Фаєрвол проти хакерів чи онлайн-цензор?

Восени 2017-го громадські організації забили на сполох через низку законопроектів у сфері інформаційної та кібербезпеки, які могли створити передумови для цензури в інтернеті. Зокрема, законопроект 2126а «Про основні засади забезпечення кібербезпеки України» містив поправку Руслана Лук’янчука від «Народного фронту», яка пропонувала запровадити нове поняття «технологічна інформація» – інформація про всі технологічні процеси в будь-яких галузях господарства. За словами активістів, до «технологічної інформації» можна віднести будь-які дані, і, відповідно, їх засекретити, що фактично можна вважати цензурою.  (Детальніше про це читайте за посиланням.  Після протестів «правку Лук’янчука» все ж прибрали з тексту, законопроект ухвалили і в травні 2018-го він набув чинності.

Не менший спротив викликали законопроекти 6676 та 6688 із однаковою назвою «Про внесення змін до деяких законодавчих актів України щодо протидії загрозам національній безпеці в інформаційній сфері», які передбачають тимчасове блокування сайтів без рішення суду. І якщо 6676 був відкликаний, то 6688 в червні 2018-го таки включили в порядок денний сесії.

Що таке законопроект 6688

Законопроект 6688 авторства депутатів Івана Вінника (Блок Петра Порошенка), Дмитра Тимчука та Тетяни Чорновол (обоє – Народний фронт) має на меті, згідно з пояснювальною запискою, створити механізми запобігання кібератакам та ліквідації їх наслідків. Також тут ідеться про необхідність механізму блокування інформаційного ресурсу операторами та провайдерами для «забезпечення інформаційної безпеки та кібербезпеки».

Законопроект передбачає:

• Тимчасове блокування інформаційного ресурсу. Заблокувати ресурс зможе слідчий суддя під час досудового розслідування чи суд під час судового провадження. Проте, заблокувати його можна й без ухвали судді, за постановою слідчого чи прокурора у «невідкладних випадках, пов’язаних із врятуванням життя людей та запобіганням вчиненню тяжкого або особливо тяжкого злочину» – таке блокування триватиме максимум 48 годин.
• Створення Єдиного реєстру виконання судових рішень і застосування санкцій у сфері телекомунікацій. Вести такий реєстр має Національна комісія, що здійснює державне регулювання у сфері зв’язку та інформатизації. Сюди вносять заборонені в Україні сайти.
• Блокувати доступ до сайтів мають провайдери, які зобов’язані закупити для цього обладнання за власні кошти. Якщо оператори не виконають цих вимог, на них накладуть штраф у сумі 1% від річного доходу.
• Розширення поняття «технологічний тероризм»: сюди включається вплив на органи державної влади, а також привернення уваги громадськості до певних політичних, релігійних чи інших поглядів терориста.

Автори наполягають: треба посилювати кібербезпеку

Співавтор документа Іван Вінник зазначає, що законопроект з’явився як відповідь на кібератаку 2017 року, яку здійснили через систему електронного адміністрування ПДВ компанії M.E.Doc. «Наразі кіберполіція звітує про наявність загроз енергетичній безпеці, енергосистемам. Такі випадки в світі були. Ні для кого не секрет, що сьогодні система підтримки електромереж прив’язана до баз даних і програмного забезпечення. Таким чином, наприклад, у США такі випадки траплялися, коли після хакерських атак на автоматичну систему координації енергосистем вимикалися навіть атомні електростанції. Такі самі ризики існують сьогодні в Україні. Ми маємо проблему в тому, що в державі сьогодні не існує жодного примусового механізму, навіть у порядку кримінального провадження, блокування будь-яких ресурсів, через які можуть здійснюватися хакерські атаки», – розповів Вінник під час обговорення законопроекту в Інституті Горшеніна 3 липня.

Також він згадав про небезпеку пропаганди в журналістиці. «В інтернеті, особливо у передвиборний період, багато журналістики перетворюється на елементи пропаганди. Думаю, що всі тут чітко розуміють різницю між свободою слова та пропагандою, між журналістикою та умисними діями з метою створення певного світогляду у відповідної цільової аудиторії відповідно до мотивів замовника, те, що називається «джинса». Крім того, ми мали кричущу ситуацію, коли один з інтернет-ресурсів транслював парад у так званій «ДНР». Ми не мали ефективного методу протидії», – зазначив депутат.

