Тотальна цензура. Навіщо Україні реєстр заборонених сайтів і чим він небезпечний
Стеження, маніпуляції таі цензура — ось що чекає УАнет, якщо робоча група при РНБО ухвалить рішення про створення "чорних списків", які дадуть можливість швидко й у великих обсягах блокувати будь-які сайти. У цьому впевнені експерти з кібербезпеки, юристи та представники ІнАУ.
Влада багатьох країн сприймає Інтернет або з підозрою, або з побоюванням. Й Україна — не виняток. Ідеї про контроль над Уанет озвучувалися ще років 10 тому. А в 2017 році указом президента Порошенка були введені санкції, що дозволили блокувати будь-які вебресурси. Чотири роки потому, коли провайдери нарешті домоглися діалогу з владою, вирішено було створити робочу групу з питань захисту інформаційного простору. Чим загрожує такий захист громадян від спокус Інтернету й чи можлива побудова "великого українського файрволу", розбирався Фокус.
Чому в Україні блокування сайтів незаконне
Незабаром після того, як набрав чинності указ президента Порошенка від 17 травня 2017 року про введення санкцій проти російських громадян і компаній та передбачає блокування деяких російських соцмереж і ЗМІ, була зроблена спроба узаконити все, про що йшлося в документі. Саме указ зобов'язував провайдерів закрити доступ до соцмереж "ВКонтакте" й "Одноклассники", сайтам, які належать Mail.Ru Group і "Яндексу".
Однак провайдери, будучи приватними компаніями, не підкоряються президенту. Отже, його укази вони виконувати не повинні. Зате вони зобов'язані підкорятися законам, ухваленим Верховною Радою. Розуміючи це, "Народний фронт" і "Європейська солідарність" розробили законопроєкти №6688 і №6676, які повинні були легалізувати блокування вебресурсів. Але професійне співтовариство досить різко відреагувало на документи, й ухвалені вони не були.
Деякий час потому справа набула нових обертів. У 2019 року Печерський районний суд Києва задовольнив прохання з таким формулюванням: "Заарештувати права інтелектуальної власності, які виникають у користувача, коли він відвідує сайт/-и" (далі наводився список найменувань). Рішення було ухвалене судом і до 18-ти ресурсів доступ був заблокований. У списку опинилися такі відомі блог-платформи як enigma.ua та blogs.korrespondent.net. Причиною блокування, як повідомляла enigma.ua, слугувала публікація матеріалу В'ячеслава Ковтуна під заголовком "В Україні багато правоохоронців об'єднуються в ОЗУ для боротьби з правозахисниками". У матеріалі йшлося про фабрикацію справи українськими юристами та поліцейськими проти правозахисника, голови ГО "Всеукраїнська спілка народних реформ" Віктора Зайця. У проханні до суду якраз перераховувалися всі сайти, які передрукували цей матеріал.
Ще одним резонансним випадком стало рішення слідчого судді Голосіївського районного суду заблокувати доступ до 426 сайтів, враховуючи всесвітньо відомий GitHub. Тоді втручання міністра цифрової трансформації дозволило врятувати ресурс для айтішників від блокувань. Цікаво, що прохання, подане судді, мало те ж розлоге формулювання про "права інтелектуальної власності, що виникають" у користувачів.
Цей дивний набір слів досі є підставою для перекриття доступу до вебсторінок, коли це необхідно силовикам — тому що інших підстав зобов'язувати провайдерів робити це, крім як за рішенням суду, у правоохоронців немає. Справа в тому, що спиратися на закон "Про санкції" вони не можуть, тому що він рамковий — описує можливість введення санкцій, однак не описує механізму їх реалізації. Закон "Про телекомунікації" жодних блокувань не передбачає взагалі, крім випадків демонстрації дитячої порнографії, але на цьому — все. І тим не менше, рішення судами ухвалюються, а провайдерам доводиться підкорятися, інакше їх чекають величезні штрафи, репутаційні втрати й інші неприємності.
Чому формулювання, яке використовується в запитах на блокування сайтів, не має сенсу
Ми не чіпляємося до слів, а просто хочемо з'ясувати, що означає вигадлива фраза, яка веде до такого залізобетонного блокування ресурсів, скасування якого досягти вельми складно.
В оригіналі формулювання в проханнях і в рішеннях судів звучить так: "…накласти арешт на майнові права інтелектуальної власності, які виникають у користувачів мережі Internet під час використання вебресурсів (перелік яких наведений в цій ухвалі слідчого судді) шляхом зобов`язання закрити до них доступ інтернет-провайдерів, що здійснюють діяльність на території України".
