Йдемо в Європу і боремося з Росією. На законодавчому рівні визнаємо РФ агресором, а Європу – спільним домом. І навіть хочемо зафіксувати євроінтеграційну мету у Конституції України. Начебто все чітко і зрозуміло. Цілі незаперечні. А ось методи – дуже сумнівні і навіть протилежні.
4 липня комітет Ради з питань національної безпеки одноголосно підтримав прийняття репресивного закону № 6688, що дозволяє блокування в мережі без рішення суду. 5 липня закон повинен був йти на голосування у парламенті, але депутати не наважилися його розглядати.
Експертне середовище та суспільство різко виступають проти цієї практики. Коли профільний комітет підтримав проект документу, експертам висловити свої позиції не дали. Не було обговорення і в суспільстві.
У чому суть закону № 6688
Формально закон повинен переслідувати захист національних інтересів України і відповідати на виклики національної безпеки, а також – боротися із кіберзлочинністю. Нібито з цією метою його автори – народні депутати Іван Винник, Дмитро Тимчук і Тетяна Чорновіл – виступають за посилення контролю в інтернет з боку держави.
По суті ж, цей закон встановлює цензуру в інтернет-просторі. Документ передбачає тимчасове заблокування сайтів на 48 годин за спільним рішенням слідчих і прокуратури. Закривати або обмежувати доступ до «шкідливих» сайтів на термін від 3 місяців до 3 років, якщо інтернет-ресурс підозрюється у порушенні законів України, можливо тільки за рішенням суду. А ось для тимчасового блокування до двох діб судового дозволу не потрібно.
Ризик в тому, що закон не встановлює рамок для блокування. Тобто, будь-який інтернет-ресурс може бути заблокованим, якщо слідчі органи вважатимуть його таким, що загрожує нацбезпеці або є кібертероризмом.
Закон зобов'язує інтернет-провайдерів технічно блокувати доступ до певних ресурсів за допомогою установки спеціального дорогого устаткування (Deep Packet Inspection), щоб у користувачів було менше шансів обійти заборону. Провайдери повинні встановлювати DPI за свій рахунок. У разі відмови операторів блокувати сайти, накладається штраф у розмірі 1% від їх річного доходу за попередній рік, і 5% - за повторну відмову (порушення вимог блокування).
Анонімність в мережі зводиться до нуля, так як закон передбачає:
- ідентифікацію відвідувачів інтернет-ресурсів і створення баз кінцевих користувачів;
- повну фільтрацію (моніторинг) трафіку користувачів за допомогою програмного забезпечення.
Як пояснює «людською мовою» експерт Макс Тулєєв, установка DPI і фільтрація трафіку і є відмовою від інтернет-приватності:
«Для необізнаних в техніці: фільтрація HTTPS буде працювати, тільки якщо виробник DPI змусить всіх користувачів встановити у себе їх ключі шифрування. А хто не встановить – втратить можливість доступу до Інтернету взагалі. Тобто з приватними даними в мережі можна буде попрощатися назавжди. Від цього свідомо відмовилися навіть в Росії, Білорусі та Китаї, деякий час така система працювала в Казахстані, але через очевидні проблеми від неї відмовилися і там»
Абсурдність намірів депутатів в експертних оцінках
Головний ідеолог закону № 6688, народний депутат від БПП Іван Винник, вважає, що закон допоможе боротися з кіберзлочинністю і атаками на критичну інфраструктуру країни. Експерти в один голос заявляють – блокування ресурсів з цим не допоможе. Так як алгоритми кібератак працюють за іншою логікою, а тому депутати займаються тим, в чому не компетентні.
Боротися з кіберзагрозами та хакерськими атаками на критичну інфраструктуру необхідно залученням професіоналів, які володіють неочевидними тонкощами і мають відповідний досвід відбиття атак.