Утім згодом запевнив, що в цьому законопроекті не йдеться про боротьбу з пропагандою, «хоч в українському законодавстві варто це врегулювати». За словами Вінника, тут ідеться про інформаційну діяльність яку можна кваліфікувати як державну зраду. «В Україні є стаття 111 ККУ «державна зрада» – умисні дії на шкоду державному суверенітету, територіальній цілісності, зокрема, там говориться про економічну й інформаційну безпеку. Також будь-які дії, пов’язані з пропагуванням російської агресії в Україні, навіть в інформаційному просторі, можуть бути кваліфіковані як державна зрада», – сказав депутат.

За його словами, блокування на 48 годин хочуть запровадити за аналогією із затриманням особи на 72 години для забезпечення кримінального провадження, до того, як їй оберуть запобіжний захід. «Після цього відбувається звернення до слідчого судді і виноситься відповідна ухвала про блокування ресурсу. У надзвичайних випадках, коли така ситуація може загрожувати життю та здоров’ю людини, коли вчиняється тяжкий чи особливо тяжкий злочин, так само як людину можуть затримати під час вчинення злочину, надається можливість на 48 годин заблокувати ресурс виключно на підставі клопотання слідчого, погодженого прокурором, з одночасним поданням слідчому судді відповідного проекту клопотання на винесення ухвали. Це тотожно, як і по відношенню до людини, яку можна затримати на місці скоєння злочину на 72 години, і українське суспільство з розумінням до цього ставиться», – каже Вінник.

Водночас депутат сказав, що розуміє неефективність таких обмежень, адже будь-яке блокування можна обійти. «Безумовно можна скористатися VPN, але це буде не системно, а перебуватиме на совісті окремо взятого користувача. Ми розуміємо, що інтернет не може бути заблокований системно, але певні принципи функціонування мають існувати», – каже він.

Правозахисники побоюються введення цензури

Українська Гельсінська спілка з прав людини та Харківська правозахисна група опублікували заяву, в якій закликають не голосувати за законопроект 6688, оскільки він «руйнує засади політичної свободи та демократії». За словами правозахисників, під запропоноване поняття технологічного тероризму підпадає будь-яка дискусія щодо рішень влади з метою впливу на ці рішення. Також звучить застереження, що рішення про те, заборонена інформація чи ні, прийматиме на власний розсуд слідчий, прокурор або суддя, максимальний строк блокування при цьому не обумовлюється. Заявники вбачають у цьому загрозу зловживання з боку держави та введення цензури в інтернеті. До того ж, додаткові витрати операторів на спеціальне обладнання призведуть до зростання тарифів для споживачів.

Крім того, коаліція «За вільний інтернет» підготувала юридичний аналіз законопроекту. Тут ідеться про те, що практично всі положення документа суперечать міжнародним зобов’язанням України у сфері прав людини. Наголошується, що органи влади можуть ухвалювати рішення про блокування ресурсів на власний розсуд через надто широке визначення підстав для цього, відсутність механізмів контролю та граничних термінів блокування. Автори зауважують, що пропоновані зміни встановлюють лише загальну підставу для блокування — поширення через ресурс інформації, з використанням якої вчиняються тяжкі або особливо тяжкі злочини», але не встановлюють інших засад їх застосування (суб’єкт, категорії злочинів, строки тощо).

«Формально під таке визначення, до прикладу, може потрапити розміщення у ЗМІ абсолютно законної інформації про запланований публічний захід, якщо вона використовується терористами для планування терористичних актів», – ідеться в тексті. Детальний аналіз можна прочитати за посиланням. Коаліція закликає не голосувати за проект закону, започаткувати діалог з експертами та правозахисниками щодо таких ініціатив.

Фахівці: блокування не врятує від кіберзагроз

Є сумніви, що наміри авторів законопроекту щодо захисту країни від кіберзагроз втіляться в життя. В Інтернет Асоціації України зазначили, що запропонована система блокування схожа на ту, яка діє в Російській Федерації, і несе ризики для критичної інфраструктури. «Список заблокованих сайтів має один недолік: будь-який адміністратор будь-якого такого сайту на свій розсуд зможе поміняти свою IP-адресу на сайт, скажімо, критичної інфраструктури України. І в цьому випадку цей ресурс виявиться заблокованим. Це вразливість саме російської системи цензури», – застеріг експерт ІнАУ Максим Тульєв.

Спікер Українського кіберальянсу Шон Таунсенд розповів Тижню, що блокування, прописані в проекті 6688, не спрацюють.

