20 лютого 2018 року на засіданні Національної комісії з регулювання сфери зв’язку та інформатизації (НКРЗІ) поміж десятка інших рішень був погоджений проект постанови Кабінету Міністрів України «Про реалізацію і моніторинг виконання персональних спеціальних економічних та інших обмежувальних заходів (санкцій) щодо припинення надання телекомунікаційних послуг». Проект постанови, текст якого Комісія так і не опублікувала, пропонував Кабміну погодити придбання та встановлення «технічних засобів», що мали б контролювати виконання указу Президента про блокування російських сервісів. Фактично, йдеться про те, щоб встановити на обладнання Інтернет-провайдерів технічні засоби контролю над трафіком — так звані «чорні коробочки». Провайдери та громадські організації, що займаються темою свободи в мережі, відгукнулися на цей документ спільною заявою про неприпустимість прийняття такої постанови. Але у відповідь отримали ще один документ — на цей раз проект Закону України «Про внесення змін до деяких законодавчих актів України щодо імплементації положень Конвенції про кіберзлочинність». Про що ж ідеться в цих документах і чи відповідають пропоновані зміни у законодавстві реальним викликам часу? Ми поговорили на цю тему з експертом Лабораторії цифрової безпеки Вадимом Гудимою.

Нещодавно в мережі з’явилися документи про державний контроль над Інтернетом. Хто є автором цих документів, про що в них ідеться і який у них статус?

Перше, що викликало занепокоєння серед правозахисників і активістів, які займаються свободою Інтернету, — це затвердження Національною комісією з регулювання сфери зв’язку та інформатизації (НКРЗІ) проекту Постанови Кабміну про встановлення технічних засобів контролю над Інтернетом. Такі ідеї пропонували вже досить давно, а відповідний законопроект навіть намагалися прийняти у Верховній Раді. Він провалився. А тепер можна говорити про спробу тихенько провести ці заходи через Кабмін, не залучаючи парламент.

Ідея проекту постанови в тому, щоб за рахунок бюджету встановити в операторів Інтернету технічні засоби контролю за трафіком. Офіційно це обґрунтовують виконанням Закону «Про санкції» й указу Президента про блокування російських сервісів (ВКонтакті, Яндекс тощо). За словами авторів, у нас досі є провайдери, які не блокують ці сайти, порушуючи указ1. І для того, щоб їх контролювати, нам треба встановлювати ці коробочки. Насправді ж для того, щоб проконтролювати провайдерів, ніяких спеціальних технічних засобів не потрібно. Треба просто стати їхнім користувачем, заплатити 100 грн. за підключення і подивитися, чи відкриваються заборонені веб-сайти.

Крім того, коли Лабораторія цифрової безпеки надіслала запит до Держспецзв’язку і поцікавилася, чи є якийсь технічний опис, що́ це мають бути за засоби контролю, і чи прописані їхні характеристики, нам відповіли, що такого опису наразі не існує. Тобто в ці коробочки можна запхати фактично все що завгодно.

Тому, напевне, справжня мета їх встановлення трохи інша. Технічні засоби, встановлені у провайдерів, можуть бути використані для блокування трафіку, вставляння програмного забезпечення в цей трафік, зміни контенту, який отримують користувачі, тимчасового блокування веб-сайтів, аналізу трафіку (хто куди заходить, хто що дивиться, хто майнить криптовалюту) та багатьох інших речей. Потенційні можливості у таких засобів дуже широкі. Тому загальний принцип, який підтримує Європа, такий: встановлення будь-яких технічних засобів — це удар по свободі інтернету, чим би його не виправдовували.

Хто контролюватиме ці коробочки? Хто матиме до них доступ?

Це теж незрозуміло. Офіційно це покладено на Держспецзв’язок і СБУ. До нього не матимуть доступ оператори, але точно матимуть спецслужби. 

Як це може відобразитися на провайдерах і на користувачах?

Поки що модель, яку вони вибрали, трохи відмінна від російської2. У Росії ці «чорні коробочки» встановлюють за кошт провайдера. Тобто там витрати переклали на провайдерів і користувачів. У нас, через те що провайдери були дуже активними й піднімали багато шуму, влада вирішила піти іншим способом — встановити їх за рахунок держбюджету. А як у нас працюють державні закупівлі і тендери — добре відомо. Я думаю, на закупівлі цих коробочок хтось іще добряче заробить. У результаті, за цей ніяк не обґрунтований, нікому не потрібний і малоефективний контроль будуть платити платники податків.

