керувались і росіяни, називаючи свої табори на окупованих територіях України не концентраційними, якими вони були фактично, а “фільтраційними”.

Додатковим аргументом, що слід говорити саме про блокування, а не “фільтрацію” є те, що представники влади розійшлись у своїх описах того, як працює система. Нардеп Олександр Федієнко стверджував, що про блокування не йдеться, тому що система, нібито, лише попереджає користувача про ризик переходу на фішинговий сайт, але дає йому змогу взяти на себе ризик і проігнорувати попередження. Представник РНБО стверджував інше – що жодного права вибору у користувача не буде, доступ до сайту, позначеного як фішинговий, буде перекритий. Якщо поглянути на Регламент роботи системи, то очевидного і недвозначного положення про те, що остаточний вибір за користувачем, а не системою, там немає. Тому – блокування.

З технічного боку робота системи блокування сайтів виглядає так: існує “чорний список” сайтів, які адміністратор системи вважає фішинговими, тобто такими, що шахрайським способом збирають фінансові та інші дані користувачів. Коли певний сайт потрапляє в цей список, інтернет-провайдер блокує до нього доступ, перенаправляючи користувача на сторінку з інформацією про те, що держава щойно вберегла необачного користувача від шахраїв. Паралельно існує “білий список” сайтів, блокувати які система не може. 

З формального боку, робота системи базувалась на розпорядженні Національного центру оперативно-технічного управління мережами (НЦУ) при Державній службі спеціального зв’язку та захисту інформації (ДССЗЗІ) № 67/850 “Про впровадження системи фільтрації фішингових доменів”, яким інтернет-провайдерів зобов’язали зареєструватись в системі і діяти згідно Регламенту, затвердженого цим же розпорядженням. За даними РНБО, станом на 19 травня в роботі системи вже беруть участь близько 400 інтернет-провайдерів. 

Але в багатьох аспектах законність такого підходу є, у кращому випадку, сумнівною, оскільки щонайменше означає перевищення владних повноважень структурами, які в позасудовому порядку блокуватимуть доступ до тих чи інших сайтів, а відтак і несанкціоноване втручання в роботу електронних комунікаційних мереж. Саме тому у Верховній Раді було зареєстровано законопроєкт № 9250, який мав би легалізувати вже створену та запущену систему.

Можна заперечити – але в чому тут проблема? Фішинг дійсно є поширеним явищем, чимало українців ставали його жертвами та й ворог не спить і шукає способів нашкодити. І це так, проблема існує. Про це неодноразово було сказано представниками влади на пресконференції 19 травня, в численних щемливих деталях, як от історія про дзвінок невідомого солдата нардепу Федієнку щодо того, що якісь шахраї вкрали в матері солдата гроші з картки і треба з цим щось робити. Мовляв, саме тому уже згаданий “слуга народу” зареєстрував законопроєкт № 9250. 

Але подібні методи вирішення проблеми радше нагадують забивання цвяхів гранатою, ніж боротьбу зі злочинцями. Адже за кожною фішинговою атакою, яка фактично є формою шахрайських дій, стоять цілком конкретні люди. Якщо боротись з наслідками їхніх дій (учасники конференції самі зазначили, що фішинговий сайт може проіснувати годину, виконавши своє завдання і після цього шахраям він уже не потрібен), а не самими зловмисниками, то результатом буде лише беззмістовна витрата коштів на все нові і нові способи “упіймати власний хвіст”. А зловмисники все одно залишатимуться на крок попереду, створюючи нові сайти, як тільки блокуватимуться старі. 

Тим паче, що в Україні існує Кіберполіція, чиїм прямим обов’язком є боротьба з подібними злочинами. Відтак, потрібна не система блокування Інтернету, а розуміння причин, чому Кіберполіція працює неефективно та усунення цих факторів. Або ліквідація Кіберполіції, якщо причини її неефективності усунути неможливо з об’єктивних причин і пошук методу, який дозволить або випередити злочинців, або зробити неможливою їх подальшу злочинну діяльність. В умовах війни з Росією Україна навряд може собі дозволити витрачати мільярди гривень (загальний бюджет Нацполіції на 2023 рік – 85 мільярдів гривень) на забезпечення держструктури, яка не виконує поставлених перед нею завдань настільки, що ці завдання беруться виконувати інші структури.

