Чи з’являться в Україні кіберкордони

Жорсткий моніторинг інтернет-трафіку, обмеження права на доступ до інформації та корупційні ризики — в Україні можуть запровадити нові методи захисту від нещодавніх масштабних кібератак. Законодавчі ініціативи пропонують, зокрема, повторювати і російський репресивний досвід — стверджують представники телекомунікаційної галузі. Чи з’являться в українських користувачів інтернету кіберкордони — у матеріалі Громадського.

Кібербезпека: погляд з парламенту

У четвер 5 жовтня Верховна рада ухвалила в цілому законопроект  2126а «Про основні засади забезпечення кібербезпеки України». Більш ніж два роки тому його зареєструвала група депутатів на чолі з першим заступником голови комітету з питань інформатизації та зв’язку Русланом Лук’янчуком («Народний фронт»).

З того часу довкола документу не вщухають дискусії. У травні Рада направила його на повторне друге читання. Та після червневої кібератаки на його терміновому ухваленні почав наполягати голова РНБО Олександр Турчинов.

Законопроект, який у поточній редакції переважно окреслює основні завдання та принципи організації, протидії національним кіберзагрозам, мав бути розглянутий парламентом у перші пленарні дні, але його відклали через марафон голосувань щодо реформ.

Ухвалений закон вводить поняття об’єкту критичної інфраструктури — підприємства, установи чи організації, чия діяльність пов’язана із важливими технологічними процесами, порушення яких може становити загрозу національній безпеці.

Детальні критерії таких об’єктів має окремо встановити уряд, але за словами голови парламентського комітету з питань інформатизації Олександра Данченка до них мають бути віднесені, зокрема, залізниця, великі оператори зв’язку та банки, енергогенеруючі та енергорозподільчі компанії, тощо. IT-системи критичної інфраструктури мають бути захищеними державою від майбутніх кібератак.

ЧИТАЙТЕ ТАКОЖ «Система кіберзахисту в нас відсутня» — голова комітету з інформатизації та зв’язку

Законопроект також розмежовує повноваження та обов’язки держорганів у сфері кіберзахисту. Зокрема до компетенції СБУ відноситься боротьба з кібертероризмом, розслідування кібератак на державні електроні ресурси, негласна перевірка об’єктів критичної інфраструктури на готовність до нових атак.

При цьому пропонується запровадити незалежний аудит діяльності СБУ, Кіберполіції, Держспецзв’язку у сфері кібербезпеки. Звіт про проходження цього аудиту ці держоргани мають подавати до парламентських комітетів з питань нацбезпеки і оборони та з питань інформатизації та зв’язку.

Головне юридичне управління Верховної ради у своїх висновках вже розкритикувало цю норму, оскільки повноваження комітетів ВР не передбачають розгляд подібних звітів. Однак за словами Олександра Данченка, для нього цей пункт «є принциповим, оскільки забезпечить прозорість роботи держорганів».

Критики документу є і суміжних комітетах. Так, перша заступниця голови комітету з питань свободи слова та інформаційної політики Ольга Червакова ще в липні звертала увагу на те, що він вводить нове поняття «технологічної інформації» та пропонує засекретити таку інформацію «щодо окремих об’єктів». «Це може призвести до прямого порушення права громадян на вільний доступ до інформації», — пояснює депутатка.

В вересні у розмові з «Громадським» Олександр Данченко зазначив, що його колеги невірно трактували цей пункт законопроекту, пообіцяв виключити його під час розгляду в сесійній залі. Але врешті так цього і не зробив.

Як заповідав Кремль

«Прекрасним прикладом гібридної відповіді на гібридну загрозу» назвав радник президента Володимир Горбулін травневе рішення РНБО щодо заборони в Україні російських соцмереж.

Академік, який активно консультує голову держави щодо політичної стратегії ще в червні в своїй статі на «Дзеркалі тижня» доводив, що задля захисту від російської агресії українська влада має більш жорстко захищатись зокрема і в інформаційному полі.

