Як це відбувається, які ризики існують і чи можна їх подолати.
Систему блокування інтернет-ресурсів, запроваджену для боротьби з фішингом, невдовзі буде переглянуто. Інтернет Асоціація України (ІНаУ) має подати свої пропозиції до РНБО 21 березня. Як стало відомо Mind, у вівторок, 14 березня, у РНБО пройшла зустріч представників ІнАУ з представником Команди реагування на кіберінциденти в банківській системі України при Нацбанку (CSIRT-NBU). Нарада на базі РНБО була присвячена блокуванню фішингових сайтів.
Запроваджений на пропозиції НБУ механізм в його нинішній «редакції» отримав численні зауваження з боку інтернет-спільноти та юристів. Спектр названих недоліків широкий – від сумнівності причин для збору персональних даних громадян на серверах РНБО до відсутності у вітчизняному законодавстві визначення поняття «фішинг», що взагалі нівелює критерії блокування сайтів. ІНаУ стверджує, що система наразі несе пряму загрозу інформаційній безпеці держави, тому потребує негайного перегляду.
Що передбачала система та в чому саме полягають її ризики, розбирався Mind.
Як виникла система та як вона працює? Створення системи ініційовано НБУ. Відповідне розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій при Держспецзв’язку було прийнято 30 січня 2023 року.
Станом на 2 березня 2023 року усі українські провайдери були забов’язані підключитися до системи, через яку CSIRT-NBU керує боротьбою з фішингом. Нацбанк формує перелік фішингових сайтів, який оновлюється кожні 15 хвилин.
«Зараз до системи приєдналися всі мобільні оператори та більшість ключових інтернет-провайдерів, що дасть можливість повноцінно запровадити дієву систему захисту від кібершахрайства по всій Україні», – так подають інформацію у Національному банку. Але фактично провайдери не мали вибору, приєднуватися чи ні до системи – вони мали виконувати розпорядження свого регулятора.
«Фахівці Центру кіберзахисту НБУ регулярно моніторять інтернет-простір та соціальні мережі і виявляють шахрайські ресурси, метою створення яких є збір даних для доступу до банківських рахунків громадян. Після цього переходи користувачів на такі зловмисні сайти обмежуються інтернет-провайдерами, а громадяни – переспрямовуються на сторінку з попередженням, що цей сайт створений шахраями, і його відвідування може призвести до втрати коштів», – розповіли Mind у Нацбанку.
Та пояснили, що наразі не відбувається жодного блокування доменів. Йдеться лише про перенаправлення користувачів на безпечну лендінгову сторінку, що містить інформацію про причини обмеження.
Чим цей процес відрізняється від вже існуючого блокування сайтів, зокрема російських? З 2014 року в Україні вже обмежується доступ до цілої низки російських ресурсів. Спочатку законодавством передбачалося, що блокування має здійснюватися провайдерами на підставі рішення (ухвали) суду. «Такий акт носив індивідуальний характер. Потім блокування відбувалися на підставі рішення, опублікованого РНБО – що вже виводило його на рівень нормативного акту», – розповідає Сергій Бойко, екс-СЕО телеком-провайдера «Воля», а нині – директор ТОВ «Смарт Хаус Системс».
Тепер блокування відбувається на розсуд чиновників Нацбанку, а інформація про людей, які намагалися зайти на фішинговий сайт, фіксується та передається в РНБО.
Чому запровадження цього механізму викликало спротив телеком-спільноти? Ще наприкінці лютого члени ІНаУ звернулися до Президента України, Кабміну, СБУ тощо з попередженням при ризики, приховані в системі. В ІНаУ вважають, що система несе загрози інформаційній безпеці України, адже надає можливість заблокувати чи не весь український інтернет. Теоретично, в разі повторного масованого наступу російських військ це може стати катастрофою для країни.
Інформація про користувача, який намагався зайти на «заборонені» ресурси, автоматично фіксується і передається до відповідних державних органів. «І хоча система декларується для протидії фішингу, вона може бути використана для блокування довільної кількості інтернет-ресурсів, – йдеться у заяві ІНаУ. – Важко переоцінити негативні наслідки для України в разі отримання ворогом доступу до цього механізму. Отже, під приводом протидії фішинговим сайтам закладається потужна загроза, по суті – «троянський кінь».
«Система блокування небезпечних сайтів повністю виправдана у воєнний час. Адже перед Україною стоїть завдання – зруйнувати досягнення російської пропаганди за лічені місяці», – вважає військовий експерт Максим Кухар.
