Захист чи цензура: чого слід чекати користувачам та бізнесу від закону про антифішинг

Наприкінці березня 2023 року народні депутати України внесли на розгляд до Верховної ради України проєкт закону "Про внесення змін до Закону України "Про електронні комунікації" (щодо протидії фішингу)" № 9250. У пояснювальній записці співавтори документу зазначають, що прийняттям цих змін до Закону буде "врегульовано питання протидії фішингу та протидії створенню кіберзлочинцями фішингових вебсайтів", а наслідком стане "захист громадян від шахраїв в мережі Інтернет". Але Інтернет Асоціація України (ІнАУ) з позицією народних обранців не згодна, адже вбачає у законопроєкті ризики, які можуть призвести до неправомірних діянь, що протирічать Конституції.

Сторони зібралися разом 19 травня 2023 року, щоб обговорити законопроєкт та, можливо, дійти згоди в рамках дискусії "Баланс безпеки – як захистити українських користувачів інтернету від фішингових атак". Що не так із запропонованими змінами до Закону "Про електронні комунікації" та чи варто через них хвилюватися користувачам, розбирався Фокус.

У чому небезпека фішингу для громанян

Фішинг — один з різновидів шахрайства в інтернеті, завдяки якому злочинці отримують доступ до конфіденційних даних користувачів — логінів та паролів. Маючи цю інформацію, вони легко можуть привласнити кошти з банківських карток, прочитати переписку, завантажити файли, які містять важливу інформацію тощо. Інформацію здобувають у простий спосіб: людині надходить лист чи повідомлення буцімто від банку або відомого бренду, який містить посилання на сайт, що зовні не відрізняється від сайту справжньої компанії. Також лист містить текст із закликом, що мотивує перейти за посиланням. Щойно людина клікає на посилання, вона потрапляє до рук шахраїв: на підробному сайті їй пропонують ввести свої логін та пароль задля отримання призу, чи вигідної пропозиції абощо. Людина, думаючи, що знаходиться на сайті банку чи відомої їй компанії, використовує саме ті логін і пароль, за якими вона реєструвалася насправді. Після цього зловмисники мають потрібну інформацію і можуть легко отримати доступ до акаунтів та банківських рахунків жертви

Як повідомляє Нацполіція, станом на 18 травня 2023 року викрито 56 зловмисників, які виманювали гроші у громадян України за допомогою фішингу. Всього їм вдалося привласнити близько 15 млн грн. Злодії розміщували в інтернеті посилання ніби-то на ресурси офіційних компаній, які займаються оформленням грошових виплат та продажем товарів на кшталт побутової техніки. Також вони були активними на торговельних онлайн-майданчиках, й видаючи себе за покупців, надсилали через месенджери фішингові посилання продавцям товарів. Ці посилання вели на шахрайські сайти, де потенційним жертвам пропонували ввести дані банківських карток для того, щоб ніби отримати гроші за проданий товар. Отримавши дані, шахраї виводили гроші жертв на свої рахунки.

Про що йдеться у законопроєкті № 9250

Саме із таким явищем, як фішинг, пропонують боротися народні обранці. Спираючись на пояснювальну записку, яку було додано до документу, на думку нардепів, прийняття законопроєкту № 9250 сприятиме протидії фішингу та кіберзлочинцям. Ми звернули увагу на те, що обґрунтування містить пункт про те, що "проблема фішингових атак та розроблення механізмів їх протидії є особливо актуальними"… "після російського широкомасштабного воєнного вторгнення на територію України 24 лютого 2022 року". Зазначимо, що проблема фішингу гостро стояла і до російського вторгнення — відтоді як люди отримали можливість оплачувати товари, послуги, перераховувати гроші за допомогою інтернет-сервісів.

