Защита или цензура: чего следует ожидать пользователям и бизнесу от закона об антифишинге

В конце марта 2023 года народные депутаты Украины внесли на рассмотрение в Верховную Раду Украины проект закона "О внесении изменений в Закон Украины "Об электронных коммуникациях" (относительно противодействия фишингу)" № 9250. В пояснительной записке соавторы документа отмечают, что принятием этих изменений в Закон будут "урегулированы вопросы противодействия фишингу и противодействия созданию киберпреступниками фишинговых вебсайтов", а следствием станет "защита граждан от мошенников в сети Интернет". Но Интернет Ассоциация Украины (ИнАУ) с позицией народных избранников не согласна, так как видит в законопроекте риски, которые могут привести к противоречащим Конституции неправомерным действиям.

Стороны собрались вместе 19 мая 2023 года, чтобы обсудить законопроект и, возможно, прийти к согласию в рамках дискуссии "Баланс безопасности – как защитить украинских пользователей интернета от фишинговых атак". Что не так с предложенными изменениями в Закон "Об электронных коммуникациях" и стоит ли из-за них волноваться пользователям, разбирался Фокус.

В чем опасность фишинга для граждан

Фишинг — одна из разновидностей мошенничества в интернете, когда преступники получают доступ к конфиденциальным данным пользователей — логинам и паролям. Имея эту информацию, они легко могут присвоить средства с банковских карт, прочитать переписку, загрузить файлы, содержащие важную информацию и т.д. Информацию добывают просто: человеку приходит письмо или сообщение якобы от банка или известного бренда, которое содержит ссылку на сайт, внешне не отличающийся от сайта настоящей компании. Также письмо содержит текст с призывом, мотивирующим перейти по ссылке. Как только человек кликает на ссылку, он попадает в руки мошенников: на поддельном сайте ему предлагают ввести свои логин и пароль для получения приза, выгодного предложения и т.п. Человек, думая, что находится на сайте банка или известной ему компании, использует именно те логин и пароль, по которым он регистрировался на самом деле. Завладев нужной информацией, злоумышленники могут легко получить доступ к аккаунтам и банковским счетам жертвы.

Как сообщает Нацполиция, по состоянию на 18 мая 2023 года разоблачены 56 злоумышленников, которые выманивали деньги у граждан Украины с помощью фишинга. Всего им удалось присвоить около 15 млн грн. Воры размещали в интернете ссылки на ресурсы официальных компаний, занимающихся оформлением денежных выплат и продажей товаров, например, бытовой техники. Также они были активны на торговых онлайн-площадках, и выдавая себя за покупателей, посылали через мессенджеры фишинговые ссылки продавцам товаров. Эти ссылки вели на мошеннические сайты, где потенциальным жертвам предлагали ввести данные банковских карт для того, чтобы получить деньги за якобы проданный товар. Получив данные, мошенники выводили деньги со счетов жертв на свои счета.

О чем говорится в законопроекте № 9250

Именно с таким явлением, как фишинг, предлагают бороться народные избранники. Опираясь на объяснительную записку документа, по мнению нардепов, принятие законопроекта № 9250 будет способствовать противодействию фишингу и киберпреступникам. Мы обратили внимание на то, что обоснование содержит пункт о том, что "проблема фишинговых атак и разработка механизмов их противодействия особенно актуальны"… "после российского широкомасштабного военного вторжения на территорию Украины 24 февраля 2022 года". Отметим, что проблема фишинга остро стояла и до российского вторжения — с тех пор как люди получили возможность оплачивать товары, услуги, перечислять деньги с помощью интернет-сервисов.