Але це була лише перша ластівка. Буквально через кілька днів після того, як низка громадських організацій підписали заяву про неприпустимість ухвалення такого проекту постанови, ми дізнаємося, що на наступному засіданні НКРЗІ затвердили ще й проект закону, під час читання якого волосся дибки стає. Формально він має на меті імплементацію європейської Конвенції про боротьбу з кіберзлочинністю. Але по факту це збірна солянка з не дуже хороших ідей кількох силових відомств про те, як краще контролювати Інтернет і як потенційно на цьому добре заробити.

По-перше, цей законопроект пропонує внести кілька змін до вже наявного законодавства, зокрема до кримінально-процесуального кодексу. І якщо перша частина цих змін має хоч якийсь зв’язок із конвенцією про кіберзлочинність і впорядковує питання трактування цифрових доказів у кримінальному процесі, то друга частина створює можливість блокувати веб-сайти за спрощеною процедурою — за рішенням слідчого судді. Ось що це означає: прокурор, або слідчий за погодженням прокурора, може скласти клопотання, у якому він звертається до слідчого судді з проханням заблокувати той чи інший сервіс. При чому тут ідеться не про нормальну судову процедуру. Нікого не викликають у суд. Немає змагальності, немає адвокатів. Ця процедура аналогічна тій, за якою зараз прокуратура і слідчі запитують у судді дозволи на проведення обшуків чи прослуховувань. Знаючи нашу судову систему, будь-який слідчий або прокурор може прийти до такого судді і попросити у нього заблокувати, наприклад, сайт «Української правди». І цей слідчий суддя у будь-якому районному суді може таке подання задовольнити, зобов’язавши провайдерів заблокувати ресурс.

З точки зору власника сайту це означає, що ні з того ні з сього твій сайт може виявитися заблокованим, а тобі треба йти з’ясовувати по судах, у чому може бути причина. Попередньо повідомляти тобі про блокування ніхто не зобов’язаний.

Сенс такого блокування в рамках кримінального провадження теж незрозумілий. Якщо йдеться про припинення кримінального правопорушення, то це ще можна зрозуміти. Але в другій частині йдеться про збір даних в межах досудового розслідування. Ще нічого не відомо, немає винних і не факт, що є постраждалі, але сервіс уже можна заблокувати. При чому на термін до 90 днів з продовженням до 3 років. Штука дуже абсурдна і небезпечна.

І це лише перша частина законопроекту. Друга частина набагато гірша. У ній запропонований перелік змін до Закону про телекомунікації. Автори законопроекту пропонують зобов’язати операторів, по-перше, зберігати користувацький трафік, а по-друге, збирати дані про кінцевих користувачів і зберігати їх протягом не менше 90 днів. Надалі цей термін можна буде регулювати додатковими нормативними актами — тобто не у Верховній Раді, а постановами Кабміну чи інших органів. При чому як це буде технічно реалізовано — не зрозуміло. По-третє — і це найгірше — законопроект пропонує блокувати веб-ресурси за приписом суб’єктів кібербезпеки. Тобто навіть без слідчого судді, без судового рішення, без жодної процедури. Просто за приписом. До суб’єктів кібербезпеки, які матимуть такі повноваження, законопроект відносить СБУ, Національну поліцію, Укрдержспецзв’язок, Міністерство оборони, Генштаб, розвідувальні служби і навіть Нацбанк.

Тобто всі ці суб’єкти, виходячи з власних мотивів, зможуть блокувати сайти без рішення суду?

Так, будь-який веб-сайт. Написати папірець, видати його провайдеру, і той змушений буде заблокувати його. Термін такого блокування напряму не прописаний. Немає нормальної процедури оскарження, немає чітко визначеного терміну блокування. Є перелік підстав, але, звісно, за потреби їх можна трактувати дуже широко.

Якщо, наприклад, сайт Цензор.нет забагато критикує керівництво Міністерства оборони, воно може у будь-який момент заблокувати сайт на невизначений термін виключно своїм приписом.

Це все дуже сильно нагадує те, що вже існує в Росії.

Це гірше ніж в Росії. Там хоча б існує єдина процедура. На додачу, автори законопроекту пропонують створити офіційний перелік заборонених сайтів і контролювати його технічними засобами, про які згадано у попередній постанові. 

У Росії це законодавство у сфері контролю над Інтернетом досить жорстке, але в реальності через суто технічні причини воно не працює так, як би хотілося державі. Утворилося величезне поле для корупції. Якщо раптом цей законопроект в такому вигляді все ж буде прийнятий, чи буде він реально працювати?