Кібератака 27 червня, яка вивела з ладу IT-системи низки державних органів та стратегічних підприємств дала ще більше підстав для посилення контролю за інтернет-простором.

ЧИТАЙТЕ ТАКОЖ «Чорний вівторок» українського IT: яких збитків завдала кібератака, та хто її вчинив

30 серпня голова держави Петро Порошенко указом ввів в дію рішення Ради нацбезпеки і оборони щодо кібербезпеки. Його ухвалили іще в липні, через два тижні після кібератаки. Документ містить перелік першочергових доручень органам влади, щодо попередження майбутніх атак.

Зокрема, Держслужбі спеціального зв’язку та захисту інформації, головному органу, що відповідає за політику кіберзахисту, доручено за місяць розробити «вимоги до технічних засобів, що застосовуються для моніторингу блокування (обмеження) доступу до інформаційних ресурсів та/або інформаційних сервісів».

Мова йде про виконання травневого рішення Ради про блокування провайдерами російських інтернет-ресурсів, зокрема соцмереж . Ще тоді низка провайдерів заявили, що юридичний механізм виконання такої заборони відсутній. Деякі з них, наприклад, столичний Wnet відмовлялися блокувати російські соцмережі — після чого до їхнього офісу із обшуками приходили співробітники СБУ.

Радник президента Володимир Горбулін вважає, що українська влада має більш жорстко захищатись зокрема і в інформаційному полі Фото: Олександр Синиця/УНІАН

ЧИТАЙТЕ ТАКОЖ Три місяці без російських сайтів: Як заборона VK убила «ламповий» Facebook

Ідея моніторити, як провайдери блокують російські соцмережі обговорювалася ще з травня. «Довгий час Держспецзв’язку тримало проект документа у секреті, та ми домоглися винести його на громадське обговорення», — розповідає одна з головних телеком-лобісток країни Тетяна Попова, голова ради Телекомунікаійної палати України, об’єднання, до якого входять, зокрема, такі великі провайдери як «Воля» та «Датагруп».

23 серпня Держспецзв’язку опублікувало для громадського обговорення проект урядової постанови «Про реалізацію і моніторинг ефективності персональних спеціальних економічних та інших обмежувальних заходів (санкцій)». У документі йдеться про закупівлю за державні кошти та встановлення на мережах провайдерів спеціальних пристроїв, які б відстежували, як блокуються заборонені сайти.

Держспецзв’язку пропонує встановити подібні пристрої на мережах 15-ти операторів, які мають власні закордонні виходи. Перелік операторів не додається.

Опитані «Громадським» представники галузі побоюються такого проекту, зокрема вказуючи, що технічні засоби, про які у ньому йдеться можуть моніторити весь закордонний трафік українських інтернет-користувачів.

«Мова швидше за все про якесь DPI-рішення, яке дозволяє аналізувати не тільки заголовок пакету даних, а і його вміст, — пояснює Попова, — Отже така «чорна скринька» може не тільки «моніторити блокування», а й самостійно блокувати іноземні ресурси, окремий тип даних і багато всього іншого. Навіщо тоді моніторити? Нехай Держспецзв’язку саме й блокує».

Співрозмовники «Громадського» припускають, що для цього проекту можуть використати системи, подібні до російського СОРМ (система оперативно-розшукових заходів), інструменту, який дозволяє Роскомнадзору оперативно блокувати ресурси, які в Росії визнано «екстремістськими», а спецслужбам — безперервно мати доступ до трафіку, що проходить по мережах усіх провайдерів.

ЧИТАЙТЕ ТАКОЖ Технологічний тероризм: як депутати збираються запровадити цензуру в інтернеті

Перший заступник голови Держспецзв’язку Олександр Чаузов у телефонній розмові з «Громадським» не розкрив технічних подробиць майбутніх систем моніторингу, але підтвердив що їхня ідея «ближча до СОРМу».

«Громадське» звернулося до Держспецзв’язку із запитом щодо деталей проекту моніторингу виконання санкцій та готове опублікувати позицію держоргану.

