"Хуже, чем в России", или Как Рада хочет уничтожить свободу в Укрнете
Информационная безопасность или тотальная цензура? Чем угрожает интернет-пользователям скандальный законопроект №6688.
4 июля 2018 года парламентский комитет по вопросам нацбезопасности одобрил законопроект №6688 "О внесении изменений в некоторые законодательные акты Украины относительно противодействия угрозам национальной безопасности в информационной сфере", который был подан в Верховную Раду в июле 2017 года.
Авторы — народные депутаты Иван Винник, БПП, Дмитрий Тимчук и Татьяна Черновол, "Народный фронт".
Что скрывается под "противодействием угрозам нацбезопасности"?
Разрешение блокировок сайтов сроком на 48 часов по решению не только суда, но и представителей правоохранительных органов — следователей и прокуроров.
Установка провайдерами за свой счет специальных технических средств (DPI) для мониторинга интернет-трафика, которые позволяют следить за всем, что делают пользователи, и осуществлять блокировку.
Законопроект фактически предусматривает создание украинской версии Роскомнадзора посредством принуждения регулятора вести реестр блокировок и штрафовать неугодных провайдеров.
5 июля Верховная Рада вынесла законопроект на повестку дня, но большинством голосов его сняли с рассмотрения.
6 июля за поддержку этого проекта официально высказалась СБУ.
Уже на этой неделе законопроект может снова появиться на повестке дня.
ЭП объясняет, почему его нельзя принимать, и как это может отразиться на рядовых пользователях интернета.
Зачем и почему
Как утверждают авторы законопроекта, такое решение должно защитить украинских пользователей от кибератак, став одновременно и антивирусом, и фаерволом.
"Речь идет о возможности блокировки только на 48 часов. Это время дается для того, чтобы СБУ смогла получить решение суда. Сама такая возможность предоставляется для оперативной нейтрализации интернет-ресурса, откуда, например, рассылается вирус, то есть идет кибератака.
Если решения суда не будет, а блокировка стала следствием злоупотреблений какого-то должностного лица в СБУ — Уголовный кодекс никто не отменял. Ничто не мешает редакции СМИ подать в суд", — отмечает один из авторов законопроекта Дмитрий Тимчук.
Почему интернет-сообщество против
По утверждению экс-директора компании "Яндекс Украина" Сергея Петренко, дела обстоят совершенно иначе.
"Блокировка отдельных сайтов в принципе неэффективна в случае DDOS-атаки. В атаке участвует несколько миллионов узлов, не являющихся сайтами. Блокировка совершенно нерелевантна в случае вирусной атаки через почту. Зато она прекрасно подходит для цензуры и даже коррупционных действий", — отмечает он.
По словам Петренко, законопроект содержит широчайшие возможности для коррупции, поскольку деятельность любого сайта может быть прекращена без решения суда. Точно так же, как через проведение обыска по надуманным причинам может быть заблокирована деятельность компании.
"Можно только представить, какой ущерб экономике можно нанести блокированием сайта масштаба Rozetka.ua или Novaposhta.ua, и какую выгоду получить, предложив решить вопрос владельцу магазина размером поменьше", — подчеркивает он.
По его словам, технические решения, предлагаемые СБУ для реализации законопроекта, предусматривают грубейшие нарушения принципов сетевой безопасности путем установки на все пользовательские устройства глобального доверенного сертификата производителя DPI-решения.
"Это означает, что весь трафик будет шифроваться в два этапа: между устройством пользователя и комплексом DPI и между DPI и сайтом назначения. Это называется "атака Man-In-The-Middle" и означает, что комплекс DPI будет иметь доступ ко всему содержимому всего интернет-трафика в Украине", — объясняет Петренко.
Основатель IT-компании NetAssist Макс Тульев считает, что после этого с приватностью в сети можно будет попрощаться навсегда.
"От этого отказались даже в России, Беларуси и Китае. Некоторое время такая система работала в Казахстане, но из-за очевидных проблем от нее отказались и там", — отмечает Тульев.
Специалист по кибербезопасности Егор Папышев предупреждает о следующих последствиях.
Во-первых — жесточайшая цензура интернете. Хуже, чем в России. Блокировка ресурсов без суда, которую, скорее всего, не получится обойти.
Во-вторых — полная потеря анонимности. Никто не сможет пользоваться TOR-ом.
В-третьих — покупка оборудования и услуг за счет госбюджета у израильской компании Allot.
В-четвертых — детальный мониторинг траффика украинцев.
В-пятых — удорожание интернета и снижение скорости передачи данных — либо из-за проведения мониторинга траффика, либо в результате действий пользователей по обходу ограничений.
В-шестых — монополизация рынка.[L]
Насколько все это повысит кибербезопасность страны? По мнению Папышева, ни на сколько.
Участник и спикер "Украинского киберальянса" Шон Таунсенд отмечает: если закон примут, то следующим шагом будет запрет анонимизации.