Сергій Бойко іншої думки. За його словами, зараз блокування відбувається «шляхом прийняття ерзацу нормативно-правового акту». Тобто, запровадження централізованого механізму контролю за контентом з боку одного із органів, що мають великі повноваження на час воєнного стану.
«Це означає, що якщо раніше рішення про блокування виконувалися провайдерами в розтягнутий час, причому відповідальності за невиконання рішення РНБО в законі прописано не було, то зараз провайдер, що зареєстрований на створюваній автоматизованій платформі, де факто має блокувати сайти миттєво при появі такого списку на платформі. Технологічно – навряд чи на платформі з’явиться щось нове, порівняно з тим, що вже використовували провайдери», – каже Сергій Бойко.
Mind довелося почути від учасників нещодавньої зустрічі й категоричніші коментарі. «На нараді в РНБО мені стало відомо, що ініціатори створення системи блокування – заступник голови НБУ Олексій Шабан, та Олександр Кльоп з кіберзахисту НБУ. Вони, вочевидь, сплутали Національний банк з приватною структурою. Під виглядом боротьби з фішингом в Україні хочуть запустити аналогічну московській систему блокування усього інтернету. Така система неможлива у цивілізованому світі», – вважає засновник компанії «Адамант» Іван Петухов.
Телеком-експерт Роман Хіміч пояснює: раніше блокування відбувалося за рішенням суду, яке можна було оскаржити. «Зараз мова йде, фактично, про блокування в ручному режимі всього, що заманеться невизначеному колу осіб, наділених владою», – вважає він.
У НБУ натомість уточнюють, що система передбачає і можливість оскаржити рішення про обмеження доступу. «Якщо воно виявиться помилковим, то обмеження буде оперативно зняте. Наразі не зафіксовано жодних проблем у цьому питанні», – зазначають у Нацбанку.
«Якби таку систему створили у мирний час, варто було б дуже довго та детально обговорювати механізм її роботи, щоб вона не порушувала право громадян на отримання інформації», – додає Кухар.
Які ще ризики закладені у системі? Ніде в українському законодавстві немає визначення терміну «фішинг». Mind звернувся за консультацією до провідних юристів, і вони знайшли підстави для блокування будь-яких українських сайтів лише у методичних рекомендаціях НБУ, які вступили в силу 2 березня 2023 року. Згідно з ними, «фішинг – це метод соціальної інженерії, що передбачає розсилання електронною поштою листів та/або створення вебсайтів, що вводять у оману користувачів інформаційних систем, та має на меті розголошення персональних даних, кодів/паролів та/або інших конфіденційних даних, відповідно до Методичних рекомендацій НБУ щодо управління операційним ризиком (у тому числі кіберризиком та безперервністю діяльності) та забезпечення зберігання інформації про клієнтів об’єктами платіжної інфраструктури».
Чому саме зараз виникла потреба боротися з фішингом на державному рівні? За даними НБУ, кількість випадків кібершахрайства в Україні за період дії воєнного стану значно зросла. Більшість з них – безпосередньо фінансове шахрайство в інтернеті. «Найпоширенішим видом стала фейкова соціальна допомога від державних чи міжнародних організацій постраждалим від війни українцям. Маніпулюючи складною життєвою ситуацією, в якій опинилися багато наших співгромадян, шахраї намагаються через фішингові ресурси отримати дані для доступу до банківських рахунків українців», – зазначають у Нацбанку.
У 2022 році НБУ виявив близько 4500 подібних шкідливих ресурсів, у той час як в 2021 році ця цифра була на порядок меншою.
Протягом останніх трьох років цифрова злочинність в Україні якісно змінилася. Відбулася її індустріалізація, перетворення традиційних злочинних угруповань на повноцінні організації, у яких мають місце поділ праці, спеціалізація, перспективні дослідження, фінансовий і кадровий менеджмент.
«Перед війною, у 2021-22 роках у Дніпропетровську та Києві налічувалися десятки кримінальних кол-центрів, які займалися різними шахрайськими діями. Найбільші налічували десятки робочих місць. Поряд із деякими країнами Східної та Південної Європи – Сербією, Румунією, Болгарією – Україна є «заповідником» для спільнот, що спеціалізуються на цифрових злочинах», – каже Роман Хіміч. На його думку, такі успіхи вітчизняних злочинців були б неможливі без підтримки з боку органів влади, які зобов’язані цій злочинності протистояти.
