как государство собирается следить за украинцами
За последний месяц в Украине появилось сразу несколько инициатив, позволяющих государству еще пристальнее следить за частной жизнью граждан. Чиновники пытаются установить контроль над распространением информации в интернете и добыть у операторов связи больше данных об абонентах. В условиях войны такие меры объясняются необходимостью защищать информационное пространство страны и вычислять преступников. Как далеко может зайти "Большой брат" – в материале РБК-Украина.
Блок-пост в интернете
С началом войны на востоке Украины государство стало уделять больше внимания вопросу информбезопасности. Появилось Министерство информации, отвечающее за информационную политику. Фильмы и сериалы, которые попадают на телеэкраны, тщательно проверяются Национальным советом по вопросам телерадиовещания на предмет пропаганды российских спецслужб. Чиновники также мониторят новостные блоки украинских телеканалов и радиостанций на наличие в эфире людей и высказываний, которые могут нести угрозу информационной безопасности страны.
Если контролировать ТВ-пространство у государства получается, то интернет по-прежнему остается тем местом, где информация распространяется бесконтрольно. Попытки закрыть сайты с контентом, нарушающим закон, обычно проваливаются и только создают проблемы законопослушным компаниям. Например, в апреле 2015 года в поисках оборудования, на котором размещалось несколько сайтов сепаратистской направленности, СБУ изъяла сервера регистратора доменных имен NIC.UA. На работе сепаратистских сайтов это никак не сказалось, но при этом пострадали десятки тысяч клиентов регистратора, включая государственные учреждения и органы местного самоуправления.
Такие примеры не единичны и создают резонанс в обществе. Правоохранителей обвиняют в некомпетентности и нанесении ущерба легальному бизнесу. Поэтому государство ищет более легкие для себя пути "контролировать интернет". А именно, пытается переложить функции по блокировке контента на поставщиков интернет-услуг - операторов и провайдеров.
На заседании 10 марта Кабинет министров утвердил план мероприятий по реализации стратегии кибербезопасности Украины, согласно которому в государстве будет внедрена процедура блокировки сайтов интернет-провайдерами по решению суда. Пока что речь не идет о конкретных сроках, в апреле МВД и Нацполиция лишь должны подготовить нормативную базу для такого решения. Но провайдеры уже бьют тревогу.
Интернет Ассоциация Украины (ИнАУ), объединяющая более 130 компаний, в своем открытом заявлении назвала такие меры инструментом политической цензуры. При этом в ассоциации считают, что блокировка сайтов провайдерами не поможет бороться с распространением незаконного контента. Ведь все современные технические методы интернет-цензуры легко обходятся путем настройки стандартного программного обеспечения на компьютере (VPN, TOR, Proxy и т.д.). Те, кто ищет запрещенный контент, найдут, как получить к нему доступ - это показывает практика и Китая, и России, где интернет-пользователи массово устанавливают программы-анонимайзеры, чтобы обойти цензуру.
Вместе с тем программы для обхода цензуры меняют сетевые данные. Это значит, что при расследовании преступлений, совершенных с помощью сети, станет сложнее вычислять преступников. В ИнАУ утверждают, что единственным направлением в мире, где интернет-механизм цензуры оказался эффективным, является влияние на широкое общественное мнение и электоральные предпочтения населения за счет сужения круга распространения "нежелательной" информации. "Учитывая вышесказанное, мы склоняемся к выводу, что истинные цели внедрения интернет-цензуры в Украине - сугубо создание политической цензуры. ИнАУ желает видеть Украину в развитии сетевых технологий рядом с такими странами, как США, Япония, Германия, а не рядом с Россией, Ираном, Северной Кореей", - говорится в заявлении ассоциации.
Нежелание провайдеров блокировать контент можно объяснить и еще одной причиной - экономической. Ведь затея правительства обойдется не дешево. Как рассказывает учредитель киевской сети провайдера "Триолан" Вадим Сидоренко, невозможно блокировать доступ к сайтам без анализа трафика. А соответствующее оборудование, при объемах "Триолана" обойдется ему в сумму до миллиона долларов.
Кроме того, появление анализаторов трафика приведет к уменьшению скорости у абонентов. "Абонент не сразу будет попадать на ресурс, а только после того, как его трафик пройдет анализ", - объясняет Вадим Сидоренко.