За словами юриста Лабораторії цифрової безпеки Максима Дворового, значення цієї фрази незрозуміле, тому вона не може використовуватися як привід для винесення рішень судами про блокування веб-сторінок.
"Таке формулювання — повна нісенітниця. Зрозуміти її значення важко, оскільки ніхто не може напевно пояснити, яким чином можуть виникати якісь права у користувача під час відвідування сайтів. З точки зору стандартів обмеження прав людини і практики ЄСПЛ, формулювання не відповідає критерію "передбачуваності закону", а тому порушує свободу слова як власників заблокованих сайтів, так і користувачів", — говорить Максим.
Юрист також уточнив, що формулювання не міститься ні в одному законодавчому документі й було вигадане виключно судами. Як нам пояснив експерт із кібербезпеки Андрій Баранович, за фактом, вона означає, що той, хто подає прохання, просить суд дозволити вилучити сайт як речовий доказ, і щоб зробити це, попередньо потрібно його заблокувати.
Найгірше, що потерпілі не можуть оскаржити такі рішення. Позивачів, які подають зустрічні позови, — власників сайтів, провайдерів, громадські організації, — суди запевняють в тому, що вони не є стороною процесу. Мовляв, вас це не стосується — йдіть з миром. Це відкриває величезне поле для маніпуляцій.
Чому влада хоче контролювати Інтернет
Перш, ніж ми перейдемо до ризиків, давайте розберемося, чому силові структури України так сильно хочуть контролювати Інтернет. Андрій Баранович впевнений, що це робиться в трьох цілях: політичні / бізнес-маніпуляції, стеження і цензура.
"Вони хочуть стежити за користувачами всередині мережі, про що красномовно говорить законопроєкт "Про СБУ", що дає правоохоронцям нічим не обмежені повноваження, зокрема в Інтернеті", — говорить експерт.
Костянтин Корсун, експерт із комп'ютерної безпеки, в коментарі Фокусу зазначив, що побоюється ухвалення законопроєкту №3014 "Про електронні комунікації", статтею 121 якого в Україні на законних підставах пропонується створити СОРМ (СОРМ — система оперативно-розшукових заходів, — ред.), що дасть можливість спецслужбам не тільки вести прослуховування мобільних телефонів, але й "сканувати" Інтернет.
"Впровадження такої системи — це обмеження свободи слова. Ризик ще й у тому, що незрозуміло, як правоохоронці будуть розпоряджатися отриманою інформацією. Вони можуть використовувати її для ухвалення незаконних судових рішень, для шантажу, для продажу третім особам", — припускає Костянтин.
Що таке "реєстр заборонених сайтів" і чи буде він створений в Україні
Створення так званого "реєстру заборонених сайтів" — чергова спроба взяти Інтернет "на олівець", вважають експерти з кібербезпеки. Однак провайдерам вдалося домогтися діалогу з владою, внаслідок чого було ухвалене рішення про створення робочої групи з протидії інформаційним загрозам, куди увійшли всі провідні вітчизняні оператори електронних комунікацій, інтернет-провайдери, профільні громадські організації. З боку держави в робочій групі взяли участь представники Апарату РНБО, Служби безпеки, НКРЗІ, Держспецзв'язку, Держтелерадіо, Міністерства культури й інформаційної політики та Мінцифри.
В РНБО офіційно заявили, що ідею про створення "реєстру" вважають "застарілою і невиправданою". А тому запропонували зосередитися "на виробленні механізмів та алгоритмів дій для операторів телекомунікацій щодо виконання закону про санкції і захисту вітчизняного інформаційного простору".
"Напрацювання робочої групи будуть використані для внесення відповідних нормативних змін. При цьому буде врахований досвід демократичних країн світу, де існують і реалізовані такі механізми, які не обмежують права і свободи громадян, проте забезпечують високий рівень захисту від гібридних загроз", — йдеться в офіційному релізі РНБО. Від коментаря Фокусу в Раді відмовилися.
Ідея створення "реєстру" не просто застаріла, але ще й дурна, вважає Андрій Баранович. Як пояснив експерт, можна купити скільки завгодно доменів заблокованих вебресурсів, потім вписати IP-адреси будь-яких сайтів, які вам не подобаються, і вуаля — вони й будуть заблоковані. "У небезпеці можуть опинитися сайти стратегічно важливих інфраструктур країни або приватного бізнесу", — говорить він. Наслідки таких дій будуть катастрофічними: згадайте хоча б до якої кризи призвів злом американського трубопроводу Colonial Pipeline.
Експерти з кібербезпеки вважають, що цілями держструктур, що увійшли до складу робочої групи, є стеження, маніпуляції і цензура. При цьому ніяких виразних рішень влади поки не пропонують, хоча відбулося вже як мінімум дві зустрічі робочої групи.
