Комітет Верховної Ради України із цифрової трансформації рекомендував включити до порядку денного 9 сесії парламенту законопроект щодо протидії фішингу №9250 та альтернативний №9250-1. Громадськість і експерти стурбовані, оскільки вважають, що ініціативи можуть створити багато загроз для українців.
Починаючи від ризиків незаконного збору та використання персональних даних, до корупційних ризиків, бо рішення про включення порталу до списку фішингових приймаються чиновниками, а це може призвести до блокування навіть нешахрайських сайтів для шантажу, вимагання та тиску. До ризиків посилення цензури і свободи слова в інтернеті (адже систему можуть використати для блокування медіа під приводом фішингу). І закінчуючи загрозою для нацбезпеки, якщо ворог раптом отримає доступ до цієї системи.
У нашому матеріалі розбираємось детально, які претензії має експертна спільнота до законопроектів щодо боротьби з фішингом.
Передумови для появи закону та чому НБУ забажав контролювати український інтернет
Законопроектам №9250/№9250-1 передував запуск антифішингової системи, яка блокує в інтернеті сторінки, що можуть бути пов’язані із кібершахрайством. Створення системи під назвою Protective DNS було ініційоване Національним банком України.
Керівник управління забезпечення діяльності НКЦК служби з питань інформаційної та кібербезпеки Апарату РНБО України Сергій Прокопенко заявив, що саме Нацбанк звернувся до Національного координаційного центру кібербезпеки (НКЦК) при РНБО, через посилення фішингових атак після початку повномасштабного вторгнення рф.
З грудня 2022 року систему фільтрації фішингових доменів тестували, а наприкінці січня офіційно запустили – відповідне розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій при Держспецзв’язку було ухвалено 30 січня 2023 року.
Усіх українських провайдерів тоді зобов’язали підключитися до цієї системи, через яку Команда реагування на кіберінциденти в банківській системі України CSIRT-NBU управляє боротьбою з фішингом – тобто саме Нацбанк України формує список фішингових ресурсів.
Як працює антифішингова система
Фахівці Центру кіберзахисту НБУ моніторять інтернет і соцмережі та виявляють сайти шахраїв. Далі шкідливі ресурси додаються до бази, а провайдери обмежують переходи користувачів на них. Користувачів же переспрямовують із шкідливого сайту на сторінку з попередженням, що вказаний сайт створений зловмисникам і може призвести до втрати грошей.
Сергій Прокопенко з РНБО стверджує, що моніторинг фахівців НБУ пришвидшує процес фільтрації, адже фішингові сайти працюють недовго — годину-дві. А от що стосується сторінок, які помилково позначили як фішингові, то через сторінку-попередження можна вказати, що сайт не є шкідливим. За 30 хвилин скаргу розглядають і перевіряють – якщо сайт не шахрайський, його видаляють із реєстру.
У травні 2023 року директор департаменту платіжних систем та інноваційного розвитку НБУ Андрій Поддєрьогін заявив, що проект Protective DNS допоміг уникнути 2,5 млн переходів на шахрайські ресурси протягом 3 місяців функціонування системи.
Загрози антифішингової платформи НБУ
Ще тоді до впровадження антифішингового механізму виникло багато зауважень. В Інтернет Асоціації України заявили, що оскільки система автоматична і до неї долучились усі українські провайдери, то вона додає ризиків для національної безпеки, якщо ворог отримає доступ до неї.
Експерти також стверджували, що завдяки системі держава може збирати дані про користувачів, які заходили на фішингові сайти. Більш того, можуть початись і інші зловживання – наприклад, блокування переходів не лише на ресурси шахраїв, а й на інші сайти.
Інтернет Асоціація України:
“Інформація про користувача, який намагався зайти на «заборонені» ресурси, автоматично фіксується і передається до відповідних державних органів. І хоча система декларується для протидії фішингу, вона може бути використана для блокування довільної кількості інтернет-ресурсів. Фактично створюється централізований механізм автоматичного блокування доступу користувачів до необмеженого переліку інтернет-ресурсів. Важко переоцінити негативні наслідки для України в разі отримання ворогом доступу до цього механізму. Під приводом протидії фішинговим сайтам закладається потужна загроза, по суті «троянський кінь»
Однак в Раді нацбезпеки та оборони стверджують, що Protective DNS не збирає персональних даних, а тільки перенаправляє людину на сторінку з рекомендаціями і попередженням, що попереднє посилання було на фішинговий сайт. Також в РНБО переконують, що система нібито не несе загроз нацбезпеці.