Традиционно любое увеличение затрат провайдеров ложится на плечи абонентов в виде повышения абонплаты. Получается, что украинцы сами же заплатят за снижение скорости интернета и "урезанный" доступ к информации.
Без суда и следствия
Государство хочет не просто контролировать распространение информации в интернете, но и легко вычислять пользователей, которые выкладывают в сеть запрещенный контент. Согласно принятому Кабмином плану, уже этой весной МВД, Нацполиция, СБУ и Минюст должны подготовить свои предложения по имплементации в Украине конвенции кибербезопасности, которую наше государство ратифицировало еще в 2006 году. В конвенции говорится, что страны, подписавшие ее, должны принять меры по хранению и передаче компетентным органам компьютерных данных, включая данные о посещаемых пользователями сайтах. Конвенция описывает общие подходы, но каждая страна сама решает, как их имплементировать. "Мы не знаем, какие документы на выходе будут у нас", - говорит руководитель телекоммуникационной компании "ИМК" Александр Федиенко. По его словам, сейчас провайдеры в Украине вообще не хранят у себя информацию о пользователях. "Сейчас оператор начинает собирать данные о пользователе только тогда, когда к нему приходит СБУ с соответствующим судебным решением. Закон обязывает операторов устанавливать специальное оборудование для этого, но не обязывает самостоятельно покупать это оборудование и постоянно собирать данные", - рассказывает Федиенко. По его мнению, существующая схема взаимодействия со следствием прекрасно работает.
Он предполагает, что в рамках имплементации конвенции операторов обяжут устанавливать на своей сети и за свои деньги оборудование для анализа трафика. Но, скорее всего, обяжут не всех, а только тех, кто заводит трафик в Украину, то есть, крупных операторов с собственными внешними интернет-каналами. На этом этапе может появиться коррупционная составляющая: если, например, операторов обяжут закупать оборудование у одного поставщика или платить за выдачу разрешений, сертификатов или других "бумажек". Поэтому, как считает Федиенко, государству стоит определиться с методикой, какие данные и как долго хранить. А оператор уже сам выберет, каким образом и на каком оборудовании это будет делаться.
Гораздо более опасной инициативой операторы и провайдеры считают законопроект №6079 о решении проблемных вопросов антитеррористической операции и усиления борьбы с терроризмом, который сейчас находится на рассмотрении парламента. Согласно этому законопроекту, операторы и провайдеры должны будут выдавать следователю или прокурору персональные данные абонентов всего лишь по запросу. Это данные о типе предоставленных телекоммуникационных услуг (звонки, интернет-доступ), их длительности, содержанию, маршрутах передачи информации (например, сайтах, куда заходил пользователь).
Сейчас операторы предоставляют следствию доступ к некоторым из этих данных, но только по решению следственного судьи. Например, операторы мобильной связи хранят информацию о фактах соединения за последние три года. При этом к содержанию разговоров и сообщений у них вообще доступа нет, такая информация нигде не хранится.
Как рассказали в пресс-службе оператора Vodafone Украина, выдача решения судьи обычно занимает две-три недели. Законопроект же позволяет прокурору или следователю получить такое решение постфактум. "Что будет с уже предоставленными данными, если такое решение не будет получено?", - спрашивают в компании. В случае отказа, согласно законопроекту, полученные данные не смогут использоваться как доказательство по делу. Тем не менее, весь этот механизм создает предпосылки для злоупотребления со стороны следователей и прокуроров, которые безнаказанно смогут получить всю известную оператору информацию о каждом абоненте.
В законопроекте говорится, что выдача данных по запросу возможна в исключительных случаях, связанных со спасением людей и противодействием тяжким и особо тяжким преступлениям. Впрочем, как замечают в Интернет ассоциации Украины, под это определение попадает почти все уголовное законодательство страны. "Мы только за борьбу с терроризмом. Но мы против того, чтобы была внесудебная практика", - говорит Федиенко.
Как считают в компании lifecell, в законопроекте необходимо прописать те исключительные случаи борьбы с терроризмом, в которых данные об абонентах будут раскрываться без решения судьи. Также необходимо ввести ответственность за доступ к информации в случае, если разрешение суда так и не будет выдано.
"Защищенный" интернет для государства
Одновременно с попытками залезть в интернет-жизнь граждан чиновники "строят" собственную информационную крепость.
