Джерело: ІнАУ

До регулятора направили відповідного листа.

Наприкінці січня 2023 року Національний центр оперативно-технічного управління мережами (НЦОТУМ) при Державній службі спеціального зв’язку та захисту інформації видав розпорядження № 67/850 “Про впровадження системи фільтрації фішингових доменів”. Згідно з цим документом, українські інтернет-провайдери до 2 березня 2023 року мали встановити систему блокування доступу до вебресурсів, яка кожні 15 хвилин автоматично завантажувала б на сервер провайдера перелік сайтів для автоматичного блокування.

Передбачалось, що цей перелік буде розміщуватись на окремому ресурсі, адмініструватиме (а відповідно і вноситиме сайти, які слід заблокувати) СSIRT-NBU – спеціальна структура Нацбанку при Центрі кіберзахисту НБУ. А власником всієї системи блокування небажаних ресурсів буде РНБО.

Натомість саме ж Розпорядження НЦОТУМ не містить жодного алгоритму оскарження рішення про відмову виключити сайт зі списку на блокування – це цілком і повністю залежить від думки СSIRT-NBU, по суті, групи людей, які приймають рішення про блокування доступу до інтернет-ресурсу на власний розсуд.

Нещодавно у Верховній Раді зареєстрували законопроєкт № 9250, який фактично легалізує вже створену та частково запущену систему фільтрації. Така легалізація, на відміну від Розпорядження НЦУ, поширює роботу системи блокування доменів на період і після закінчення воєнного стану.

Зокрема пропонується надати Держспецзв‘язку повноваження розробити та затвердити правила протидії фішингу та фішинговим вебсайтам, а також встановити права та обов‘язки постачальників DNS.

Законодавець у пояснювальній записці до законопроєкту не згадав про те, що механізм централізованого автоматичного блокування доменів уже створено і він функціонує в Україні, його впроваджено з 21.03.2023 Розпорядженням Національного центру оперативно-технічного управління мережами телекомунікацій (структури Держспецзв‘язку) від 30.01.2023 № 67/850 “Про впровадження системи фільтрації фішингових доменів”.

Раніше на запит #Букв Інтернет асоціація України надала пояснення щодо ризиків, які створює запуск системи блокування доступу до сайтів в Україні та роз’яснила недоліки й ризики ухвалення законопроєкту № 9250 від 28.04.2023 “Про внесення змін до Закону України “Про електронні комунікації” (щодо протидії фішингу)”, який фактично легалізує вже створену та частково запущену систему фільтрації.

Читайте також:

В Україні запущено систему блокування доступу до сайтів – вона створює вразливість для російських кібератак, ризики для свободи слова та збирає персональні дані користувачів

В ІнАУ перелічили ймовірні ризики:

  • Корупційні ризики, оскільки рішення про включення (і виключення) того чи іншого сайту до переліку заблокованих доменів приймаються пересічними чиновниками, що може призвести до блокування будь-яких сайтів з метою вимагання, рейдерства, іншого тиску на власника сайту;
  • Ризики втрати доступу до доменів через кібератаки або незаконне втручання зсередини, коли агресор або ворожий агент, отримавши незаконний доступ до системи, може заблокувати в Україні доступ до будь-яких вебресурсів мережі Інтернет;
  • Ризики для свободи слова, оскільки цей механізм може бути використаний для блокування онлайн-медіа;
  • Ризики незаконного збору персональних даних користувачів. Ця система блокування доменів передбачає перенаправлення запитів користувачів на спеціальну вебсторінку НКЦК РНБО, де фіксується і зберігається зокрема персональна інформація про користувача: ip-адреса, user-agent та інше.

Зауважується, що створена система блокування сайтів не здатна ні забезпечити ефективну боротьбу з фішингом (оскільки може блокувати лише ті сайти, які вже були використані для фішингових атак, коли їхнє призначення вже реалізоване), ні забезпечити додатковий ефективний захист інформаційних систем органів державної влади, оскільки в силу попереднього пункту залишає всі ті самі вразливості, що існують і без неї. А крім того, вона створює додаткові вразливості саме для російських кібератак, оскільки дає ворогу інструмент для централізованого блокування доступу з України до будь-якого сайту в інтернеті (представники влади переконують, що це неможливо, ігноруючи той факт, що в переддень початку повномасштабної війни російські хакери і без централізованої системи блокування змогли  заблокувати доступ до ряду держсайтів та банківських сервісів).

Окрім цього, нинішня система має інтерфейс для доступу до інформації щодо переходів на лендінгову сторінку. Тож, з метою аналізу та відповідного реагування уповноваженим державним органам надається доступ до інформації щодо переходів на лендінгову сторінку.

Отже, зауважують в Асоціації, посадовими особами та/або співробітниками НКЦК здійснюється збирання, зберігання, використання та поширення інформації. Така інформація є даними про особу, оскільки розкриває такі деталі дій особи в мережі Інтернет, як: який домен був намір відвідати, дату і час спроби відвідання, ір-адресу, з якої було здійснено спробу відвідати домен тощо.

Читайте також:

Як перетворитись на Росію, воюючи з Росією – під прикриттям захисту від шахраїв влада створює українську версію «Роскомнадзора». Частина друга

В Асоціації нагадали, що, відповідно до норм законів, інформація “що включає дату і час, IP адресу (підмережу), з якої здійснюється перехід, доменне ім’я або URL фішингової сторінки, на яку здійснюється перехід, user-agent тощо”, є такою, що підлягає захисту, щодо якої повинна бути забезпечена схоронність та яка може розкриватися лише за згодою кінцевого інтернет-користувача. Тобто така інформація, визначена у розділі 9 Регламенту, є конфіденційною, що, своєю чергою, захищається Конституцією.

Натомість НКЦК збирає, зберігає та поширює таку інформацію:

  • без згоди осіб – інтернет-користувачі не лише не дають свою згоду, але й не знають про те, що їх запит було перенаправлено на сервер НКЦК, і відповідно, не знають, що така інформація про них збирається, зберігається і передається іншим державним органам;
  • не у визначених законом випадках – вказана інформація збирається, зберігається і поширюється не на підставі якогось закону, а на підставі Розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій від 30.01.2023 №67/850 “Про впровадження системи фільтрації фішингових доменів”.

Зауважується, що Асоціація пропонує запровадити “простіший, швидший, дешевший та законний механізм блокування фішингових доменів”, а саме:

  • НБУ формує та постійно оновлює Перелік фішингових доменів (як зараз і відбувається);
  • НБУ надає інтернет-провайдерам доступ до цього Переліку;
  • інтернет-провайдери добровільно завантажують цей перелік, маючи при цьому можливість направити в НБУ аргументовану відмову від блокування того чи іншого домену, що зменшить ймовірність помилкового блокування доменів, які не є фішинговими;
  • у випадку, якщо інтернет-користувач намагається відвідати один із доменів із Переліку, він перенаправляється на лендінгову сторінку, розміщену на серверах його провайдера, що вирішує проблему із конфіденційністю його інформації.

Фахівці висловили упевненість, що саме такий механізм, побудований на взаємодії Національного банку України і української телекомунікаційної галузі та повазі до прав українських інтернет-користувачів, не лише не зашкодить репутації НБУ, а й вчергове доведе її високий рівень.