Тим часом магістральні провайдери вже змушені працювати під пильним оком спецслужб. У вересні СБУ заявила про викриття «злочинної схеми маршурутизації трафіку», та провела обшуки в офісах понад десяти провайдерів у Києві, Харкові та Одесі.

Не розкриваючи подробиць справи прес-центр СБУ опублікував в якості доказу нібито протиправної діяльності провайдерів мапу українських  магістральних каналів зв’язку, які само собою заходять і на непідконтрольні території та мають з’єднання із російськими каналами зв’язку.

Нові провайдери для держави

Окрім контролю над трафіком приватних операторів, РНБО пропонує започаткувати і кілька нових державних IT-проектів.

Зокрема йдеться про створення захищеного центру обробки даних, в якому розмістять веб-сайти державних органів, бази даних та реєстрів, наприклад, судових рішень, електронних декларацій чи юридичних осіб.

Держспецзв’язку пропонує встановити на мережах провайдерів спеціальних пристроїв, які б відстежували, як блокуються заборонені сайти Фото: Володимир Гонтар/УНІАН

По-друге — про національну телекомунікаційну мережу. До неї планують підключити частину держорганів, перелік яких ще не розроблений. Також має запрацювати національний центр оперативно-технічного управління мережами зв’язку.

Розробку та впровадження цих проектів уряд може замовляти приватним компаніям — рішення РНБО дозволяє це робити. Всі проекти поєднають в державну IT-систему.

Ідея зберігання важливих для держави та громадян даних в єдиному дата-центрі не нова.

«Подібні державні дата-центри є у багатьох розвинених країнах і це необхідна умова для нормального функціонування електронного урядування і збереження інформації, що є державною власністю. За умови, якщо її потім не приватизують», — пояснює Іван Пєтухов, співвласник телеком-оператора «Адамант» та голова громадської спілки «Національна асамблея України».

Однак в Україні подібні проекти нерідко перетворювались на корупційні оборудки. Найсканадальнішою історією останніх років можна назвати дата-центр «Парковий», побудований в Києві фірмами близькими до оточення колишнього президента Віктора Януковича. Клієнтом «Паркового» стало держпідприємство «Укрпошта», чиї IT-системи належать до стратегічних. Джерела «Громадського» на IT-ринку розповідають, що планам «завести» на обслуговування у «Парковий» всі державні установи і підприємства завадила лише втеча Януковича.

Національна захищена телекомунікаційна мережа — теж добре забута ініціатива. Зокрема, згідно з умовами приватизації, окрему мережу конфіденційного зв’язку мав виділити для держави «Укртелеком» до 2014 року. Її створення навіть оплатили з державного бюджету — справу щодо незаконного витрачання 220 мільйонів гривень уже понад три роки розслідує Генпрокуратура.

Та врешті «Укртелеком», який зараз належить СКМ Ріната Ахметова, виконав вимоги досить оригінально, запропонувавши державі «віртуальну» мережу — не у вигляді окремих фізичних кабелів протягнутих між установами, а як виділені захищені канали у загальній мережі.

За словами Івана Пєтухова, останнім часом в Держслужбі спецзв’язку та захисту інформації, а потім і в РНБО обговорювалась ідея побудови нової державної мережі на окремих оптоволоконних лініях, які мали б бути проведені до кожної районної ради.

«Це коштувало б десятки мільярдів гривень», — додає експерт.

Безпечний «кишеньковий» оператор

Та зараз РНБО, судячи з тексту документа, не збирається повністю переводити держоргани на обслуговування в державній телекомунікаційній мережі. Послуги доступу до інтернету і надалі зможуть надавати приватні компанії, однак їх коло суттєво обмежиться.

У тексті рішення РНБО йдеться про ще одне доручення Уряду — в тримісячний термін «врегулювати питання» щодо заборони держорганам та держпідприємствам закуповувати послуги з доступу до інтернету у провайдерів, які не мають документів, що підтверджують відповідність «системи захисту інформації встановленим вимогам у сфері захисту інформації».