В тексті законопроєкту йдеться про "надання повноваження центральному органу виконавчої влади у сферах електронних комунікацій та радіочастотного спектра (таким органом на сьогодні є Держспецзв'язку — ред.) розробити та затвердити на підставі пропозицій Національного банку України правила протидії фішингу та фішинговим вебсайтам, встановити права та обов’язків постачальників DNS" (DNS — Domain Name System, система доменних імен, яка містить дані про доменні імена та використовується для отримання IP-адрес комп'ютерів, мобільних пристроїв, інформації про маршрутизацію пошти та/або обслуговуючих вузлів для протоколів у домені, — ред.). Нацбанк тут фігурує тому, що, за словами Сергія Прокопенка, керівника управління забезпечення діяльності НКЦК служби з питань інформаційної та кібербезпеки Апарату РНБО України, саме цей держорган звернувся до Національного координаційного центру кібербезпеки (НКЦК) при РНБО, через проблему посилення фішингових атак, яких побільшало у фінансовому секторі після початку вторгнення ЗС РФ на територію України. Пізніше, у грудні 2022 року, було запущено систему фільтрації фішингових доменів у тестовому режимі.

Як працює система фільтрації фішингових доменів

Команда фахівців із кібербезпеки НБУ збирає фішингові домени, формує список та розміщує на DNS-сервері НКЦК, провайдер підключається до серверу та отримує доступ до списку, який постійно оновлюється. Потім оператор може перенаправляти клієнтів, які зайшли на сайт зі списку, на сторінку із попередженням, зазначив Прокопенко.

За його словами команда НБУ приймає рішення, який сайт фішинговий, а який ні — відповідно до регламенту. Він стверджує, що це пришвидшує процес фільтрації, адже фішингові сайти працюють недовго — годину-дві.

Наразі ошуканим громадянам радять звертатися до Кіберполіції. Стосовно власників сторінок, які було помилково позначено як фішингові, Прокопенко запевнив, що через сторінку-попередження можна позначити, що сайт не є фішинговим. Протягом 30 хвилин розглядають скаргу та перевіряють сайт. Якщо він дійсно не шахрайський, його видаляють зі списку. Так само працюють системи скарг у соцмережах, де користувачі можуть поскаржитися на неправомірний контент, а модератори, без усіляких судових рішень, перевірять його та заблокують (у випадку із випадково позначеним ресурсом — розблокують). У випадку, якщо скаржаться фішери, вони мають довести, що ресурс не збирає дані та не переправляє на інші сторінки, які не мають стосунку до офіційних компаній чи держорганів. Зазвичай зробити цього вони не можуть.

Позиція авторів "антифішингового" законопроєкту № 9250

Ці нововведення непокоять Інтернет Асоціації України (ІнАУ), яка просить перевірити, чи не порушує запропонований документ норми Кримінального процесуального кодексу України (КПК) та Кримінального кодексу України (КК).

У своєму дописі у Facebook народний депутат та співавтор законопроєкту "про фішинг" Олександр Федієнко написав, що на його думку держава повинна мати власний фішинговий DNS та навів як приклад литовський брандмауер DNS.

Принцип роботи такого державного фішингового DNS, за його словами, простий. Якщо працюватиме державний DNS, то користувачі зможуть захиститись від ресурсів, що потрапили до переліку небезпечних, та отримувати інформаційне повідомлення щодо їх шкоди. Але вирішувати, чи продовжити користуватися сервісом/сайтом, чи ні, громадяни будуть самотужки.

Щодо побоювань операторів, що система фільтрації фішингових доменів може стати механізмом цензури, нардеп відповів, — про блокування взагалі не йдеться. "Користувач отримує попередження, що це підробний сайт, а далі за власним бажанням може продовжити роботу з цим ресурсом", — додав він.

Під час дискусії "Баланс безпеки — як захистити українських користувачів інтернету від фішингових атак", яка пройшла 19 травня 2023 року в Києві, нардеп, а також представник Держспецзвязку, наголосили на тому, що фішинг наразі загрожує не лише громадянам, а є нацбеспеці, адже у такий спосіб часто атакуються й держоргани. Більше того, фішинг — це не лише про крадіжку грошей, а й про крадіжку інформації. Тому, на їх думку, необхідно вдосконалити Закон "Про електроні комунікації", який регулює роботу операторів, але в ІнАУ іншої думки.