Однак, не тільки гроші українців турбують захисників системи блокування. Присутній на пресконференції речник Держспецзв’язку Володимир Кондрашов  зауважив, що протягом 2022 року було заблоковано понад 9 мільйонів фішингових атак на держструктури. Цей аргумент був використаний на підтримку впровадження системи блокування сайтів, мовляв, йдеться не лише про гроші, а й викрадення персональних даних та даних державних органів. В умовах війни з Росією це дійсно серйозна проблема і так – Кіберполіція тут не зарадить.

Проте, виникає питання – якщо потрібно захистити комп’ютерні системи державних органів від фішингових атак, навіщо створювати систему блокування сайтів, яка зачіпатиме всіх українців? Значно більш логічним рішенням є об’єднання комп’ютерних систем органів влади в єдину систему, в якій існуватиме “білий список” сайтів, доступ до яких дозволено. Всі інші – блокуються за замовчуванням і розблоковуються за зверненням конкретного органу. А ще краще – створити таку систему в кожному окремому органі, щоб ворог не міг знищити чи захопити її одним ударом. 

Такий підхід є безпечнішим, ефективнішим, надійнішим і не несе корупційних ризиків та ризиків для свободи слова. Звісно, слабкі місця є і в такої системи, наприклад особисті телефони та комп’ютери держслужбовців. Але зобов’язати їх підключитись до системи блокування на час роботи на держслужбі (як зобов’язали провайдерів підключитись до системи блокування сайтів), все одно є технічно простішим та надійнішим рішенням, яке створює значно менше ризиків та обмежень. Зрештою, під час повномасштабної війни робочий день держслужбовця може обійтись без соцмереж чи розважального контенту.

Натомість, представники влади, чиїм обов’язком є захист України від кібератак з боку Росії, пропонують нам самим створити систему, одержання доступу до якої дозволить росіянам просто “вимкнути” в Україні інтернет. Або заблокувати доступ до держресурсів. Або замість сторінки попередження перенаправляти українців, наприклад, на сайт Кремля. І на цей подарунок ворогу будуть витрачені ресурси українського бюджету, який і без того не в найкращому стані.

Створена система блокування сайтів не здатна ні забезпечити ефективну боротьбу з фішингом (оскільки може блокувати лише ті сайти, які вже були використані для фішингових атак, коли їхнє призначення вже реалізоване), ні забезпечити додатковий ефективний захист інформаційних систем органів державної влади, оскільки в силу попереднього пункту залишає всі ті самі вразливості, що існують і без неї. А крім того, вона створює додаткові вразливості саме для російських кібератак, оскільки дає ворогу інструмент для централізованого блокування доступу з України до будь-якого сайту в інтернеті (представники влади переконують, що це неможливо, ігноруючи той факт, що в переддень початку повномасштабної війни російські хакери і без централізованої системи блокування змогли заблокувати доступ до ряду держсайтів та банківських сервісів).

Також варто згадати приклад представника Нацполіції, який підтримав створення системи блокування, пославшись на приклад Інтерполу, який формує базу сайтів, що розповсюджують дитяче порно і згідно з цією базою провайдери блокують доступ до сайтів. Чудовий приклад, якщо не згадувати, що до того рівня довіри, який є до Інтерполу, поліції в Україні слід ще дуже-дуже довго і дуже-дуже старанно працювати – причому в діаметрально протилежному напрямку від того, який і створив українській поліції її нинішню репутацію. 

А поки що, ідея дати “кнопку блокування інтернету” людям, які й без системи блокування та законних підстав вимкнули з телеетеру три канали, натомість увімкнувши на їхнє місце державний телеканал і вже понад рік не можуть навіть сказати, за чиїм саме рішенням і на якій підставі це було зроблено – виглядає, в кращому випадку, недоречною. Тим паче, що це ті самі люди, які нещодавно намагались заблокувати сервіси Google Ads, чи то через некомпетентність, чи то ще через якісь причини.

На додачу, Регламентом системи прямо передбачене збирання персональних даних українців, які намагатимуться зайти на фішинговий ресурс – фактично, той самий фішинг, тільки від держави. Навіщо РНБО та ДССЗЗІ створюють фішинговий ресурс у системі, створеній, нібито для боротьби з фішингом – справжня загадка. Як і те, куди потраплять та як будуть використані ці дані потім.

І, як завжди, є нюанс, про який представники влади згадувати не хочуть – що буде, якщо (точніше – коли) щось піде не так, як декларується офіційно. Запитання модератора пресконференції (поставлене явно випадково, судячи з загальної спрямованості його дій) про те, чи передбачений в системі блокування сайтів захист від зловживання – учасники дружно проігнорували на самому початку пресконференції. 