Утвержденный Кабмином план предусматривает построение защищенного от кибератак дата-центра (ЦОДа) под нужды государственных органов. Прежде всего, для сектора безопасности и обороны, финансового, энергетического и транспортного секторов.
"Конечно, дата-центры должны быть неотъемлемой частью критической инфраструктуры государства. Но в данном случае ЦОД - это последняя "проблема" во всей цепочке кибербезопасности государства", - считает руководитель компании De Novo Максим Агеев.
По его словам, защита данных обеспечивается на многих уровнях. Можно построить очень надежный ЦОД, но перенести туда "кривое" приложение, которое поставит всю безопасность под угрозу. "Насколько мне известно, львиная доля информационных систем в государственных органах дырявые и ветхие", - рассказывает Агеев. Он считает, что кусок задачи, касающийся обеспечения работы защищенного дата-центра, можно решить силами коммерческих компаний на базе действующих дата-центров. Это дало бы огромную фору во времени и позволило бы сэкономить государственные деньги.
О характеристиках самого дата-центра, его архитектуре или задачах, которые он должен выполнять, в плане по реализации стратегии кибербезопасности ничего не говорится. Поэтому стоимость такого проекта оценить пока сложно. Но, как считает Агеев, счет будет идти на десятки миллионов долларов, а то и до сотни дойдет.
Помимо дата-центра, планируется также создание и развитие национальной телекоммуникационной сети, и подключение к ней государственных органов, ведомств, организаций. Это должен обеспечить лучшую защиту госведомств от прослушки, хакерских атак и других вмешательств в сеть. Но по факту государственные деньги могут осесть в карманах чиновников, как это случалось ранее.
Дело в том, что основа для государственного оператора - телекоммуникационная сеть специального назначения - уже построена компанией "Укртелеком". Еще до 2013 года "Укртелеком" должен был передать эту сеть государству, которое, в свою очередь, должно было обеспечить в госорганах техническую возможность работы с этой сетью. Под эти нужды еще во времена президентства Виктора Януковича было выделено 220 млн гривен. Но инфраструктура так и не была построена, а деньги "испарились". Таким образом, государство не смогло принять сеть специального назначения на свой баланс. По данному факту возбуждено уголовное дело о хищении госсредств экс-президентом, а "Укртелеком" и Государственная служба специальной связи и защиты информации до сих пор судятся за то, кто из них должен достраивать недостающую сеть доступа к телекомсети специального назначения.
Еще один пункт плана по реализации киберстратегии - это стимулирование разработки в Украине своего программного обеспечения вплоть до собственной операционной системы. Как считает руководитель компании Berezha Security и специалист по информационной безопасности Влад Стыран, подобные инициативы создают предпосылки для "бессмысленного распила" государственных средств. Ведь в мире достаточно именитых компаний, продукты которых могли бы использоваться для защиты киберпространства Украины. И совсем не обязательно "изобретать велосипед".
Параллельно Кабмин собирается ввести запрет для компаний, связанных с Россией, на участие в любых мероприятиях по обеспечению кибербезопасности Украины. Запрет на использование программного обеспечения российских производителей в украинских госорганах уже существует. Впрочем, по данным РБК-Украина, представители компаний с российскими корнями иногда участвуют в защите Украины от кибератак в качестве консультантов.
В украинской компании "Zillya! Антивирус" считают, что лучшим стимулированием разработки украинских программ станет формирование честного и открытого рынка, при котором компании будут готовы бороться в рамках четко прописанных стандартов за право продавать свой софт госорганам. "Создание программных продуктов требует серьезных вложений, ресурсов и времени. Например, в такой сфере как антивирусная защита, только по предварительным расчетам, создание антивирусного софта корпоративного уровня с нуля или на базе украинских разработок, может занять до 1,5-2 лет и будет стоить порядка 1-2 млн долларов. Что несет за собой высокие риски окупаемости", - рассказывает руководитель отдела продаж и маркетинга "Zillya! Антивирус" Максим Сидоренко.
Он напоминает, что государство не первый год декларирует подобные намерения, в то же время пока дальше слов дело не заходит. Вот и сейчас в Стратегии не говорится о конкретных практических шагах, достижении результатов и получении конкретного продукта на выходе. Стратегия только говорит о том, что Государственное агентство по вопросам электронного правительства и Администрация Госспецсвязи должны ко второму кварталу "сформировать предложения" по господдержке разработки.