Законопроект №6688 и что в нём плохого
По хорошему, мне бы здесь следовало начать со вступление, что это за законопроект такой и в чем он заключается, но этот случай, когда объяснять не надо — если вы не следите за происходящим вокруг, то самое время очнуться и начать это делать. Для живущих не в Украине все же коротко поясню, что ряд народных депутатов Украины под маркой борьбы за информационную безопасность еще в прошлом году придумала закон, дающий правоохранительным органам право блокировать на 48 часов любой сайт, по их мнению, представляющий угрозу, без какой-либо судебной процедуры, причем техническую возможность этого блокирования должны обеспечить провайдеры интернета.
Уже то, как этот законопроект протаскивают на протяжении последнего года на рассмотрение Верховной Рады, говорит о том, что дело нечисто — его не смогли включить в повестку дня в прошлом году, его вдруг включили пару недель назад в повестку дня, вчера рассмотрели на комитете Рады по национальной безопасности, не провели через профильный комитет по вопросам защиты свободы слова и ночью включили в повестку дня сегодняшнего пленарного заседания. Правда, в итоге Рада отказалась рассматривать этот законопроект (с необычно большим количеством голосов «против», обычно депутаты просто не голосуют, если не голосуют «за»). Но успокаиваться рано.
Я немного пообщался на эту тему еще вчера и меня попросили сжато перечислить аргументы против принятия закона. Не уверен, что могу дать исчерпывающий список таких аргументов, но все же попробую, если вам покажется полезным, используйте, дополняйте, развивайте и объясняйте это депутатам, если есть возможность — все же они тоже люди и не факт, что могут с ходу разобраться во всех проблемах.
Законопроект возлагает на СБУ и прокуратуру право внесудебной блокировки сайтов на 48 часов, очевидно, предполагая, что соответствующие органы будут выполнять функции антивируса и файрволла в реальном времени. На практике с сетевыми угрозами гораздо лучше справляются существующие механизмы провайдеров и антивирусные программы. Блокировка отдельных сайтов в принципе неэффективна в случае с DDOS-атаками, когда в атаке участвует несколько миллионов узлов, не являющихся при этом вебсайтами, и совершенно нерелевантна в случае с вирусной атакой через почту. Зато она прекрасно подходит для цензуры и даже коррупционных действий, о которых далее.
Законопроект содержит широчайшие возможности для коррупции, поскольку деятельность любого вебсайта может быть прекращена без решения суда, точно так же, как путем проведения обыска по надуманным поводам может быть блокирована деятельность компании. Следует отметить, что ни по одному случаю обыска в IT-компаниях (включая очень громкие случаи, как-то Lucky Labs, Wnet, Интертелеком и Яндекс.Украина) дело не дошло ни до суда, ни до привлечения ответственности принимавших решения об обысках, при том, что в большинстве случаев имеются решения судов о возврате изъятого оборудования. Каковые решения соответствующие органы тоже совершенно безнаказанно саботируют. Отмечу, что в тексте законопроекта вообще ничего не сказано об ответственности принявшего внесудебное решение о блокировке, если, скажем, в дальнейшем суд отказывает в блокировке сайта. Как и об ответственности за саботирование такого решения — кто будет отвечать, если сайт остается недоступным более 48 часов без решения суда?
Можно только представить себе, какого порядка ущерб экономике страны можно нанести блокированием сайта масштаба Rozetka.ua или Novaposhta.ua. И какую выгоду получить, предложив решить вопрос «на месте» владельцу магазина размером поменьше.
Технические решения, предлагаемые СБУ, для реализации законопроекта, в частности, для фильтрации HTTPS-трафика, предусматривают грубейшие нарушения принципов сетевой безопасности путем установки на все пользовательские устройства глобального доверенного сертификата производителя DPI решения. На практике это означает, что весь трафик после установки такого решения будет шифроваться в два этапа — между устройством пользователя и комплексом DPI и между DPI и сайтом назначения. Это называется “атака Man-In-The-Middle” и означает, что комплекс DPI будет иметь доступ вообще ко всему содержимому всего интернет-трафика в Украине. Такое решение кратковременно внедрялось в Казахстане, но даже там протесты общественности заставили отказаться от него. Кроме того, подобное решение не будет поддержано разработчиками браузеров не из Украины (как это и было в случае с Казахстаном) — то есть 100% сайтов будут помечены как опасные из-за подмены сертификата, а многие, включившие HSTS, будут просто недоступны для посещения, — а никаких украинских браузеров в природе не существует.
Я не буду углубляться в то, интересы какого именно разработчика DPI-решения в данном случае лоббируют те, кто разработал проект и техническое решение, хотя много где называется и название компании и конкретные лоббисты её интересов. Но это, к сожалению, не единственный пример того, как под девизом «У нас тут война» принимается решение, продиктованное сугубо коммерческими и, поскольку речь идет о государственных чиновниках и депутатах, сугубо коррупционными интересами. А учитывая эпопею с запретами сервисов и платежных систем, мне начинает казаться, что никакими другими интересами никто руководствоваться и не собирается.