«Навіть якби блокування працювали ідеально, то часового проміжку між виявленням атаки і її закінченням просто не вистачить на те, щоб прийняти рішення про блокування і виконати його. Це технічно неможливо. У тих випадках, які згадав депутат Вінник (NotPetya, Blackenergy, атака на Держказначейство) блокування не тільки б не допомогли зупинити атаки, але можливо навіть погіршили б наслідки. Не кажучи вже про те, що реєстр сам по собі може використовуватися для руйнівних атак», – зазначив він.

За його словами, блокування в будь-якому вигляді відсутні у США, вони існують в деяких країнах ЄС, але зовсім інша юридична система, і є необхідні ресурси, щоб компенсувати витрати подібного регулювання.

«Я вважаю, що якщо потрібно, наприклад, заблокувати гральний сайт, то краще блокувати вхідні та вихідні платежі, а не сайти. Можна сайти знищувати, як це робить ФБР, можна вилучати сервери і домени, можна «заморожувати» акаунти, як це передбачено конвенцією з кіберзлочинності, але цензура руйнує сам Інтернет як такий і в технічному, і в соціальному плані. І якщо в ЄС подібний інструментарій використовується щодо грального бізнесу, то у нас він негайно стане засобом для нечесної конкуренції, монополізації ринків, політичної боротьби, і негайно буде використаний Росією для проведення масштабних кібератак – досить домогтися блокування ресурсу, а потім перенаправити його на критичну інфраструктуру», – зазначив Таунсенд.

На його погляд, інформаційній безпеці такі блокування теж не допоможуть із тих самих причин -прокурор фізично не встигне заблокувати умовну трансляцію параду в «ДНР».

«Крім того, рано чи пізно доведеться блокувати і Facebook, і Youtube, а це неможливо. У держави і так вже є важелі впливу на телекомпанії, статтю 109-2 ККУ (публічні заклики до насильницької зміни влади – Ред.) ніхто не скасовував, і можна винести каналу попередження про неприпустимість подібних трансляцій. Я вважаю, що в інформаційній сфері необхідно діяти економічними методами, тобто санкціями, щоб з виробниками «шкідливого» контенту неможливо було укласти договір, щоб не можна було ні отримати від них, ні відправити їм гроші, і формувати власну інформаційну політику, а не закопувати голову в пісок. Прикинутися, що подібного контенту «не існує» (а блокування може обійти найдальший від інтернету пенсіонер) – страусина позиція», – зазначив речник Кіберальянсу.

Пошуки компромісу

Іван Вінник сказав, що ознайомився з критикою законопроекту і в цілому з нею згоден. Він запропонував зацікавленим сторонам сформулювати нову редакцію визначення «технологічного тероризму», яка б не викликала застережень. Щодо підстав блокування ресурсів депутат пообіцяв уточнити, що мова йде виключно про провадження, відкриті за статтею про державну зраду. «Ми опишемо вичерпний перелік статей, за якими буде здійснюватися провадження», – зазначив Вінник.

Також, за його словами, можливо буде запропонована процедура добровільного зняття матеріалу, який загрожує інформаційній безпеці, перед тим як вдатися до примусових дій. «Наприклад, той самий сайт, який транслює парад у «ДНР», міг би отримати від уповноваженого органу пропозицію зняти відповідну новину чи стрім, і якщо це не було зроблено добровільно, тоді б ресурс міг бути заблокований в цілому. Критики говорять, що блокувати сайт, який існує десять років, за якусь одну новину, було б безпідставно», – сказав нардеп. Він додав, що пропозиції про блокування на 48 годин можливо будуть виключені, й обмежити доступ до ресурсу можна буде виключно за рішенням слідчого судді чи суду.

«Але в будь-якому випадку решта цього законопроекту, яка стосується протидії кібератакам і кіберзлочинам, абсолютно має право на життя і потребує регулювання. Тому я перекажу на комітеті сьогоднішню дискусію, перекажу застороги щодо інформаційної безпеки, що доцільно обмежити це певними статтями Кримінального кодексу, запропоную уточнити повноваження під час процесу розгляду відповідних подань, запропоную в тому числі однозначно визначити змагальний процес, хоча він, на мій погляд присутній у пропозиціях, ми як варіант пошуку компромісу можливо виключимо блокування без відповідної ухвали суду. Хоча ці всі компроміси не вирішують головної проблеми – що робити з ресурсами, які транслюють паради «ДНР»?», – сказав депутат. Він запевнив, що автори готові залучати експертів і доопрацьовувати законопроект до першого читання. Утім 4 липня Комітет Верховної Ради України з питань національної безпеки і оборони рекомендував парламенту ухвалити законопроект за основу, а нардеп Вінник запевнив, що зміни в текст будуть вноситися вже перед другим читанням.

Ганна Чабарай

Джерело