В тексте законопроекта говорится о "предоставлении полномочий центральному органу исполнительной власти в сферах электронных коммуникаций и радиочастотного спектра (таким органом на сегодняшний день является Госспецсвязи — ред.) разработать и утвердить на основании предложений Национального банка Украины правила противодействия фишингу и фишинговым вебсайтам, установить права и обязанностей поставщиков DNS" (DNS — Domain Name System, система доменных имен, содержащая данные о доменных именах и используемая для получения IP-адресов компьютеров, мобильных устройств, информации о маршрутизации почты и/или обслуживающих узлов для протоколов в домене, – ред.). Нацбанк здесь фигурирует потому, что, по словам Сергея Прокопенко, руководителя управления обеспечения деятельности НКЦК службы по вопросам информационной и кибербезопасности Аппарата СНБО Украины, именно этот госорган обратился в Национальный координационный центр кибербезопасности (НКЦК) при СНБО, из-за проблемы усиления фишинговых атак, которых стало больше в финансовом секторе после начала вторжения ВС РФ на территорию Украины. Позже в декабре 2022 года была запущена система фильтрации фишинговых доменов в тестовом режиме.

Как работает система фильтрации фишинговых доменов

Команда специалистов по кибербезопасности НБУ собирает фишинговые домены, формирует список и размещает на DNS-сервере НКЦК, провайдер подключается к серверу и получает доступ к постоянно обновляющемуся списку. Затем оператор может перенаправлять клиентов, зашедших на сайт из списка, на страницу с предупреждением, отметил Прокопенко.

По его словам, команда НБУ принимает решение, какой сайт фишинговый, а какой нет — в соответствии с регламентом. Спикер утверждает, что это ускоряет процесс фильтрации, ведь фишинговые сайты работают недолго — час-два.

Однако обманутым гражданам советуют обращаться в Киберполицию. Владельцев страниц, ошибочно помеченных как фишинговые, Прокопенко заверил: через форму на странице-предупреждении можно отметить, что сайт не является фишинговым. В течение 30 минут рассматривают жалобу и проверяют сайт. Если он действительно не мошеннический, его удаляют из списка. Таким же образом работают системы жалоб в соцсетях, где пользователи могут пожаловаться на неправомерный контент, а модераторы, без всяких судебных решений, проверят его и заблокируют (в случае случайно отмеченного ресурса — разблокируют). Если жалуются сами фишеры, то они должны доказать, что ресурс не собирает данные и не переправляет их на другие страницы, не относящиеся к официальным компаниям или госорганам. Обычно сделать этого они не могут.

Позиция авторов "антифишингового" законопроекта №9250

Эти нововведения беспокоят Интернет Ассоциацию Украины (ИнАУ), которая просит проверить, не нарушает ли предложенный документ нормы Уголовно-процессуального кодекса Украины (УК) и Уголовного кодекса Украины (УК).

В своем сообщении в Facebook народный депутат и соавтор законопроекта "о фишинге" Александр Федиенко написал, что, по его мнению, государство должно иметь собственный фишинговый DNS и привел в пример литовский брандмауэр DNS.

Принцип работы такого государственного фишингового DNS, по его словам, прост. Если будет работать государственный DNS, то пользователи смогут защититься от попавших в перечень опасных ресурсов и получать предупреждение об их вредоносности. Но решать, продолжить ли пользоваться сервисом/сайтом, или нет, граждане будут самостоятельно.

Относительно опасений операторов, что система фильтрации фишинговых доменов может стать механизмом цензуры, нардеп ответил — о блокировке речь вообще не идет. "Пользователь получает предупреждение, что это поддельный сайт, а дальше по собственному желанию может продолжить работу с этим ресурсом", — добавил он.

В ходе дискуссии "Баланс безопасности – как защитить украинских пользователей интернета от фишинговых атак", которая прошла 19 мая 2023 года в Киеве, нардеп, а также представитель Госспецсвязи отметили, что фишинг угрожает не только гражданам, но и нацбезопасности, ведь таким образом часто атакуют и госорганы. Более того, фишинг — это не только о воровстве денег, но и о воровстве информации. Поэтому, по их мнению, необходимо усовершенствовать Закон "Об электронных коммуникациях", регулирующий работу операторов, но в ИнАУ придерживаются иного мнения.