У НБУ усе виправдовують війною. «Операторами цих шахрайських ресурсів здебільшого є угрупування з росії. Це підтверджується даними аналізу НБУ, а також стає зрозуміло навіть із текстів шахрайських повідомлень. Часто вони некоректно перекладені, у них зустрічається багато русизмів та неправильно вжитих слів. Тобто, крім військової агресії, проти нас триває гібридна війна із залученням кіберугрупувань, які координуються на державному рівні рф», – розповідають у Нацбанку.
Чи не будуть під виглядом фішингових ресурсів блокувати ЗМІ? Як пояснює юрист Катерина Гутгарц, відповідно до регламенту система використовується виключно для фільтрації фішингових доменів. Відповідальність покладається на галузеву команду реагування на кіберінциденти НБУ. Передбачений як порядок внесення, так і виключення доменів з-під фільтру за зверненням власника або адміністратора доменів. «Звісно, повністю виключити можливість зловживань, як і помилкового віднесення ресурсів до фішингових неможливо. Не кажучи вже про те, що на законодавчому рівні відсутнє визначення фішингу і чіткі критерії віднесення доменів до цієї категорії», – каже Катерина Гутгарц.
Ростислав Кравець, юрист, голова адвокатського об’єднання «Кравець та партнери» пов’язує створення системи автоматичного блокування із законом про ЗМІ, за яким потрібно буде подавати інформацію про власників інтернет-сайтів. «Я вважаю, що якщо інформація про хостерів та власників ЗМІ буде публічною, потреби у блокуваннях не буде. А ось під приводом боротьби з фішингом можуть просто почати будувати тоталітарну державу, адже це порушує всі конституційні права громадян», – вважає Кравець.
Чи не порушується таким чином закон «Про захист персональних даних», оскільки у системі зберігається інформація про користувачів, яка потім може бути передана державним органам? Регламентом системи передбачено, що «з метою аналізу та відповідного реагування» уповноваженим державним органам надається доступ до інформації про переходи на лендінгову сторінку, тобто дата, час, ІР-адреса переходу. «Закон про захист персональних даних вимагає конкретних і законних цілей їх обробки. А склад та зміст персональних даних має бути відповідним, адекватним і не надмірним стосовно мети такої обробки. Виходячи з цього, хотілося б почути від компетентних органів пояснення необхідності зберігання даних користувачів для боротьби з фішингом», – пояснює Катерина Гутгарц.
Юрист практики технологій та інвестицій юридичної компанії «Юскутум» Єгор Огурцов вважає, що з точки зору законодавства про захист персональних даних запровадження системи блокування фішингових сайтів є проблемним питанням. Воно створює потенційний ризик незаконної обробки персональних даних фізичних осіб, що будуть відвідувати фішингові сайті, через передачу їх персональних даних державним органам задля статистики.
«Зважаючи на не завжди достатній рівень освіченості підприємців та державних службовців у питаннях захисту персональних даних, можемо зробити висновок, що існує великий ризик недотримання вищезазначеного законодавства та порушення прав людини через відсутність прямих приписів у розпорядженні про необхідність дотримуватися персональних даних», – каже Огурцов.
Чи працює система автоматичного блокування в інших країнах? За словами Сергія Бойка, системи автоматичного блокування працюють в росії (СОРМ) та в КНР. «Також щось подібне до автоматизованої системи блокування впроваджуються в Туреччині , а також що існує система відключення інтернету в Індії (зокрема в штаті Кашмір), яка застосовується доволі часто», – розповідає Бойко.
«Аналогічна система кілька років експлуатується в росії і вже неодноразово призводила до блокування величезної кількості випадкових інтернет-адрес, включно з тими, на які зав’язана критична інфраструктура. Це викликано концептуальними дефектами тієї архітектури системи, яку використовують в рф і яку вирішено використовувати в Україні», – каже Роман Хіміч.
До речі, Європейський суд з прав людини визнав російський СОРМ таким, що порушує права людини.
Що відбувається зараз? Після звернення ІнАУ, РНОБ запросив представників асоціації на зустріч. 14 березня співробітники Держспецзв’язку, РНБО та CSIRT-NBU спілкувалися з представниками Асоціації. Систему загальмували до 21 березня, коли ІНаУ має надати своє бачення роботи системи боротьби з фішингом. За даними Mind, блокування може відбуватися лише після аналізу з боку провайдера, які саме ресурси пропонує «закрити» НБУ, а також узгодження питання щодо відмови від передачі персональних даних користувачів третім особам.