Інформаційна безпека чи тотальна цензура? Чим загрожує інтернет-користувачам тоталітарний законопроект №6688.
4 липня 2018 року парламентський комітет з питань нацбезпеки схвалив законопроект №6688 “Про внесення змін до деяких законодавчих актів України щодо протидії загрозам національній безпеці в інформаційній сфері”, поданий до Верховної Ради у липні 2017 року.
Автори документа — народні депутати Іван Вінник, БПП, Дмитро Тимчук і Тетяна Чорновол, «Народний фронт».
Що ховається під «протидією загрозам національній безпеці»?
Дозвіл блокувати сайти на 48 годин за рішенням не тільки суду, а й представників правоохоронних органів — слідчих та прокурорів.
Установка провайдерами за власний кошт спеціальних технічних засобів (DPI) для моніторингу інтернет-трафіку, які дозволяють стежити за всім, що роблять користувачі, і здійснювати блокування.
Законопроект фактично передбачає створення української версії Роскомнагляду шляхом примушування регулятора вести реєстр блокувань і штрафувати провайдерів.
5 липня Верховна Рада винесла законопроект на порядок денний, але більшістю голосів він був знятий з розгляду.
6 липня за підтримку цього проекту офіційно висловилася СБУ.
Уже на цьому тижні законопроект може знову з’явитися на порядку денному.
Чому його не можна ухвалювати, і як це може позначитися на звичайних користувачах інтернету?
Навіщо і чому
Як стверджують автори законопроекту, таке рішення повинно захистити користувачів від кібератак, ставши одночасно і антивірусом, і фаєрволом.
«Мова йде про можливість блокування тільки на 48 годин. Цей час дається для того, щоб СБУ змогла отримати рішення суду. Така можливість надається для оперативної нейтралізації інтернет-ресурсу, звідки, наприклад, розсилається вірус.
Якщо рішення суду не буде, а блокування стало наслідком зловживань посадової особи СБУ, — Кримінальний кодекс ніхто не скасовував. Ніщо не заважає редакції ЗМІ подати до суду», — відзначає один з авторів законопроекту Дмитро Тимчук.
Чому інтернет-спільнота проти
Екс-директор компанії «Яндекс Україна» Сергій Петренко має іншу думку.
«Блокування окремих сайтів у разі DDOS-атаки неефективне. В атаці беруть участь кілька мільйонів вузлів, які не є сайтами. Блокування абсолютно нерелевантне в разі вірусної атаки через пошту. Зате воно прекрасно підходить для цензури і навіть для корупційних дій», — відзначає він.
За словами Петренка, проект містить широкі можливості для корупції, оскільки діяльність будь-якого сайту може бути припинена без рішення суду. Так само, як через обшук за надуманими причинами може бути заблокована робота компанії.
«Можна тільки уявити, яких збитків економіці може завдати блокування сайту масштабу Rozetka.ua або Novaposhta.ua, і яку вигоду можна отримати, запропонувавши вирішити питання власнику меншого магазину», — каже він.
За словами Петренка, рішення, запропоновані СБУ для реалізації законопроекту, містять грубі порушення принципів мережевої безпеки шляхом установки на всі пристрої глобального довіреного сертифікату виробника DPI-рішення.
«Це означає, що весь трафік буде шифруватися: спочатку — між пристроєм користувача і комплексом DPI, потім — між DPI і сайтом призначення. Це називається „атака Man-In-The-Middle“ й означає, що комплекс DPI матиме доступ до всього вмісту всього інтернет-трафіку в Україні», — пояснює Петренко.
Засновник IT-компанії NetAssist Макс Тульєв вважає, що після цього з приватними даними в мережі можна буде попрощатися назавжди. «Від цього відмовилися навіть Росія, Білорусь та Китай. Деякий час така система працювала в Казахстані, але через очевидні проблеми від неї відмовилися і там», — зазначає Тульєв.
Спеціаліст з кібербезпеки Єгор Папишев попереджає про такі наслідки.
По-перше — найжорстокіша цензура в інтернеті. Гірша, ніж у Росії. Блокування ресурсів без суду, яке, швидше за все, не вийде обійти.
По-друге — повна втрата анонімності. Ніхто не зможе користуватися TOR-ом.
По-третє — купівля обладнання і послуг за кошти держбюджету в ізраїльської компанії Allot.
По-четверте — детальний моніторинг трафіку українців.
По-п’яте — подорожчання інтернету і зниження швидкості передавання даних: через моніторинг трафіку або в результаті дій користувачів з обходу обмежень.
По-шосте — монополізація ринку.
Чи підвищить усе це кібербезпеку країни? На думку Папишева, ні.
Спікер «Українського кіберальянсу» Шон Таунсенд каже: якщо закон ухвалять, то новим кроком буде заборона анонімізації.
