Что не так с законопроектами против фишинга или как НБУ пытается контролировать интернет
23 Червня 2023 16:39 Комитет Верховной Рады Украины по цифровой трансформации рекомендовал включить в повестку дня 9-й сессии парламента законопроект о противодействии фишингу №9250 и альтернативный №9250-1. Общественность и эксперты обеспокоены, поскольку считают, что инициативы могут создать множество угроз для украинцев.
Начиная от рисков незаконного сбора и использования персональных данных до коррупционных рисков, потому что решение о включении портала в фишинговый список принимаются чиновниками, а это может привести к блокировке даже немошеннических сайтов для шантажа, вымогательства и давления. К рискам усиления цензуры и свободы слова в интернете (систему могут использовать для блокирования медиа под предлогом фишинга). И заканчивая угрозой нацбезопасности, если враг вдруг получит доступ к этой системе.
Предпосылки для появления закона и почему НБУ пожелал контролировать украинский интернет
Законопроектам №9250/№9250-1 предшествовал запуск антифишинговой системы, блокирующей доступ на страницы, которые могут быть связаны с кибермошенничеством. Создание системы под названием Protective DNS было инициировано Национальным банком Украины.
Руководитель управления обеспечения деятельности НКЦК службы по вопросам информационной и кибербезопасности Аппарата СНБО Украины Сергей Прокопенко заявил, что именно Нацбанк обратился в Национальный координационный центр кибербезопасности (НКЦК) при СНБО, из-за усиления фишинговых атак после начала полномасштабного вторжения рф.
С декабря 2022 года систему фильтрации фишинговых доменов тестировали, а в конце января официально запустили - соответствующее распоряжение Национального центра оперативно-технического управления сетями телекоммуникаций при Госспецсвязи было принято 30 января 2023 года.
Всех украинских провайдеров тогда обязали подключиться к этой системе, по которой Команда реагирования на киберинциденты в банковской системе Украины CSIRT-NBU управляет борьбой с фишингом - то есть именно Нацбанк Украины формирует список фишинговых ресурсов.
Как работает антифишинговая система
Специалисты Центра киберзащиты НБУ мониторят интернет и соцсети и обнаруживают сайты мошенников. Далее вредоносные ресурсы добавляются в базу, а провайдеры ограничивают переходы пользователей на них. Пользователей же перенаправляют с вредоносного сайта на страницу с предупреждением, что этот сайт создан злоумышленником и может привести к потере денег.
Сергей Прокопенко из СНБО утверждает, что мониторинг специалистов НБУ ускоряет процесс фильтрации, ведь фишинговые сайты работают недолго — час-два. А вот что касается страниц, ошибочно обозначенных как фишинговые, то через страницу-предупреждение можно указать, что сайт не является вредоносным. За 30 минут жалобу рассматривают и проверяют – если сайт не мошеннический, его удаляют из реестра.
В мае 2023 года директор департамента платежных систем и инновационного развития НБУ Андрей Поддерегин заявил, что проект Protective DNS помог избежать 2,5 млн. переходов на мошеннические ресурсы в течение 3 месяцев функционирования системы.
Угрозы антифишинговой платформы НБУ
Еще тогда ко внедрению антифишингового механизма возникло множество замечаний. В Интернет Ассоциации Украины заявили, что поскольку система автоматическая и к ней присоединились все украинские провайдеры, она добавляет рисков для национальной безопасности, если враг получит доступ к ней.
Эксперты также утверждали, что благодаря системе государство может собирать данные о пользователях, заходивших на фишинговые сайты. Более того, могут начаться и другие злоупотребления – например, блокирование переходов не только на ресурсы мошенников, но и на другие сайты.