Коли наприкінці те ж запитання прозвучало від нечисленних присутніх на події журналістів (представників каналу I-UA.TV та видання Цензор.Нет) – представник РНБО спершу заявив, що достатньо написати на електронну пошту адміністратору системи, а коли у нього запитали про гарантії реакції на цей лист та того, що безпідставно заблокований сайт розблокують – послався на практику Facebook, де існує механізм оскарження. Для кожного, хто стикався з роботою цієї системи у Facebook чи Instagram, цей момент міг би стати дуже смішним штрихом у всій цій історії, якби не йшлося про створення механізму цензури. Відповідь на це запитання дає Регламент роботи системи, і ні, жодного захисту від зловживань там не передбачено.

Якщо ваш сайт включили до списку фішингових, то все, що вам пропонується – написати адміністратору системи на електронну пошту. І сподіватись, що це була дійсно некомпетентність, помилка, а не чийсь злочинний наказ чи підкуп з боку ваших конкурентів, та що на цей лист оперативно відреагують. Тому що оскарження такого блокування в суді буде ще тим квестом – згідно з Регламентом, власником системи блокування є НКЦК РНБО, а фактично адмініструванням займається команда спеціалістів Національного банку (яких, нагадаємо, навіть на пресконференцію не покликали). Навіть не беручи до уваги, що в першій та апеляційній інстанції справа може розглядатись буквально роками, неочевидним є навіть те, хто є належним відповідачем у цій справі: НБУ, РНБО чи Держспецзв’язок. 

Варто згадати ще один приклад маніпуляції з боку нардепа Олександра Федієнка, який, лобіюючи необхідність ухвалення його законопроєкту № 9250 щодо легалізації системи блокування сайтів, стверджував, що саме це створить захист від зловживань, оскільки розпорядження ДССЗЗІ можна змінювати як завгодно, тоді як законопроєкт – ні.

Маніпуляції, оскільки в самому законопроєкті “слуга” Федієнко написав протилежне – про закріплення за Держспецзв’язком на підставі пропозицій НБУ права визначати правила роботи системи блокування (відповідна норма зазначена в частині 2 розділу І законопроєкту № 9250) на підставі пропозицій НБУ (який відіграє в цій історії настільки важливу роль, що його представника навіть на пресконференції не було). Законопроєкт № 9250 не створює жодних запобіжників від зловживань системою блокування сайтів, він просто рятує Держспецзв’язок від можливого кримінального провадження щодо незаконного втручання в роботу електронних комунікаційних мереж, та від судового оскарження подібних дій в порядку адміністративного судочинства.

Так, на сьогодні регламент системи передбачає, що вона не може використовуватись для обмеження доступу до доменів, які використовуються для поширення шкідливого програмного забезпечення, пропаганди, дезінформації тощо. Однак в той же час регламент та законопроєкт № 9250 не містять ані запобіжників, ані гарантій, що так і залишиться. Як і гарантій того, що, наприклад, сайт ЗМІ адміністратор системи не включить до списку фішингових, користуючись тим, що жодної відповідальності за подібне рішення не несе. Рівень загроз, які створює система, кратно перевищує потенційні(!) вигоди від її запуску.

На додачу, регламентом системи прямо передбачене збирання персональних даних українців, які намагатимуться зайти на фішинговий ресурс – фактично, той самий фішинг, тільки від держави. Навіщо РНБО та ДССЗЗІ створюють фішинговий ресурс у системі, створеній, нібито для боротьби з фішингом – справжня загадка. Як і те, куди потраплять та як будуть використані ці дані потім.

P.S. Небажання учасників пресконференції відповідати на запитання було настільки сильним, що попри заявлену можливість поставити запитання в чаті онлайн-трансляції, на YouTube-каналі державної інформаційної агенції Укрінформ просто вимкнули коментарі, а 3 запитання журналіста #Букв в чаті трансляції на YouTube-каналі Медіацентру Україна просто проігнорували (тому доведеться їх поставити в форматі, передбаченому законодавством про доступ до інформації і поінформувати читачів #Букв про відповіді чи їхню відсутність в нових публікаціях).

Теги: ДССЗЗІ, закон, законопроєкт 9250, інтернет, РНБО, Роскомнагляд, Роскомнадзор

Межа у YouTube

Підписатись