Він виділяє такі наслідки нового законопроекту:
— корупційні ризики (хочу передати полум’яний привіт постачальнику обладнання на літеру «А»);
— корупційні ризики (включення сайтів у реєстр за окрему плату);
— ослаблення інформаційної безпеки (користувачі шукатимуть шляхи обходу блокувань і не всі вони виявляться хорошими);
— нечесна конкуренція (заблокуй конкурента і нехай він потім доводить, що «не верблюд»);
— нечесна конкуренція номер два (великі оператори будуть використовувати DPI, а дрібним доведеться шукати у них «дах»);
— додаткові витрати для бізнесу (обладнання недешеве);
— зниження інвестиційної привабливості України (ніхто не стане розпочинати проекти в Україні, таке вже сталося з хостингом);
— порушення громадянських прав (цензура заборонена Конституцією, кожен має право на таємницю листування);
— загроза мережевій інфраструктурі (реєстр — вимикач інтернету, росіяни ним неодмінно скористаються);
— закон, який легко обійти, формує неповагу до закону, заперечення законності як принципу.
Хто може це зробити
Обидва експерти згадують ізраїльську компанію Allot — відомого постачальника DPI-рішень.
Глава Інтернет-асоціації України Олександр Федієнко теж допускає, що «все зведуть до рішення одного з ізраїльських вендорів з DPI-систем (Allot. — ред)». Він опублікував фото слайдів однієї з конференцій з кібербезпеки, орієнтованої на чиновників. Це не перша така конференція за участю компанії Allot.
Таунсенд підтверджує, що саме про неї говорили на профільних конференціях. До того ж, її продукти тестували в Україні.
«Я точно знаю, що їх сюди привели „за руку“. Саме їх рішення активно обговорюють і лобіюють чиновники. Allot — провідний у світі виробник рішень для інспекції трафіку. Їх продукти справді найкращі. Вимоги будуть прописані саме під цього вендора», — розповів Папишев ЕП.
Заступник глави СБУ Олег Фролов після невнесення законопроекту до порядку денного проговорився журналістам, що вже є договір з конкретним постачальником DPI, однак його ім’я не назвав.
Що від цього українцям
Остерігатися варто не лише невеликим інтернет-провайдерам, які не зможуть заплатити за обладнання і витримати конкуренцію, а й кожному користувачу.
«Ухвалення чудовиська під назвою „Законопроект 6688“ призведе до хворобливого підвищення ціни на послугу доступу до інтернету. Провайдерів стане менше, вартість їх послуг підскочить мінімум удвічі. За кожним провайдером буде спостерігати людина в погонах, у їх офісах буде цілодобово топтатися натовп правоохоронців», — каже голова громадської організації «Українська група інформаційної безпеки» Костянтин Корсунь. З ним погоджується і Федієнко.
«З відкритих джерел я взяв приблизну вартість DPI-рішень. Якщо оператор пропускає через свої міжнародні маршрутизатори трафік на швидкості 400 Мбіт/с, це 5 тис у. о. в базовій поставці, 1 Гбіт/с — 22 тис у. о., 20 Гбіт/с — 40 тис у. о., 64 Гбіт/с — 160 тис у. о. Це все так звані разові витрати оператора. Базова поставка при кінцевому постачанні може вирости в півтора-два рази», — пояснює він.
«Якщо зібрати всі обсяги трафіку України, сумарно найбільші 16 компаній в базовій комплектації повинні будуть заплатити 20-30 млн дол», — додає Федієнко. За його підрахунками, для середнього провайдера такі системи будуть коштувати 1,8 млн дол у базовій комплектації, 80-90 млн дол — в розширеній.
Якщо щомісячний оборот оператора становить 8 млн грн, то на окупність піде півроку, а якщо рішення буде коштувати удвічі більше — роки. «При цьому оператору ще потрібно модернізувати і ремонтувати мережі, кабелі як крали, так і крадуть. Теж, до речі, елемент національної безпеки», — зазначає Федієнко.
За його словами, можлива також модель, коли оператор для скорочення часу повернення витрат підніме ціни в три-шість разів для всього населення.
«Ухвалення проекту призведе до зростання вартості доступу до мережі, зниження швидкості і виходу з ринку середнього класу, бо маржинальність провайдерів уже на межі окупності. Це шлях до монополізації», — резюмує Федієнко.
Таким чином, проект №6688 введе цензуру, стежитиме за користувачами і змусить їх за це заплатити заради сумнівного поліпшення інформаційної безпеки в країні.
«Біда не в тому, що чиновники опікуються Allot. Біда в тому, що вони збираються запровадити механізм, який нівелює приватне життя в інтернеті і забезпечить ефективну цензуру. Тепер буде недостатньо увімкнути TOR або VPN. Тепер доведеться неабияк попрацювати, щоб обійти ці фільтри», — відзначає Папишев.
Аліна Полякрва, Національне бюро розслідувань України