Позиция Интернет Ассоциации Украины касательно законопроекта № 9250

В ИнАУ, в состав которой входят 220 компаний в сфере ИКТ, выступили с резкой критикой законопроекта об антифишинге. В Ассоциации считают, что предоставление Госспецсвязи полномочий устанавливать правила противодействия фишингу и определять права и обязанности поставщиков DNS является правонарушением. В открытом письме Верховной Раде Украины ИнАУ отметила:

"…законопроектом № 9250 устанавливается новый, не предусмотренный Конституцией, вид неправомерного деяния, не касающегося ни преступления, ни административного или дисциплинарного правонарушения".

Если законопроект будет принят, то Госспецсвязи получит право определять основы ответственности за правонарушение (фишинг) своими подзаконными актами, а сам закон эти основы не будет определять. Но дело в том, что уголовная ответственность за "онлайн-преступления" регулируются УК статьями 361, 361-1, а статьи УПК 200, 185, 190 определяют такие понятия, как "мошенничество", "кража", "незаконные действия с документами на перевод, платежными картами и другими средствами доступа к банковским счетам, электронными деньгами, оборудованием для их изготовления" и устанавливают степень наказания за эти злодеяния. Следовательно, в ИнАУ считают, что усовершенствовать необходимо именно УК и УПК, а не Закон "Об электронных коммуникациях". Более того, как отметил Михаил Комиссарук, член правления ИнАУ и председатель наблюдательного совета "Укрнет", предоставление Госспецсвязи полномочий "разработки и утверждения правил противодействия фишингу и фишинговым веб-сайтам, установление прав и обязанностей поставщиков DNS" нарушает нормы закона.

Ассоциация открыто говорит о том, что с помощью законопроекта № 9250 чиновники хотят сделать легальной систему блокировки доменов. Она действует в Украине с 2017 года, когда президент Порошенко подписал указ о введении санкций, позволяющих блокировать любые веб-ресурсы, о чем Фокус писал ранее.

Комиссарук считает, что НБУ следовало обращаться не к НКЦК СНБО, а в киберполицию и полицию, которые борются с преступниками, в том числе в онлайне. И для этого никаких правил от Госспецсвязи и перечней запрещенных сайтов не требуется.

"Сформирована и работает внесудебная система блокировки доменов, которая раздается с серверов СНБО и обязательна для выполнения всем провайдерам. Этот законопроект имеет целью легализовать эту преступную схему и предоставить Госспецсвязи полномочия вне закона. Но интернет — атрибут свободы достоинства, и украинцы вам этого не подарят", — обратился он к представителям госорганов во время дискуссии.

Его мнение поддержал президент ООО "Адамант" Иван Петухов, сравнивший систему фильтрации фишинговых доменов с идентичной, внедренной в РФ.

"Эта система построена на тех же принципах, что и в стране-агрессоре. В июле 2022 года Роскомнадзор опубликовал рушения о том, что Центробанк РФ может блокировать сайты, так же делается сейчас и у нас. В Европе такими вопросами занимаются общественные организации, сотрудничающие с провайдерами", — подчеркнул он, а также добавил, что есть другие возможности и инструменты борьбы с фишингом. Например, можно установить специальные плагины в браузеры, извещающие о мошеннических страницах.

По мнению специалистов из ИнАУ, если "закон о фишинге" будет принят, то УАнет в широком смысле столкнется со следующими рисками:

• риски для кибербезопасности государства, когда агрессор, получив незаконный доступ к данной системе, сможет заблокировать в Украине доступ к веб-ресурсам сети Интернет;
• коррупционные риски, поскольку решения о включении того или иного сайта в перечень заблокированных доменов принимаются рядовыми чиновниками, что может привести к блокированию любых сайтов с целью вымогательства, рейдерства, иного давления;
• риски для свободы слова, поскольку этот механизм может быть использован для блокирования любых онлайн-медиа;
• риски незаконного сбора персональных данных.

По мнению эксперта по кибербезопасности Андрея Барановича, как только изменения в закон "Об электронных коммуникациях" будут приняты, а технология фишингового DNS "обкатана", — блокировать таким образом смогут "все подряд".

"И я не понимаю, почему бороться с фишингом должны провайдеры и регулятор, а не полиция. Возможно, в результате часть провайдеров просто перестанет поддерживать DNS для клиентов", — подчеркнул он.