Загроза інтернет-цензури: чим небезпечний механізм блокування фішингових сайтів, який запрацює 2 березня
Від 2 березня в Україні має запрацювати механізм блокування фішингових сайтів на рівні інтернет-провайдерів (деякі запустили його ще раніше). Фахівці наголошують, що він дає змогу державним органам блокувати не тільки шахрайські ресурси, а й інші сайти, потенційно створюючи загрозу впровадження цензури в інтернеті.
Про що йдеться
30 січня Національний центр операційно-технічного управління мережами телекомунікацій опублікував розпорядження №67/850 «Про впровадження системи фільтрації фішингових доменів».
За цим документом, українські інтернет-провайдери до 2 березня мають встановити систему блокування доступу до інтернет-ресурсів, яка кожні 15 хвилин автоматично завантажуватиме з певного ресурсу перелік адрес, доступ до яких має бути заблокований. А дані користувачів, які намагалися потрапити на ці ресурси, будуть автоматично фіксуватися і передаватися до відповідних державних органів.
Проблема цього рішення в тому, що звичайна державна установа отримала повноваження блокувати доступ до інтернет-сайтів без рішення суду. Фактично цей інструмент може бути використаний для встановлення цензури в інтернеті, адже у перелік ресурсів, що підлягають блокуванню можуть бути додані, наприклад, адреси онлайн-ЗМІ. Також незрозуміло, навіщо передавати дані користувачів, які намагалися потрапити на заблоковані сайти (зокрема, IP-адресу, час та дату переходу), для чого вони використовуватимуться та як зберігатимуться.
Блокування фішингових сайтів в Україні: реакція інтернет-спільноти
Загалом ця ініціатива викликала негативну реакцію в Україні. Наприклад, Інтернет асоціація України (ІнАУ), до якої входять понад 230 суб'єктів господарювання у сфері інформаційно-комунікаційних технологій, написала відкритого листа до влади (серед адресатів — президент України, голова СБУ, секретар Ради національної безпеки і оборони та інші посадовці), в якому закликає призупинити дію цього рішення.
У листі зокрема йдеться:
Підписуйтеся на наші соцмережі
В ІнАУ також вважають, що впровадження цієї системи копіює найгірші практики тоталітарних держав, тому ІнАУ просить:
- скасувати розпорядження НЦУ №67/850 або принаймні призупинити його виконання до затвердження уповноваженими органами визначень і понять, які містяться у розпорядженні, але відсутні у законодавстві України;
- сприяти впровадженню в Україні європейських підходів щодо обмеження на добровільній основі доступу до тих інтернет-ресурсів, які порушують законодавство України (зокрема фішингових доменів), з урахуванням підходів і досвіду цивілізованих країн, передусім країн ЄС.
Прессекретар Українського кіберальянсу (Ukrainian Cyber Alliance) Шон Таунсенд у коментарі SPEKA також різко розкритикував це рішення:
Раніше Шон Таунсенд заявляв, що в Україні можна очікувати від чиновників введення національного DNS та фільтрування за RPZ (англ. Response Policy Zone — механізм, що в тому числі дозволяє блокувати доступ до визначених ресурсів на рівні провайдерів). За його словами, до кібербезпеки це не має жодного стосунку (скоріше навпаки).
Прояви впровадження інтернет-цензури в Україні спостерігалися і раніше. Багато фахівців до них відносять і блокування російських сайтів та соціальних мереж у 2017 році.
Експерти Інтернет асоціації України тоді зазначали, що блокування ресурсів сприяє збільшенню використання VPN-сервісів, що, у свою чергу, може становити загрозу кібербезпеці, адже недобросовісні VPN-провайдери можуть отримувати доступ до до мережевого трафіку клієнта, який проходить крізь їхній шлюз.
Блокування фішингових сайтів в Україні: реакція провайдерів
Ми звернулися до кількох провайдерів з приводу даної ситуації і публікуватимемо їх коментарі по мірі надходження. Так, в «Укртелекомі» сказали наступне:
«Укртелеком» 1 березня 2023 року виконав розпорядження НЦУ про впровадження системи фільтрації фішингових доменів. «Укртелеком», як національний системний провайдер, завжди опікується безпекою в інтернеті своїх користувачів і приділяє максимум уваги убезпеченню своїх абонентів від різних видів шахрайства та кіберзагроз.
Для запровадження такого механізму як система фільтрації фішингових доменів, безумовно, були об'єктивні підстави. Впевнені, що саме експертна оцінка представників НБУ про масштабність шахрайства у банківській та фінансовій сфері стала причиною для впровадження такої системи.
Підозри та звинувачення деяких провайдерів, екпертів та навіть асоціацій у спробі ввести цензуру в українському інтернет-просторі викликають подив, адже у системи фільтрації доменів є дуже чітко зазначена сфера контролю – саме фішингові сайти.
На нашу думку, ефективність системи буде залежати від двох факторів:
- оперативної актуалізації переліку фішингових доменів, за що відповідає команда реагування на кіберзагрози НБУ;
- відповідальності інтернет-провайдерів, які мають дотримуватися вимог цього регламенту. І відповідальними мають бути не тільки великі системні гравці телеком галузі, але і середні та маленькі локальні компанії, яких сьогодні в Україні тисячі і від яких теж залежить безпека в інтернеті мільйонів українців.
Виконання Розпорядження НЦУ не передбачає вимог з передачі персональних даних користувачів власникам Системи. Запити на персональні дані мають відбуватися, як і раніше, відповідно до вимог українського законодавства – за запитом з посиланням на судову постанову.