Якщо цю дурницю таки приймуть, то на початковому етапі точно буде купа проблем з впровадженням. Будуть абсурдні провали в роботі багатьох державних сервісів, адже  сам по собі закон з технічної і юридичної точок зору прописаний дуже криво. Але тут я закликаю не відмахуватись і не казати: «Вони все одно нічого не заблокують, у нас є VPN-и і TOR». Як показує практика наших сусідів — і не тільки росіян, а й Білорусі чи країн Середньої Азії — проходить рік-два, і державні служби набивають руку. Встановлюють правильніші протоколи, купують дорожчу техніку. Попри те, що цей процес супроводжуватиметься корупцією, рано чи пізно вони навчаться правильно і досить серйозно блокувати будь-які незручні їм сайти. Звісно, окремі технічно обізнані користувачі зможуть обходити це блокування. Також знайдуться окремі провайдери, що займатимуть свідому позицію і пробуватимуть боротися з цензурою. Але для більшості користувачів і провайдерів у плані свободи Інтернету, доступу до даних та недоторканності приватного життя від несанкціонованого втручання спецслужб ситуація суттєво погіршиться. Тому, на мою думку, такі речі треба зупиняти на тому етапі, поки вони ще не стали законом.

Я правильно розумію, що всі ці документи обґрунтовують зовнішньою загрозою? Наскільки нові правила, у разі їх затвердження, сприятимуть зменшенню цієї загрози?

Фактично, всі ці закони і постанови про контроль над Інтернетом не роблять майже нічого для вирішення реальних проблем інформаційної безпеки України. Тому що найбільші проблеми — не в користувацькому секторі Інтернету, не в тому, що будуть читати чи дивитися люди. Справжні проблеми — в самих державних службах, у тому, яким чином захищені їхні мережі та ресурси.

І як показує нам кампанія #FuckResponsibleDisclosure, ініційована хактивістами Українського кіберальянсу, які навіть нікого всерйоз не ламали, а просто намагалися перевірити державні служби на дотримання базових правил захисту мереж, ось там справжній жах. Будь-який школяр мимохідь може «дефейснути» державні веб-сайти чи викрасти розміщену там конфіденційну та секретну інформацію. При чому йдеться не лише про районні та сільські ради, а й про Державне казначейство, сайти національної поліції та мережі центральних органів державної влади. Проблема в тому, що для вирішення цих проблем необхідна довга систематична робота і залучення нормальних професіоналів. Чого, звісно, у нас ніхто не хоче робити, бо це вимагає кваліфікації та вкрасти на цьому значно важче. Натомість на встановленні незрозумілих технічних засобів контролю і наданні самим собі можливості закривати всіх по першому ж папірцю — на цьому заробити можна легко, й ентузіазму щодо таких нововведень у наших правоохоронців значно більше.

Ну, і не забуваємо, що скоро вибори. Можливість у потрібний момент хоча б на кілька днів заблокувати важливий опозиційний веб-сайт чи новиннєвий ресурс, який розміщує критичну інформацію — або навіть не блокувати, а змінити контент цього веб-сайту за власним бажанням — багатьом може здатися дуже корисною, особливо на тлі рейтингів політиків, які коливаються на межі статистичної похибки.

Попереднім законопроектам про кібербезпеку так і не вдалося пройти через Парламент. Тоді не вистачило буквально кількох голосів. Яка доля, на твою думку, чекає на нові документи? Чи мають вони шанси втілитися в реальність, особливо у тому вигляді, в якому вони є зараз?

У такому вигляді їх взагалі не можна подавати. Є окремі голоси, які кажуть: «Давайте їх переробимо або подамо на розгляд, а зміни внесемо вже у Парламенті». Проблема в тому, що чим далі вони просуваються по бюрократичній драбині, тим важче буде їх зупинити чи навіть змінити. Тому моя позиція полягає в тому, що в такому вигляді вносити ці документи взагалі не можна. Їх треба порвати на маленькі шматочки, спалити і забути про їхнє існування. Натомість розпочати широку громадську дискусію про те, як має відбуватися боротьба з реальною кіберзлочинністю в Україні і як розбудовувати систему кібербезпеки. 

Але чи є шанси, що вони таки будуть прийняті?

Шанси є. Під вибори багато хто з депутатів може спробувати вибити собі певні додаткові преференції від керівництва держави, проголосувавши за цей законопроект. Але навіть якщо закон не ухвалять, на прикладі першої постанови ми бачимо, що багато інструментів регулювання Інтернету намагаються протягнути через Кабмін та спеціалізовані органи, як от НКРЗІ, старанно ховаючи їх від громадськості. Тому я б закликав бути максимально уважним і не недооцінювати ризики їх ухвалення.

Примітки   [ + ]

1. Про правові аспекти блокування російських сервісів ви можете прочитати у статті «Не в контакті: як блокуватимуть російські сервіси» на нашому сайті.
2. Про російську систему СОРМ та досвід впровадження контролю над Інтернетом ви можете дізнатися зі статті «Свободный Интернет и слеза ребенка» на нашому сайті.