Голова парламентського комітету з питань інформатизації та зв’язку Олександр Данченко («Самопоміч») називає таку ініціативу «дивною». «З одного боку вона не розходиться із існуючою законодавчою базою, а з іншого — є грубим втручанням у господарську діяльність», — розповідає депутат.

Кілька опитаних «Громадським» експертів українського телеком-ринку порівнюють нововведення від РНБО із документами часів Леоніда Кучми, зокрема із указом президента 1998 року «Про деякі заходи щодо захисту інтересів держави в інформаційній сфері», яким право надавати державним органам послуги з підключення до «закордонних мереж передачі» даних надавалось лише трьом державним на той час компаніям — «Укртелекому», «Укркосмосу» та «Інфокому».

«Зараз, провайдерів, які мають сертифікат про відповідність згаданим у рішенні РНБО вимогам не набагато більше», — розповідає Тетяна Попова.

Іван Пєтухов, чия компанія «Адамант» має відповідний сертифікат, розповідає, що «встановлені вимоги у сфері захисту інформації» були розроблені Держспезв’язком ще в 2000-х роках і потребують від оператора встановлення певного захисного обладнання, наприклад для протидії DDOS-атакам.

«Але ці вимоги зовсім неадекватні сучасній ситуації на ринку, сучасним методам кібербезпеки. Та потенційно можуть дати змогу створити свого роду «кишенькового» оператора», — додає Олександр Данченко.

РНБО пропонує також створити захищений центр обробки даних, в якому розмістять веб-сайти державних органів, бази даних та реєстрів Фото: Євген Малолєтка/УНІАН

Спецслужби: більше повноважень чи підзвітність парламенту?

Кілька пунктів останнього рішення РНБО щодо кібербезпеки лишаються засекреченими навіть після публікації документа. Те саме було із попереднім рішенням «Про загрози кібербезпеці держави та невідкладні заходи з їх нейтралізації», ухваленим після грудневої кібератаки 2016 року, та введеного в дію в лютому 2017 року.

За інформацією співрозмовників «Громадського», знайомих із процесом ухвалення рішення Радою нацбезпеки і оборони, у засекречених пунктах можуть міститись доручення, зокрема для СБУ.

Роль і повноваження спецслужби у сфері кіберзахисту згідно бачення РНБО взагалі має значно посилитись. Зокрема, в останньому рішенні йдеться про необхідність змін до законодавства, які б розмежували кримінальну відповідальність та підслідність пересічних кіберзлочинів та атак на державні чи стратегічні інформаційні ресурси.

Кілька джерел «Громадського» у телекомунікаційній галузі пояснили, що мова йде швидше за все про передачу розслідування «важливих» кіберзлочинів від Кіберполіції до СБУ, яке обговорювалось в останні місяці.

Керівництво РНБО вважає, що повноваження спецслужби у сфері кіберзахисту має значно посилитись, а розслідування «важливих» кіберзлочинів може перейти від Кіберполіції до СБУ (на фото - секретар РНБО Олександр Турчинов (ліворуч) та голова СБУ Василь Грицак) Фото: УНІАН

У попередньому рішенні РНБО законодавчих нововедень, які б розширювали повноваження правоохоронців у боротьбі із кіберзлочинністю, було ще більше.

Пропонувалось заборонити використання на об’єктах критичної інфраструктури російського програмного забезпечення, встановити відповідальність за невиконання вимог СБУ та Держспецзв’язку у сфері кібербезпеки, розширити обов’язки операторів щодо співпраці з правоохоронцями у розкритті інформації про користувачів, впровадити ефективний механізм блокування «злочинних» інтернет-ресурсів.

Щоправда жодна із зазначених ініціатив досі не ухвалена. Зокрема, законопроект щодо блокування інтернет-сайтів навіть без рішення суду в останній тиждень роботи Ради безуспішно намагався проштовхнути секретар парламентського комітету з питань нацбезпеки і оборони Іван Вінник (фракція БПП).

Цього тижня у розмові з «Громадським» він зазначив, що не планує знову просувати цю ініціативу, адже «парламент до неї ще не готовий».

Підписуйтесь на наш канал в Telegram