Чим загрожує державна система фільтрування фішингових сайтів: думка провайдерів
Впровадження системи фільтрації фішингових сайтів, яка зокрема передбачає можливість позасудового блокування сайтів, викликала занепокоєння у вітчизняній інтернет-спільноті. Потенційно ця система може стати інструментом впровадження інтернет-цензури в Україні.
Історія почалася у вересні 2022 року, коли в Апараті РНБО України провели нараду про можливості захисту громадян України від банківського та фінансового шахрайства за допомогою фільтрації небезпечних доменів на рівні DNS. Її учасники (серед яких були великі телеком-провайдери, кіберполіція, Держспецзв’язку, НБУ тощо) підтримали пропозицію створення системи фільтрації фішингових доменів. Запрацювала система на початку березня 2023 року.
Одним із головних критиків цього рішення є Інтернет асоціація України (ІнАУ). Наприкінці квітня ця організація провела опитування українських-інтернет провайдерів, щоб дізнатися ставлення учасників ринку до цієї системи.
Інтернет-провайдери бачать загрозу у системі фільтрації фішингових сайтів
Як свідчать результати опитування, більшість операторів ставляться до системи фільтрації фішингових сайтів негативно.
Так, 62% опитаних компаній вважають, що вона загрожує інформаційній безпеці України, а 50% упевнені, що вона також небезпечна для їхньої власної мережі.
72% респондентів кажуть, що використання «транзитного» сервера НКЦК РНБО для передавання провайдерам переліку фішингових сайтів, сформованих командою CSIRT НБУ, створює додаткові суттєві ризики.
Підписуйтеся на наші соцмережі
При цьому 53% вважає, що провайдер повинен сам контролювати перелік сайтів для блокування, а також може не блокувати сайти, які, на його думку, не є фішинговими.
51% провайдерів наголосив, що було б доцільніше отримувати перелік адрес для блокування не з сервера НКЦК РНБО, а з CSIRT НБУ (Команди реагування на кіберінциденти у банківській системі України).
При цьому 61% провайдерів вважає за краще використовувати власну лендингову сторінку для попередження користувачів про перехід на фішинговий сайт.
Єдине питання, на яке ствердно відповіли менше половини респондентів (а саме 42%), — про оформлення відносин у сфері протидії фішингу угодою між НБУ (CSIRT NBU) та провайдерами.
Така картина підтверджує занепокоєння ІнАУ щодо впроваджуваної системи. На думку фахівців асоціації, як і на думку більшості опитаних провайдерів, вона загрожує інформаційній безпеці.
Про що йдеться
30 січня Національний центр операційно-технічного управління мережами телекомунікацій опублікував розпорядження №67/850 «Про впровадження системи фільтрації фішингових доменів». Згідно з ним, українські телеком-провайдери мали до 2 березня встановити систему блокування фішингових інтернет-ресурсів. Вона кожні 15 хвилин автоматично завантажує з певного ресурсу перелік адрес, доступ до яких має бути заблокований. При цьому судове рішення для блокування не потрібне. За словами чиновників, такі заходи мають знизити рівень інтернет-шахрайства і захистити українців в онлайні.
В Інтернет асоціації України до цієї ініціативи поставилися негативно, заявивши, що вона зумовить запровадження інтернет-цензури в Україні. Наприкінці березня ІнАУ написала листа до РНБО, ВРУ, НКЦК, Держспецзв’язку та НБУ із пропозиціями змін щодо протидії фішингу. Серед них заходи, які б знизили потенційну шкоду інформаційній безпеці України системою фільтрації фішингових доменів, унеможливили незаконний збір і використання персональних даних користувачів, а також зменшили ризики позасудового блокування сайтів, які не є фішинговими.
В ІнАУ наголосили, що якщо зауваження не врахують, асоціація підтримає судові позови проти автоматичної системи фільтрації. Проте експерти телеком-галузі, зокрема прессекретар «Українського кіберальянсу» Шон Таунсенд, ставляться до цього скептично.
У відповідь ІнАУ отримала листа від Держспецзв’язку, в якому повідомляється, що запропоновані зміни суттєво змінюють зміст та алгоритм роботи системи фільтрації фішингових доменів, тож ці пропозиції врахують або відхилять розробники регламенту та власник системи відповідно до ухвалених рішень на засіданні РНБО 7 квітня.