Позиція Інтернет Асоціації України щодо законопроєкту № 9250

В ІнАУ, до складу якої входять 220 компаній у сфері ІКТ, виступили із різкою критикою законопроєкту про антифішинг. В Асоціації вважають, що надання Держспецзв'язку повноваження встановлювати правила протидії фішингу та визначати права та обов'язки постачальників DNS є правопорушенням. У відкритому листі до Верховної Ради України ІнАУ зазначила:

"…законопроєктом № 9250 встановлюється новий, не передбачений Конституцією вид неправомірного діяння, яке не стосується ні злочину, ні адміністративного чи дисциплінарного правопорушення".

Якщо законопроєкт буде прийнято, то Держспецзв'язку отримає право визначати основи відповідальності за правопорушення (фішинг) своїми підзаконними актами, натомість сам закон ці основи не визначатиме. Але справа у тому, що кримінальна відповідальність за "онлайн-злочини" регулюються КК статтями 361, 361-1, а статті КПК 200, 185, 190 визначають такі поняття, як "шахрайство", "крадіжка", "незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, електронними грошима, обладнанням для їх виготовлення" та встановлюють міру покарання за ці злодіяння. Отже, в ІнАУ вважають, що вдосконалювати необхідно саме КК та КПК, а не Закон "Про електронні комінікації". Понад те, як зазначив Михайло Коміссарук, член правління ІнАУ та голова наглядової ради "Укрнет", надання Держспецзв’язку повноважень "розроблення та затвердження правил протидії фішингу та фішинговим вебсайтам, встановлення прав та обов’язків постачальників DNS" порушує норми закону.

Асоціація відкрито каже про те, що за допомогою законопроєкту № 9250 можновладці хочуть зробити легальною систему блокування доменів. Вона діє в Україні з 2017 року, відколи президент Порошенко підписав указ про введення санкцій, що дозволяють блокувати будь-які веб-ресурси, про що Фокус писав раніше.

Пан Коміссарук вважає, що НБУ слід було звертатися не до НКЦК РНБО, а до кіберполіції та поліції, які борються із злочинцями, у тому числі в онлайні. Й для цього жодних правил від Держспецзв'язку та переліків заборонених сайтів не потрібно, вважає він.

"Сформована і працює позасудова система блокування доменів, яка роздається з серверів РНБО і обов'язкова для виконнаня усім провайдерам. Цей законопроєкт має на меті легалізувати цю злочинну схему та надати Держспецзв'язку повноваження поза законом. Але інтернет — атрибут свободи гідності, й українці вам цього не подарують", — звернувся він до представників держорганів під час дискусії.

Його думку підтримав президент ТОВ "Адамант" Іван Пєтухов, який порівняв систему фільтрації фішингових доменів із ідентичною, впровадженою в РФ.

"Цю систему побудовано на тих самих принципах, що і в країні-агресорі. У липні 2022 року Роскомнадзор опублікував рушення про те, що Центробанк РФ може блокувати сайти, так само робиться зараз й у нас. В Європі такими питаннями опікуються громадські організації, що співпрацюють з провайдерами", — наголосив він, а також додав, що є інші можливості та інструменти запобігання фішингу. Наприклад, встановлення спеціальних плагінів у браузери, які сповіщають про шахрайські стронінки.

На думку фахівців з ІнАУ, якщо "закон про фішинг" буде прийнято, то УАнет у широкому розумінні стикнеться із наступними ризиками:

• ризики для кібербезпеки держави, коли агресор, отримавши незаконний доступ до даної системи, може заблокувати в Україні доступ до веб-ресурсів мережі Інтернет;
• корупційні ризики, оскільки рішення про включення того чи іншого сайту до переліку заблокованих доменів приймаються пересічними чиновниками, що може призвести до блокування будь-яких сайтів з метою вимагання, рейдерства, іншого тиску;
• ризики для свободи слова, оскільки цей механізм може бути використаний для блокування будь-яких онлайн-медіа;
• ризики незаконного збору персональних даних.

На думку експерта з кібербезпеки Андрія Барановича, щойно зміни до закону "Про електронні комунікації" буде прийнято та "обкатано" технологію фішингового DNS, блокуватимуть таким чином "все підряд".

"І я не розумію чому боротися з фішингом повинні провайдери та регулятор, а не поліція. Можливо, в результаті частина провайдерів просто припинить підтримувати DNS для клієнтів", — підкреслив він.