Сергій Прокопенко, Керівник управління забезпечення діяльності НКЦК служби з питань інформаційної та кібербезпеки Апарату РНБО України:
«Система не становить загрози національній безпеці, адже НБУ відповідає тільки за захист інтересів громадян у фінансовому секторі. Тому вона аналізує лише сайти, які мають ознаки фінансового фішингу. Доступ до кожного домену, який система визначила як фішинговий, мають усі провайдери, що приєдналися до системи»
Як під виглядом боротьби з фішингом збирають персональні дані
Водночас регламентом системи передбачено збір персональних даних громадян: з метою аналізу та відповідного реагування уповноваженим державним органам надається доступ до інформації про переходи на лендінгову сторінку, тобто дата, час, ІР-адреса переходу.
Катерина Гутгарц, юрист:
«Закон про захист персональних даних вимагає конкретної та законної мети їх обробки. А склад і зміст персональних даних має бути відповідним, адекватним та не надмірним стосовно мети такої обробки. З огляду на це хотілося б почути від компетентних органів пояснення необхідності зберігання даних користувачів для боротьби з фішингом»
Юристи та експерти кажуть, що практика зберігання персональних даних у рамках боротьби з фішингом створює певні ризики, зокрема і ймовірність їх витоку від самих держслужбовців.
Максим Луночкін, Співзасновник ГО «Лабораторія цифрової безпеки»:
«Інформація, хто на які сайти заходив, може зберігатися в системах, адже їм необхідна ретроспектива — що відбувалося раніше. Припущення, як можуть використати ці дані, обмежує лише наша фантазія»
НБУ використовує досвід країни-агресора
Президент ТОВ “Адамант” Іван Пєтухов порівнює систему фільтрації фішингових доменів із запущеною в росії.
Іван Пєтухов, Президент компанії “Адамант”:
“Цю систему побудовано на тих самих принципах, що і в країні-агресорі. У липні 2022 року Роскомнадзор опублікував рушення про те, що Центробанк РФ може блокувати сайти, так само робиться зараз й у нас. В Європі такими питаннями опікуються громадські організації, що співпрацюють з провайдерами”.
Засновник компанії «Адамант» додав, що подібна система легалізує позасудове блокування сайтів, як у рф.
Іван Пєтухов, Президент компанії “Адамант”:
“На нараді в РНБО мені стало відомо, що ініціатори створення системи блокування – заступник голови НБУ Олексій Шабан та Олександр Кльоп із кіберзахисту НБУ. Вони, вочевидь, сплутали Національний банк із приватною структурою. Під виглядом боротьби з фішингом в Україні хочуть запустити аналогічну московській систему блокування усього інтернету. Така система неможлива в цивілізованому світі”
Чи можна оскаржити включення в перелік фішингових сайтів
З початку війни з рф у 2014 році в Україні почали обмежувати доступ до багатьох російських ресурсів. Спершу йшлось про пропагандистські сайти та соцмережі. З 2017 року обмеження посилились, коли президент Петро Порошенко підписав указ про введення санкцій, що дозволяють блокувати будь-які веб-ресурси. Але тоді провайдери блокували сайт на підставі рішення суду. Далі – на базі рішення РНБО, а сьогодні – уже і на основі рішення працівників Нацбанку України.
При цьому, якщо раніше рішення суду можна було оскаржити, то у випадку боротьби з фішингом скарга подається у рамках самої системи і її перевіряють ті ж самі чиновники з Кіберцентру НБУ, які й власне промаркували сайт як шкідливий.
Зазначимо, що в Україні створюється ще один механізм із блокування російських ресурсів. Незабаром буде запущено Перелік аудіовізуальних медіасервісів на замовлення та сервісів провайдерів аудіовізуальних сервісів держави-агресора, що поповнюватиметься Національною радою з телебачення і радіомовлення. Медійний регулятор на підставі цього списку зможе звернутись до Регулятора комунікаційних послуг (НКЕК) з вимогою заблокувати сайт сервісу, до магазинів мобільних застосунків – з проханням видалити застосунок сервісу на території України, до представників платіжних систем та НБУ – щодо унеможливлення оплати сервісу на території України, пише Зміна. Проте навіть у цьому випадку рішення про включення до Переліку може бути оскаржене в суді, а регулятор матиме право виключити сервіс з Переліку, якщо він більше не відповідатиме певним критеріям. На відміну із системою боротьби з фішингом Нацбанку.