“Информация о пользователе, который пытался зайти на «запрещенные» ресурсы, автоматически фиксируется и передается в соответствующие государственные органы. И хотя система декларируется для противодействия фишингу, она может использоваться для блокирования произвольного количества интернет-ресурсов. Фактически создается централизованный механизм автоматической блокировки доступа пользователей к неограниченному перечню интернет-ресурсов. Сложно переоценить негативные последствия для Украины в случае получения врагом доступа к этому механизму. Под предлогом противодействия фишинговым сайтам закладывается мощная угроза, по сути, «троянский конь»”
Однако в СНБО утверждают, что Protective DNS не собирает персональные данные, а только перенаправляет человека на страницу с рекомендациями и предупреждением, что предыдущая ссылка была на фишинговый сайт. Также в СНБО утверждают, что система якобы не несет угроз нацбезопасности.
«Система не представляет угрозы национальной безопасности, ведь НБУ отвечает только за защиту интересов граждан в финансовом секторе. Поэтому она анализирует только сайты, имеющие признаки финансового фишинга. Доступ к каждому домену, который система определила как фишинговый, имеют все присоединившиеся к системе провайдеры»
Как под видом борьбы с фишингом собирают персональные данные
В то же время, регламентом системы предусмотрен сбор персональных данных граждан: с целью анализа и соответствующего реагирования уполномоченным государственным органам предоставляется доступ к информации о переходах на лендинговую страницу, то есть дата, время, IP-адрес перехода.
«Закон о защите персональных данных требует конкретных и законных целей их обработки. А состав и содержание персональных данных должно быть соответствующим, адекватным и не чрезмерным по отношению к цели такой обработки. Учитывая это, хотелось бы услышать от компетентных органов объяснение необходимости хранения данных пользователей для борьбы с фишингом»
Юристы и эксперты говорят, что практика хранения персональных данных в рамках борьбы с фишингом создает определенные риски, в том числе и вероятность их утечки от госслужащих.
«Информация, кто на какие сайты заходил, может храниться в системах, ведь им необходима ретроспектива – происходившее раньше. Предположение о том, как могут использовать эти данные, ограничивает только наша фантазия»
НБУ использует опыт страны-агрессора
Президент ООО "Адамант" Иван Петухов сравнивает систему фильтрации фишинговых доменов с аналогичной, запущенной в россии.
"Эта система построена на тех же принципах, что и в стране-агрессоре. В июле 2022 года Роскомнадзор опубликовал решения о том, что Центробанк рф может блокировать сайты, так же делается сейчас и у нас. В Европе такими вопросами занимаются общественные организации, что сотрудничают с провайдерами".
Основатель компании «Адамант» добавил, что подобная система легализует внесудебную блокировку сайтов, как в рф.
«На совещании в СНБО мне стало известно, что инициаторы создания системы блокировки – заместитель председателя НБУ Алексей Шабан и Александр Клеп по киберзащите НБУ. Они, по-видимому, спутали Национальный банк с частной структурой. Под видом борьбы с фишингом в Украине хотят запустить аналогичную московскую систему блокировки всего интернета. Такая система невозможна в цивилизованном мире»
Можно ли обжаловать включение в список фишинговых сайтов
С начала войны с рф в 2014 году в Украине начали ограничивать доступ ко многим российским ресурсам. Сначала речь шла о пропагандистских сайтах. С 2017 года ограничения усилились, когда президент Петр Порошенко подписал указ о введении санкций, позволяющих блокировать любые веб-ресурсы. Но тогда провайдеры блокировали сайт по решению суда. Далее – на базе решения СНБО, а сегодня – уже и на основе решения работников Нацбанка Украины.
При этом, если раньше решение суда можно было обжаловать, то в случае борьбы с фишингом жалоба подается в рамках самой системы и ее проверяют те же чиновники из Киберцентра НБУ, которые собственно промаркировали сайт как вредоносный.
Отметим, что в Украине создается еще один механизм блокировки российских ресурсов. Скоро будет запущен Перечень аудиовизуальных медиасервисов на заказ и провайдеров аудиовизуальных сервисов государства-агрессора, который будет пополняться Национальным советом по телевидению и радиовещанию. Медийный регулятор на основании этого списка сможет обратиться к НКЕК с требованием заблокировать сайт сервиса; в магазины мобильных приложений – с просьбой удалить приложение сервиса на территории Украины; к представителям платежных систем и НБУ – о невозможности оплаты сервиса на территории Украины, пишет Зміна.