«Вирубання» ресурсів і те, що пропонують депутати – печерні та недієві методи, які на практиці довели свою неефективність, розповідає представник Українського кібер-альянсу Sean Brian Townsend (Шон Таунсенд). Ініціативу депутатів експерт вважає згубною і слів в оцінці не підбирає:
«Все що стосується кіберзахисту за допомогою блокувань – безпросвітна брехлива ** уйня. Якщо депутат Винник цього не розуміє, то він недостатньо освічений, щоб підпускати його до хайтеку, а якщо розуміє, але все-одно проштовхує, то він свідомо підриває національну безпеку України заради хвилинних інтересів. P.S. Захист інформаційної безпеки за допомогою блокувань – теж безпросвітна ** уйня, але з інших причин, про які варто поговорити окремо»
Ініціатива депутатів вдарить по ринку і провайдерам послуг, призведе до подорожчання інтернету і зростання недобросовісної конкуренції. Коментує експерт Єгор Папишев:
«Такі заходи призведуть до зниження швидкості (або в результаті заходів з контролю і моніторингу трафіку, або в результаті ваших дій з обходу всього цього добра), і значне підвищення цін на інтернет. Відбудеться монополізація ринку інтернет-провайдерів»
А наміри авторів законопроекту – не що інше, як розпил бюджету і контроль інтернет-ринку:
«Депутати переслідують дві мети: контроль над українськими користувачами інтернету і отримання можливості управління грошовими коштами (мова йде про сотні мільйонів доларів) на реалізацію спільних проектів з Allot (ізраїльською компанією-виробником DPI - прим.авт)»
Ризики прийняття подібного закону очевидні, вважає кібер-фахівець Володимир Стиран:
«Всі запропоновані інструменти регулювання і блокування можуть, а, значить, будуть використані не за призначенням. Швидше за все, з метою посилення цензури, здійснення нечесної конкуренції та інших проявів корупції»
Пірати на службі «борцунів» за кібербезпеку
(автор - Володимир Крекотін)
5 липня з'явилася інформація про те, що закон № 6688 писався на неліцензійному ПЗ – крекнутий MS Word з блогу невідомого походження. Іронічно не тільки те, що це порушення авторських прав. Абсурд ситуації в тому, що саме зламаний софт часто є джерелом вірусів. Таким чином, «санітари» інформаційного простору продемонстрували не тільки слабке розуміння (точніше, його відсутність) матчастини в сфері ІТ, а й реалізували це на практиці.
Рівень їхнього мислення очевидно залишився у пострадянських «нульових», якщо не в 90-х, коли програмне забезпечення ніхто не купував за ліцензією. Звідти ж і методи – фактично, силове вирішення тонкого питання безпеки в інтернеті, без застосування інтелекту. Можливо, у поправках до законів вони бачать створення спецзагону кібербратків із прасками, на випадок якщо «в інтернеті хтось неправий» і його «вдалося обчислити по IP».
Львівський журналіст Петро Нек, який звернув увагу на використання піратського ПЗ депутатами, також нагадав і про те, наскільки небезпечні незграбні методи і чим це все може закінчитися для українських користувачів мережі:
«У 2007 році суд зобов'язав всіх існуючих провайдерів заблокувати сайт блоггер.ком, на той час дуже популярну блог-платформу від гугла. А все через те, що на одному з блогів хтось розмістив чорнушний матеріал про «Хортицю», що вода для неї добувається зі смітників чи якось так. У рішенні суду згадувалося посилання на конкретний пост, але заблокувати вирішили всю мережу. Доступу до неї не було кілька тижнів. У 2018 році, якщо приймуть закон 6688, думаєте не буде таких випадків, коли, наприклад за якийсь пост в фб слідчий подасть на блокування не лінк на профіль, а на весь фейсбук? Це може бути не тільки з неграмотності, а й з неуважності. Або блокануть ваш сайт, коли на ньому залишить хтось комент, котрий будуть кваліфікувати як технологічний тероризм, або хтось зламає сайт і залиє якийсь документ, котрий не індексується ніде? Чи просто заблочать весь дропбокс, гул-диск через те що там у публічному доступі файли, котрі можна кваліфікувати як той самий тероризм»
* * *
Запропонований закон сам по собі некомпетентний, а те, як він впроваджується в життя - суперечить законам та здоровому глузду. Якщо це і є боротьба за чистоту інформаційного простору та національні інтереси держави, тоді у нас проблеми з кібер-безпекою ще більші, ніж ми припускали.