Роман Хіміч, Телеком-експерт:
«Зараз йдеться фактично про блокування в ручному режимі всього, що заманеться невизначеному колу осіб, наділених владою»
Критерії, на основі яких блокують фішингові сайти
Ще однією претензією до ініціативи називали відсутність у нашому законодавстві визначення «фішинг», що дозволяло зловживати і на власний розсуд виставляти критерії блокування сайтів.
Команда НБУ фактично приймала рішення, який сайт є фішинговим, відповідно до внутрішнього регламенту (методичних рекомендацій) .
Катерина Гутгарц, юрист:
«Звісно, повністю виключити можливість зловживань, як і помилкового віднесення ресурсів до фішингових неможливо. Не кажучи вже про те, що на законодавчому рівні відсутнє визначення фішингу та чіткі критерії віднесення доменів до цієї категорії»
Тепер нардепи вирішили узаконити діяльність із блокування переходів на сайти та розробили відповідні зміни до закону про електронні комунікації у законопроектах №9250/9250-1.
Головні положення закону проти фішингу
Законопроект №9250 щодо протидії фішингу був поданий до Верховної Ради 28 квітня 2023 року та вносить зміни до Закону України “Про електронні комунікації”.
У пояснювальній записці депутати мотивують необхідність ухвалення такого закону зростанням фішингових атак в умовах повномасштабної війни, а також відсутністю поняття фішингу та положень про превентивні заходи боротьби із ним в українському законодавстві.
Пояснювальна записка до законопроекту №9250:
“Після російського широкомасштабного воєнного вторгнення на територію України 24 лютого 2022 року проблема фішингових атак та розроблення механізмів їх протидії є особливо актуальними. Прийняття Закону необхідне для вирішення питань протидії фішингу, в першу чергу, протидії кіберзлочинцям, які виманюють інформацію у користувачів в мережі Інтернет про їх дані у банківських та фінансових установах, створюють в мережі Інтернет фальшиві вебсайти, які, зазвичай, можуть повністю копіювати дизайн банків, фінансових установ, сервісів обміну валют, служб доставки тощо. Користувачі в мережі Інтернет не завжди можуть розпізнати підробку та можуть залишити на шахрайському вебсайті свої персональні та інші дані. Кіберзлочинці, отримавши таку інформацію про особу, можуть її використовувати, в т.ч. для привласнення їх грошей”
Законопроект пропонує запровадити у Закон України «Про електронні комунікації» такі поняття:
- постачальник DNS – постачальник електронних комунікаційних послуг, який має власні сервери DNS та з їх використанням надає абонентам інформацію про домени;
- фішинг – неправомірні дії в мережі Інтернет, наслідком яких є або може бути виманювання персональних даних та інших даних абонентів, в тому числі реквізитів платіжних карток та паролів, ідентифікаційних номерів, номерів банківських рахунків тощо;
- фішинґовий вебсайт – це ресурс у мережі Інтернет, який створений та використовується в неправомірних цілях з метою виманювання у абонентів персональних даних та інших даних, в тому числі реквізитів платіжних карток та паролів, ідентифікаційних номерів, номерів банківських рахунків тощо;
Законотворці також пропонують боротись із фішингом та фішинговими сайтами надавши повноваження центральному органу виконавчої влади у сферах електронних комунікацій та радіочастотного спектра (на час воєнного стану та 6 місяців після його завершення таким органом є Держспецзв’язку, потім – Мінцифри) розробити та затвердити на підставі пропозицій Національного банку України правила протидії фішингу та фішинговим вебсайтам, а також встановити права та обов’язків постачальників DNS.
Проблема нового законодавства проти фішингу
Інтернет-спільнота та експерти кажуть, що законопроект №9250 та альтернативний ще більше посилюють ризики, які виникли після запуску антифішингової системи.