Однако даже в этом случае решение о включении в Перечень может быть обжаловано в суде, а регулятор будет иметь право исключить сервис из Перечня, если он больше не будет соответствовать определенным критериям. В отличие от системы борьбы с фишингом от Нацбанка.
«Сейчас речь идет фактически о блокировке в ручном режиме всего, что заблагорассудится неопределенному кругу лиц, наделенных властью»
Критерии, на основе которых блокируют фишинговые сайты
Еще одной претензией к инициативе называли отсутствие в нашем законодательстве определения «фишинг», что позволяло злоупотреблять и по своему усмотрению выставлять критерии блокировки сайтов.
Команда НБУ фактически принимала решение, какой сайт является фишинговым, согласно внутреннему регламенту (методическим рекомендациям).
«Конечно, полностью исключить возможность злоупотреблений, как и ошибочного отнесения ресурсов к фишинговым, невозможно. Не говоря уже о том, что на законодательном уровне отсутствует определение фишинга и четкие критерии отнесения доменов к этой категории.
Теперь нардепы решили узаконить деятельность по блокированию переходов на сайты и разработали соответствующие изменения в закон об электронных коммуникациях в законопроектах №9250/9250-1.
Главные положения закона против фишинга
Законопроект №9250 по противодействию фишингу был представлен в Верховную Раду 28 апреля 2023 года и вносит изменения в Закон Украины "Об электронных коммуникациях".
В пояснительной записке депутаты мотивируют необходимость принятия такого закона ростом фишинговых атак в условиях полномасштабной войны, а также отсутствием понятия фишинга и положений о превентивных мерах по борьбе с ним в украинском законодательстве.
“После российского широкомасштабного военного вторжения на территорию Украины 24 февраля 2022 года проблема фишинговых атак и разработка механизмов их противодействия особенно актуальны. Принятие Закона необходимо для решения вопросов противодействия фишингу, в первую очередь, противодействия киберпреступникам, которые выманивают информацию у пользователей сети Интернет об их данных в банковских и финансовых учреждениях, создают в сети Интернет фальшивые веб сайты, которые, как правило, могут полностью копировать дизайн банков, финансовых учреждений, сервисов обмена валют, служб доставки и т.д. Пользователи в Интернете не всегда могут распознать подделку и могут оставить на мошенническом веб сайте свои персональные и другие данные. Киберпреступники, получив такую информацию о личности, могут его использовать, в т.ч. для присвоения их денег”
Законопроект предлагает ввести в Закон Украины «Об электронных коммуникациях» следующие понятия:
- поставщик DNS – поставщик электронных коммуникационных услуг, имеющий собственные серверы DNS и с их использованием предоставляющий абонентам информацию о доменах;
- фишинг – неправомерные действия в сети Интернет, следствием которых является или возможно выманивание персональных данных и других данных абонентов, в том числе реквизитов платежных карт и паролей, идентификационных номеров, номеров банковских счетов и т.п.;
- фишинговый вебсайт – это ресурс в сети Интернет, который создан и используется в неправомерных целях для выманивания у абонентов персональных данных и других данных, в том числе реквизитов платежных карт и паролей, идентификационных номеров, номеров банковских счетов и т.п.;
Законотворцы также предлагают бороться с фишингом и фишинговыми сайтами предоставив полномочия центральному органу исполнительной власти в сферах электронных коммуникаций и радиочастотного спектра (на время военного положения и 6 месяцев после его завершения таким органом является Госспецсвязи, затем - Минцифры) разработать и утвердить на основании Национального банка правила противодействия фишингу и фишинговым вебсайтам, а также установить права и обязанности поставщиков DNS.
Проблема нового законодательства против фишинга
Интернет-сообщество и эксперты говорят, что законопроект №9250 и альтернативный еще больше усиливают риски, возникшие после запуска антифишинговой системы.
Интернет Ассоциация Украины (ИнАУ) призвала Верховную Раду не принимать упомянутые документы. В ассоциации заявили, что так хотят фактически легализовать незаконную систему блокировки доменов.
