За останній місяць в Україні з'явилося відразу кілька ініціатив, що дозволяють державі ще пильніше стежити за приватним життям громадян. Чиновники намагаються встановити контроль над поширенням інформації в інтернеті та добути в операторів зв'язку більше даних про абонентів. В умовах війни такі заходи пояснюються необхідністю захищати інформаційний простір країни і викривати злочинців. Але чи виправдані вони насправді? І як далеко може зайти "великий брат"? Відповіді на ці питання шукало РБК-Україна.
З початком війни на сході України держава стала приділяти більше уваги питанню інформаційної безпеки. З'явилося ціле Міністерство інформації, яке відповідає за інформаційну політику. Фільми та серіали, які потрапляють на телеекрани, ретельно перевіряються Національною радою з питань телерадіомовлення на предмет пропаганди російських спецслужб. Чиновники також моніторять блоки новин українських телеканалів і радіостанцій на наявність в ефірі людей і висловлювань, які можуть нести загрозу інформаційній безпеці країни.
Якщо контролювати ТБ-простір у держави виходить, то інтернет, як і раніше, залишається тим місцем, де інформація поширюється безконтрольно. Спроби закрити сайти з контентом, який порушує закон, зазвичай провалюються і тільки створюють проблеми законослухняним компаніям. Наприклад, у квітні 2015 року у пошуках обладнання, на якому розміщувалося кілька сайтів сепаратистської спрямованості, СБУ вилучила сервера реєстратора доменних імен NIC.UA. На роботі сепаратистських сайтів це ніяк не позначилося, але при цьому постраждали десятки тисяч клієнтів реєстратора, включаючи державні установи та органи місцевого самоврядування.
Такі приклади не поодинокі і створюють резонанс у суспільстві. Правоохоронців звинувачують у некомпетентності і нанесенні збитку легальному бізнесу. Тому держава шукає більш легкі для себе шляхи "контролювати інтернет". А саме, намагається перекласти функції блокування контенту на постачальників інтернет-послуг - операторів і провайдерів.
На засіданні 10 березня Кабінет міністрів затвердив план заходів щодо реалізації стратегії кібербезпеки України, згідно з яким в державі буде впроваджено процедуру блокування сайтів інтернет-провайдерами за рішенням суду. Поки що мова не йде про конкретні терміни, у квітні МВС і Нацполіція лише повинні підготувати нормативну базу для такого рішення. Але провайдери вже б'ють на сполох.
Інтернет Асоціація України (ІнАУ), яка об'єднує більше 130 компаній, у своїй відкритій заяві назвала такі заходи інструментом політичної цензури. При цьому в асоціації вважають, що блокування сайтів провайдерами не допоможе боротися з поширенням незаконного контенту. Адже всі сучасні технічні методи інтернет-цензури легко обходяться шляхом налаштування стандартного програмного забезпечення на комп'ютері (VPN, TOR, Proxy і т. д.). Ті, хто шукає заборонений контент, знайдуть, як отримати доступ до нього - це показує практика і Китаю, і Росії, де інтернет-користувачі масово встановлюють програми-анонімайзери, щоб обійти цензуру.
Разом з тим програми для обходу цензури змінюють мережеві дані. Це означає, що при розслідуванні злочинів, скоєних за допомогою мережі, стане складніше обчислювати злочинців. В ІнАУ стверджують, що єдиним напрямком у світі, де інтернет-механізм цензури виявився ефективним - є вплив на широку громадську думку та електоральні уподобання населення за рахунок звуження кола поширення "небажаної" інформації. "Враховуючи вищесказане, ми схиляємося до висновку, що справжні цілі впровадження інтернет-цензури в Україні - суто створення політичної цензури. ІнАУ бажає бачити Україну у розвитку мережевих технологій поряд з такими країнами, як США, Японія, Німеччина, а не поруч з Росією, Іраном, Північною Кореєю", - йдеться у заяві асоціації.
Небажання провайдерів блокувати контент можна пояснити і ще однією причиною - економічною. Адже ідея уряду обійдеться не дешево. Як розповідає засновник київської мережі провайдера "Тріолан" Вадим Сидоренко, неможливо блокувати доступ до сайтів без аналізу трафіку. А відповідне обладнання, при обсягах "Тріолан" обійдеться йому в суму до мільйона доларів
Крім того, поява аналізаторів трафіку призведе до зменшення швидкості у абонентів. "Абонент не відразу буде потрапляти на ресурс, а тільки після того, як його трафік пройде аналіз", - пояснює Вадим Сидоренко.