Чому в Україні вирішили піти за російським сценарієм
Як повідомив член правління Інтернет Асоціації України Максим Тульєв Фокусу, в процесі першої зустрічі робочої групи, в якій брали участь представники великих операторів, ІнАУ та РНБО, з'ясувалося, що на сьогоднішній день в країні існує багато різних способів блокувань, проте несистемний підхід у цьому напрямку робить всі ці блокування неефективними. Тому оператори висловили бажання систематизувати процес, іншими словами, їм простіше буде працювати з умовним списком, куди будуть вноситися "погані" сайти.
"Це можна називати, як завгодно, але по суті — це реєстр заборонених сайтів, і самі оператори попросили його створити. Я був присутнім на зустрічі та сказав, що це погана ідея. Але після другого засідання робочої групи в розширеному складі, дійшли думки, що реєстр потрібен, адже з ним простіше працювати", — говорить Максим.
Цей сценарій вже давно обкатаний в РФ, де Роскомнадзор працює на основі ось таких "чорних списків", повідомив Тульєв. Спочатку російські чиновники заявляли, що переслідують благі цілі — заборонити контент типу дитячої порнографії, пропаганди самогубств, наркотиків, насильства. Але через якийсь час про ці цілі забули, і ввели масову політичну цензуру.
"На практиці реєстр дозволяє блокувати сайти оперативно й у великих обсягах", — підсумовує Максим Тульєв.
Хто оплатить за стеження за українцями
Андрій Баранович і Костянтин Корсун у коментарі Фокусу зазначають, що наразі блокування здійснюється за принципом "хто на що здатний": за DNS, за IP, за DPI, але цілісного підходу не було і немає. Тому й ефективність — не на вищому рівні. Така неузгодженість дій, наприклад, призводила до плутанини, коли без роботи опинилися сайти українських політсил (за іронією долі був заблокований ресурс партії "Європейська солідарність", яку очолює Петро Порошенко, який ініціював блокування).
Якщо підходити до питання про блокування системно, то найпростіше було б встановити обладнання DPI (Deep Packet Inspection), вважають експерти — воно дасть можливість провайдерам і держорганам обмежувати доступ до заборонених ресурсів, виявляти вторгнення в мережу та зупиняти поширення комп'ютерних вірусів, а також здійснювати мережевий моніторинг та аналіз трафіку в реальному часі (тобто — стежити за користувачами), вважають фахівці. Але в Україні досить багато великих операторів зв'язку, і поставити на них DPI за держрахунок — дуже дорога затія. Наприклад, Китай на свій файрвол витратив сотні мільйонів доларів, якщо не мільярди.
Україна — не Китай, і забезпечити провайдерів "чорними ящиками" не зможе, тому зобов'яже їх купити, встановити й обслуговувати самостійно. А оскільки в операторів зайвих грошей немає, платити доведеться користувачам — за нами будуть стежити за наші ж гроші, просто піднявши тарифи або податки, — вважають Андрій Баранович і Костянтин Корсун.
Чи врятує нас від кіберзагроз "великий український файрвол"?
Навіть якщо держава знайде гроші, створить єдину систему блокувань, юридично обґрунтує її існування та узаконить її діяльність, навряд чи вона нас врятує від кого б то не було. Тому що виникнуть такі проблеми.
- Проблема політичних маніпуляцій
"Створення файрволу марне і навіть шкідливе, — коментує Баранович. — Коли з'являється такий інструмент, спокуса скористатися ним у політичних цілях нездоланна. Наприклад, під час передвиборної гонки можна буде легко заблокувати сайти опозиціонерів або ЗМІ, які викривають певних людей в корупції".
- Проблема маніпуляцій в бізнес-сфері
Простота і доступність блокувань ресурсів негативно вплинуть на інвестиційний клімат у країні. Тільки уявіть: ви подаєте скаргу на сайт компанії-конкурента, його блокують і поки конкурент не погоджується з рішенням суду, вся його справа розвалюється. А ви — процвітаєте. Чи захочуть іноземні інвестори працювати в таких умовах? Звичайно, ні.
- Проблема індустрії хостингу
Український хостинг ризикує бути вбитим усіма цими обшуками та вилученнями обладнання "за рішенням суду". Згадайте нещодавній скандал довкола вилучення двох VPN-серверів Windscribe без будь-якого попередження з боку української влади… Якщо канадська компанія піде з нашого ринку — не дивуйтеся.
"Ситуація складається така, що скоро за хостинг в Україні, який приносив раніше хороші доходи, будуть давати не гроші, а по обличчю", — красномовно резюмує Андрій Баранович.