Он выделяет такие последствия нового законопроекта:
— коррупционные риски (хочу передать пламенный привет поставщику оборудования на букву "А");
— коррупционные риски (включение сайтов в реестр за отдельную плату);
— ослабление информационной безопасности (пользователи будут искать пути обхода блокировок и не все они окажутся хорошими);
— нечестная конкуренция (заблокируй конкурента и пусть он потом доказывает, что "не верблюд");
— нечестная конкуренция номер два (крупные операторы будут использовать DPI, а мелким придется искать у них "крышу");
— дополнительные расходы для бизнеса (оборудование недешевое);
— снижение инвестиционной привлекательности Украины (никто не станет разворачивать проект в Украине, подобное уже случилось с хостингом);
— нарушение гражданских прав (цензура запрещена Конституцией, каждый имеет право на тайну переписки);
— угроза сетевой инфраструктуре (реестр — выключатель интернета, россияне им непременно воспользуются);
— закон, который легко обойти, ведет к неуважению к закону, отрицанию законности как принципа.
Кто может это сделать
Оба эксперта упоминают израильскую компанию Allot — известного поставщика DPI-решений.
Глава Интернет-ассоциации Украины Александр Федиенко также допускает, что "все сведут до технического решения одного из израильских вендоров по DPI-системам (Allot. — ЭП)".
Федиенко опубликовал фото слайдов одной из недавних конференций по кибербезопасности, ориентированной на представителей государственных органов. Это не первая конференция с участием компании Allot.
Таунсенд подтверждает, что именно о ней "поговаривали на профильных конференциях". К тому же, ее тестировали в Украине.
"Я точно знаю, что их сюда привели "за руку". Я точно знаю, что именно их решения активно обсуждают и лоббируют чиновники", — рассказал Папышев ЭП.
"Allot — ведущий в мире производитель решений для инспекции трафика. Их продукты действительно самые "продвинутые". Требования будут прописаны именно под этого вендора", — добавляет он.
Заместитель главы СБУ Олег Фролов после невнесения законопроекта в повестку дня проговорился журналистам, что уже есть договор с конкретным поставщиком DPI, однако его имя не назвал.
Что от этого украинцам
Опасаться стоит не только небольшим интернет-провайдерам, которые не смогут оплатить установку оборудования и выдержать конкуренцию, но и каждому украинскому пользователю.
"Принятие чудовища под названием "Законопроект 6688" приведет к болезненному повышению цены на услуги доступа к интернету. Провайдеров станет меньше, стоимость их услуг подскочит минимум вдвое.
За каждым провайдером будет наблюдать человек в погонах, в их офисах будет круглосуточно топтаться толпа правоохранителей всех мастей", — отмечает глава общественной организации "Украинская группа информационной безопасности" Константин Корсунь.
С ним соглашается и Федиенко.
"Из открытых источников я взял примерную стоимость DPI-решений. Например, если оператор пропускает через свои международные маршрутизаторы трафик на скорости 400 Мбит/с, это 5 тыс у. е. в базовой поставке, 1 Гбит/с — 22 у. е., 20 Гбит/с — 40 тыс у. е., 64 Гбит/с — 160 тыс у. е.
Это все так называемые разовые затраты оператора. Базовая поставка при конечной поставке может вырасти в полтора-два раза", — объясняет он.
"Если собрать существующие объемы поставляемого в Украину трафика, суммарно наибольшие 16 компаний в базовой комплектации должны будут заплатить 20-30 млн долл", — добавляет Федиенко.
По его подсчетам, для среднего провайдера такие системы будут стоить 1,8 млн долл в базовой комплектации или 80-90 млн долл — в расширенной.
Если ежемесячный оборот оператора составляет 8 млн грн, то на окупаемость уйдет полгода, а если решение будет стоить в два раза больше — годы.
"При этом оператору еще нужно модернизировать и ремонтировать сети, кабели как воровали, так и воруют. Тоже, кстати, элемент национальной безопасности", — отмечает Федиенко.
По его словам, возможна также модель, когда оператор для сокращения времени возврата затрат поднимет цены в три-шесть раз для всего населения.
"Принятие законопроекта приведет к росту стоимости доступа к сети, снижению скорости и уходу с рынка среднего класса, так как маржинальность провайдеров уже на грани окупаемости. Это путь к монополизации отрасли", — резюмирует Федиенко.
Таким образом, законопроект №6688 введет цензуру, будет отслеживать все действия пользователей в интернете и заставит их за это заплатить ради сомнительного улучшения информационной безопасности в стране.
"Беда не в том, что чиновники так опекают Allot. Беда в том, что они собираются внедрить механизм, который нивелирует частную жизнь в интернете и обеспечит эффективную цензуру. Теперь будет недостаточно включить TOR или VPN. Теперь придется изрядно поработать, чтобы обойти эти фильтры", — отмечает Папышев.