Інтернет Асоціація України (ІнАУ) закликала Верховну Раду не приймати згадані документи. У асоціації заявили, що так хочуть фактично легалізувати незаконну систему блокування доменів. Інтернет-спільноту непокоїть і розширення повноважень Держспецзв’язку щодо боротьби із фішингом. В Інтернет Асоціації України вважають, що надання Держспецзв’язку повноваження встановлювати правила протидії фішингу та визначати права та обов’язки постачальників DNS є правопорушенням.
На думку експертів, поняття фішинг має бути внесено до кодексів України, а не регулюватись підзаконними актами та рішеннями Держспецзв’язку. Адже кримінальна відповідальність за онлайн-злочини регулюються статтями Кримінального кодексу 361, 361-1, а статті КПК 200, 185, 190 визначають такі поняття, як “шахрайство”, “крадіжка”, “незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, електронними грошима, обладнанням для їх виготовлення”, а також встановлюють покарання за ці злочини.
Тому в асоціації вважають, що доцільно вносити зміни саме до КК та КПК, а не Закону “Про електронні комунікації”.
Інтернет Асоціація України:
“Цей законопроєкт має на меті легалізувати вже побудовану та, на думку Асоціації, незаконно функціонуючу під управлінням НКЦК РНБОУ систему блокування доменів. Йдеться про встановлення нового, не передбаченого Конституцією виду неправомірного діяння, яке не відноситься ні до злочину, ні до адміністративного або дисциплінарного правопорушення. Провадження стосовно фішингу повинно здійснюватися відповідно до кодексів України, і у жодному разі не на підставі якихось підзаконних актів, як те пропонується у законопроєкті №9250”
Член правління Інтернет-асоціації України та голова наглядової ради “Укрнет” Михайло Коміссарук вважає, що Нацбанк для боротьби з фішингом мав звертатись не до Ради Нацбезпеки, а до поліції (зокрема кіберполіції), які власне і мають боротись із подібними шахрайствами. І для цього не потрібно правил від Держспецзв’язку та переліків заборонених сайтів.
Михайло Коміссарук, Член правління Інтернет-асоціації України та голова наглядової ради “Укрнет”:
“Сформована і працююча позасудова система блокування доменів, яка роздається з серверів РНБО і обов’язкова для виконання усім провайдерам. Цей законопроект має на меті легалізувати цю злочинну схему та надати Держспецзв’язку повноваження поза законом. Але інтернет — атрибут свободи гідності, й українці вам цього не подарують”
Аналогічної думки дотримується і експерт з кібербезпеки Андрій Баранович. Він вважає, що коли зміни до закону “Про електронні комунікації” ухвалять та реалізують, блокуватимуть таким чином “все підряд”.
Андрій Баранович, експерт з кібербезпеки:
“І я не розумію чому боротися з фішингом повинні провайдери та регулятор, а не поліція. Можливо, в результаті частина провайдерів просто припинить підтримувати DNS для клієнтів”
Замість законопроектів про боротьбу із фішингом Інтернет Асоціація України запропонувала НБУ інший механізм блокування фішингових доменів.
У межах цього механізму Нацбанк продовжує формувати і оновлювати Перелік фішингових доменів, а також надає інтернет-провайдерам доступ до нього. Передбачається, що інтернет-провайдери добровільно завантажують цей перелік, маючи при цьому можливість направити в НБУ аргументовану відмову від блокування того чи іншого домену – це має зменшити ймовірність помилкового блокування доменів, які не є фішинговими. Якщо інтернет-користувач намагається відвідати один із доменів із Переліку, він перенаправляється на лендінгову сторінку, розміщену на серверах його провайдера – це вирішує проблему із конфіденційністю його інформації.
Деякі фахівці ж вважають, що у системи блокування доступу до сайтів для боротьби з фішингом взагалі сумнівна ефективність. Бо шахраї створюють такі сторінки часто автоматично на короткий проміжок часу – і навіть після блокування одного фішингового ресурсу новий з’явиться дуже швидко.
Тому головні кроки для боротьби із шахрайством в інтернеті (зокрема і фішингом) мають бути спрямовані у першу чергу на фінансову грамотність населення та освіченість у питаннях покупок та розрахунків в інтернеті, а також безпеки персональних фінансових даних.
Джерела: Інтернет-Асоціація України, картки законопроектів 9250 та 9250-1, Mind.Ua, Заборона, Фокус, УНІАН, Тексти.