Традиційно будь-яке збільшення витрат провайдерів лягає на плечі абонентів у вигляді підвищення абонплати. Виходить, що українці самі ж заплатять за зниження швидкості інтернету і "урізаний" доступ до інформації.
Держава хоче не просто контролювати поширення інформації в інтернеті, але і легко знаходити користувачів, які викладають у мережу заборонений контент. Згідно ухваленого Кабміном плану, вже цієї весни МВС, Нацполіція, СБУ і Мін'юст повинні підготувати свої пропозиції з імплементації в Україні конвенції кібербезпеки, яку наша держава ратифікувала ще у 2006 році. У конвенції йдеться, що країни, які її підписали, повинні вжити заходи по зберіганню і передачі компетентним органам комп'ютерних даних, включаючи дані про відвідувані користувачами сайти. Конвенція описує загальні підходи, але кожна країна сама вирішує, як їх імплементувати. "Ми не знаємо, які документи на виході будуть у нас", - говорить керівник телекомунікаційної компанії "ІМК" Олександр Федієнко. За його словами, зараз провайдери в Україні взагалі не зберігають у себе інформацію про користувачів. "Зараз оператор починає збирати дані про користувача тільки тоді, коли до нього приходить СБУ з відповідним судовим рішенням. Закон зобов'язує операторів встановлювати спеціальне обладнання для цього, але не зобов'язує самостійно купувати це обладнання і постійно збирати дані", - розповідає Федієнко. На його думку, існуюча схема взаємодії зі слідством чудово працює.
Він припускає, що у рамках імплементації конвенції операторів зобов'яжуть встановлювати на своїй мережі і за свої гроші обладнання для аналізу трафіку. Але, швидше за все, зобов'яжуть не всіх, а тільки тих, хто заводить трафік до України, тобто, великих операторів із власними зовнішніми інтернет-каналами. На цьому етапі може з'явитися корупційна складова: якщо, наприклад, операторів зобов'яжуть купувати обладнання в одного постачальника або платити за видачу дозволів, сертифікатів або інших "папірців". Тому, як вважає Федієнко, державі варто визначитися з методикою, які дані і як довго зберігати. А оператор вже сам вибере, яким чином і на якому обладнанні це буде робитися.
Набагато більш небезпечною ініціативою оператори і провайдери вважають законопроект №6079 про вирішення проблемних питань антитерористичної операції і посилення боротьби з тероризмом, який зараз перебуває на розгляді парламенту. Згідно цього законопроекту, оператори та провайдери повинні будуть видавати слідчому або прокурору персональні дані абонентів лише тільки за запитом. Це дані про тип наданих телекомунікаційних послуг (дзвінки, інтернет-доступ), їх тривалість, зміст, маршрути передавання інформації (наприклад, сайти, куди заходив користувач).
Зараз оператори надають слідству доступ до деяких з цих даних, але тільки за рішенням слідчого судді. Наприклад, оператори мобільного зв'язку зберігають інформацію про факти з'єднання за останні три роки. При цьому до змісту розмов і повідомлень у них взагалі немає доступу, така інформація ніде не зберігається.
Як розповіли у прес-службі оператора Vodafone Україна, видача рішення судді зазвичай займає два-три тижні. Законопроект дозволяє прокурору або слідчому отримати таке рішення постфактум. "Що буде з уже отриманими даними, якщо таке рішення не буде отримано?", - запитують у компанії. У разі відмови, відповідно до законопроекту, отримані дані не зможуть використовуватися як доказ у справі. Тим не менш весь цей механізм створює передумови для зловживання з боку слідчих і прокурорів, які безкарно зможуть отримати всю відому оператору інформацію про кожного абонента.
У законопроекті йдеться, що видача даних за запитом можлива у виняткових випадках, пов'язаних із врятуванням людей та протидією тяжким і особливо тяжким злочинам. Втім, як зауважують в Інтернет асоціації України, під це визначення потрапляє майже все кримінальне законодавство країни. "Ми тільки за боротьбу з тероризмом. Але ми проти того, щоб була позасудова практика", - говорить Федієнко.
Як вважають у компанії lifecell, у законопроекті необхідно прописати ті виняткові випадки боротьби з тероризмом, у яких дані про абонентів будуть розкриватися без рішення судді. Також необхідно ввести відповідальність за доступ до інформації у випадку, якщо дозвіл суду так і не буде видано.
Одночасно зі спробами залізти до інтернет-життя громадян чиновники "будують" власну інформаційну фортецю.