Интернет-сообщество беспокоит и расширение полномочий Госспецсвязи по борьбе с фишингом. В Интернет Ассоциации Украины считают, что предоставление Госспецсвязи полномочия устанавливать правила противодействия фишингу и определять права и обязанности поставщиков DNS является правонарушением.
По мнению экспертов, понятие “фишинг” должно быть внесено в кодексы Украины, а не регулироваться подзаконными актами и решениями Госспецсвязи. Ведь уголовная ответственность за онлайн-преступления регулируются статьями именно Уголовного кодекса 361, 361-1, а статьи УПК 200, 185, 190 определяют такие понятия, как "мошенничество", "кража", "незаконные действия с документами на перевод, платежными картами и другими средствами доступа к банковским счетам, электронными деньгами, оборудованием для их изготовления", а также устанавливают наказание за эти преступления.
Поэтому в ассоциации считают, что целесообразно вносить изменения именно в УК и УПК, а не в Закон "Об электронных коммуникациях".
“Этот законопроект имеет целью легализовать уже построенную и, по мнению Ассоциации, незаконно функционирующую под управлением НКЦК СНБОУ систему блокирования доменов. Речь идет об установлении нового, не предусмотренного Конституцией, вида неправомерного деяния, которое не относится ни к преступлению, ни к административному или дисциплинарному правонарушению. Производство по фишингу должно осуществляться в соответствии с кодексами Украины, и ни в коем случае не на основании каких-либо подзаконных актов, как это предлагается в законопроекте №9250”
Член правления Интернет-ассоциации Украины и председатель наблюдательного совета "Укрнет" Михаил Комиссарук считает, что Нацбанк для борьбы с фишингом должен был обращаться не в Совет Нацбезопасности, а в полицию (в том числе киберполицию), которые собственно и должны бороться с подобными мошенничествами. И для этого не нужны правила от Госспецсвязи и перечни запрещенных сайтов.
“Сформированная и работающая внесудебная система блокировки доменов, которая раздается с серверов СНБО и обязательна для выполнения всем провайдерам. Этот законопроект имеет целью легализовать эту преступную схему и предоставить Госспецсвязи полномочия вне закона. Но интернет — атрибут свободы достоинства, и украинцы вам этого не подарят”
Аналогичного мнения придерживается и эксперт по кибербезопасности Андрей Баранович. Он считает, что когда изменения в закон "Об электронных коммуникациях" примут и реализуют, блокировать таким образом будут "все подряд".
"И я не понимаю, почему бороться с фишингом должны провайдеры и регулятор, а не полиция. Возможно, в результате часть провайдеров просто перестанет поддерживать DNS для клиентов"
Вместо законопроектов по борьбе с фишингом Интернет Ассоциация Украины предложила НБУ еще один механизм блокировки фишинговых доменов.
В рамках этого механизма Нацбанк продолжает формировать и обновлять Список фишинговых доменов, а также предоставляет интернет-провайдерам доступ к нему. Предполагается, что интернет-провайдеры добровольно загружают этот перечень, имея при этом возможность направить в НБУ аргументированный отказ от блокировки того или иного домена - это должно уменьшить вероятность ошибочной блокировки доменов, которые не являются фишинговыми. Если интернет-пользователь пытается посетить один из доменов из Перечня, он перенаправляется на лендинговую страницу, размещенную на серверах его провайдера – это решает проблему с конфиденциальностью информации.
Некоторые специалисты считают, что у системы блокировки доступа к сайтам для борьбы с фишингом вообще сомнительная эффективность. Ибо мошенники создают такие страницы часто автоматически на короткий промежуток времени – и даже после блокировки одного фишингового ресурса новый появится очень быстро.
Поэтому главные шаги по борьбе с мошенничеством в интернете (в том числе и фишингом) должны быть направлены в первую очередь на финансовую грамотность населения и образованность по вопросам покупок и расчетов в интернете, а также безопасности персональных финансовых данных.
Источники: Интернет-Ассоциация Украины, карточки законопроектов 9250 и 9250-1, Mind.Ua, Заборона, Фокус, УНИАН, Тексты.