Затверджений Кабміном план передбачає побудову захищеного від кібератак дата-центру (ЦОДу) під потреби державних органів. Перш за все, для сектору безпеки і оборони, фінансового, енергетичного та транспортного секторів.
"Звичайно, дата-центри повинні бути невід'ємною частиною критичної інфраструктури держави. Але у даному випадку ЦОД - це остання "проблема" у всьому ланцюжку кібербезпеки держави", - вважає керівник компанії De Novo Максим Агєєв. За його словами, захист даних забезпечується на багатьох рівнях. Можна побудувати дуже надійний ЦОД, але перенести туди "кривий" додаток, який поставить всю безпеку під загрозу. "Наскільки мені відомо, левова частка інформаційних систем у державних органах діряві і старенні", - розповідає Агєєв. Він вважає, що шматок завдання, який стосується забезпечення роботи захищеного дата-центру, можна вирішити силами комерційних компаній на базі діючих дата-центрів. Це дало б величезну фору у часі і дозволило б заощадити державні гроші.
Про характеристики самого дата-центру, його архітектуру або завдання, які він повинен виконувати, у плані реалізації стратегії кібербезпеки нічого не вказано. Тому вартість такого проекту оцінити поки складно. Але, як вважає Агєєв, рахунок буде йти на десятки мільйонів доларів, а то й до сотні дійде.
Крім дата-центру, планується також створення та розвиток національної телекомунікаційної мережі та підключення до неї державних органів, відомств, організацій. Це повинно забезпечити кращий захист держвідомств від прослуховувань, хакерських атак і інших втручань до мережі. Але за фактом державні гроші можуть осісти у кишенях чиновників, як це траплялося раніше.
Справа у тому, що основа для державного оператора - телекомунікаційна мережа спеціального призначення - вже побудована компанією "Укртелеком". Ще до 2013 року "Укртелеком" повинен був передати цю мережу державі, яка, у свою чергу, повинна була забезпечити у держорганах технічну можливість роботи з цією мережею. Під ці потреби ще за часів президентства Віктора Януковича було виділено 220 млн гривень. Але інфраструктура так і не була збудована, а гроші "випарувалися". Таким чином, держава не змогла прийняти мережу спеціального призначення на свій баланс. За даним фактом порушено кримінальну справу про розкрадання держкоштів екс-президентом, а "Укртелеком" та Державна служба спеціального зв'язку та захисту інформації досі судяться за те, хто з них має добудовувати відсутню мережу доступу до телекоммережі спеціального призначення.
Ще один пункт плану по реалізації кіберстратегії - це стимулювання розробки в Україні свого програмного забезпечення аж до власної операційної системи. Як вважає керівник компанії Berezha Security і фахівець з інформаційної безпеки Влад Стиран, подібні ініціативи створюють передумови для "безглуздого розпилу" державний коштів. Адже у світі вистачає іменитих компаній, продукти яких могли б використовуватися для захисту кіберпростору України. І зовсім не обов'язково "винаходити велосипед".
Паралельно Кабмін збирається ввести заборону для компаній, пов'язаних з Росією, на участь у будь-яких заходах щодо забезпечення кібербезпеки України. Заборона на використання програмного забезпечення російських виробників в українських держорганах вже існує. Втім, за даними РБК-Україна, представники компаній з російськими коренями іноді беруть участь у захисті України від кібератак у якості консультантів.
В українській компанії "Zillya! Антивірус" вважають, що кращим стимулюванням розробки українських програм стане формування чесного і відкритого ринку, на якому компанії будуть готові боротися у рамках чітко прописаних стандартів за право продавати свій софт держорганам. "Створення програмних продуктів вимагає серйозних вкладень, ресурсів і часу. Наприклад, у такій сфері як антивірусний захист, лише за попередніми підрахунками, створення антивірусного софту корпоративного рівня з нуля або на базі українських розробок, може зайняти до 1,5-2 років і буде коштувати близько 1-2 млн доларів. Що несе за собою високі ризики окупності", - розповідає керівник відділу продажів і маркетингу "Zillya! Антивірус" Максим Сидоренко.
Він нагадує, що держава не перший рік декларує подібні наміри, у той же час поки що далі слів справа не заходить. Ось і зараз у Стратегії не йдеться про конкретні практичні кроки, досягнення результатів і отримання конкретного продукту на виході. Стратегія лише визначає те, що Державне агентство з питань електронного уряду і Адміністрація Держспецзв'язку повинні до другого кварталу "сформувати пропозиції" щодо держпідтримки розробки.