Законопроект №6688 и что в нём плохого

По хорошему, мне бы здесь следовало начать со вступление, что это за законопроект такой и в чем он заключается, но этот случай, когда объяснять не надо — если вы не следите за происходящим вокруг, то самое время очнуться и начать это делать. Для живущих не в Украине все же коротко поясню, что ряд народных депутатов Украины под маркой борьбы за информационную безопасность еще в прошлом году придумала закон, дающий правоохранительным органам право блокировать на 48 часов любой сайт, по их мнению, представляющий угрозу, без какой-либо судебной процедуры, причем техническую возможность этого блокирования должны обеспечить провайдеры интернета. 

Уже то, как этот законопроект протаскивают на протяжении последнего года на рассмотрение Верховной Рады, говорит о том, что дело нечисто — его не смогли включить в повестку дня в прошлом году, его вдруг включили пару недель назад в повестку дня, вчера рассмотрели на комитете Рады по национальной безопасности, не провели через профильный комитет по вопросам защиты свободы слова и ночью включили в повестку дня сегодняшнего пленарного заседания. Правда, в итоге Рада отказалась рассматривать этот законопроект (с необычно большим количеством голосов «против», обычно депутаты просто не голосуют, если не голосуют «за»). Но успокаиваться рано.

Я немного пообщался на эту тему еще вчера и меня попросили сжато перечислить аргументы против принятия закона. Не уверен, что могу дать исчерпывающий список таких аргументов, но все же попробую, если вам покажется полезным, используйте, дополняйте, развивайте и объясняйте это депутатам, если есть возможность — все же они тоже люди и не факт, что могут с ходу разобраться во всех проблемах.

Законопроект возлагает на СБУ и прокуратуру право внесудебной блокировки сайтов на 48 часов, очевидно, предполагая, что соответствующие органы будут выполнять функции антивируса и файрволла в реальном времени. На практике с сетевыми угрозами гораздо лучше справляются существующие механизмы провайдеров и антивирусные программы. Блокировка отдельных сайтов в принципе неэффективна в случае с DDOS-атаками, когда в атаке участвует несколько миллионов узлов, не являющихся при этом вебсайтами, и совершенно нерелевантна в случае с вирусной атакой через почту. Зато она прекрасно подходит для цензуры и даже коррупционных действий, о которых далее.

Законопроект содержит широчайшие возможности для коррупции, поскольку деятельность любого вебсайта может быть прекращена без решения суда, точно так же, как путем проведения обыска по надуманным поводам может быть блокирована деятельность компании. Следует отметить, что ни по одному случаю обыска в IT-компаниях (включая очень громкие случаи, как-то Lucky Labs, Wnet, Интертелеком и Яндекс.Украина) дело не дошло ни до суда, ни до привлечения ответственности принимавших решения об обысках, при том, что в большинстве случаев имеются решения судов о возврате изъятого оборудования. Каковые решения соответствующие органы тоже совершенно безнаказанно саботируют. Отмечу, что в тексте законопроекта вообще ничего не сказано об ответственности принявшего внесудебное решение о блокировке, если, скажем, в дальнейшем суд отказывает в блокировке сайта. Как и об ответственности за саботирование такого решения — кто будет отвечать, если сайт остается недоступным более 48 часов без решения суда?

Можно только представить себе, какого порядка ущерб экономике страны можно нанести блокированием сайта масштаба Rozetka.ua или Novaposhta.ua. И какую выгоду получить, предложив решить вопрос «на месте» владельцу магазина размером поменьше.

Технические решения, предлагаемые СБУ, для реализации законопроекта, в частности, для фильтрации HTTPS-трафика, предусматривают грубейшие нарушения принципов сетевой безопасности путем установки на все пользовательские устройства глобального доверенного сертификата производителя DPI решения. На практике это означает, что весь трафик после установки такого решения будет шифроваться в два этапа — между устройством пользователя и комплексом DPI и между DPI и сайтом назначения. Это называется “атака Man-In-The-Middle” и означает, что комплекс DPI будет иметь доступ вообще ко всему содержимому всего интернет-трафика в Украине. Такое решение кратковременно внедрялось в Казахстане, но даже там протесты общественности заставили отказаться от него. Кроме того, подобное решение не будет поддержано разработчиками браузеров не из Украины (как это и было в случае с Казахстаном) — то есть 100% сайтов будут помечены как опасные из-за подмены сертификата, а многие, включившие HSTS, будут просто недоступны для посещения, — а никаких украинских браузеров в природе не существует.

Я не буду углубляться в то, интересы какого именно разработчика DPI-решения в данном случае лоббируют те, кто разработал проект и техническое решение, хотя много где называется и название компании и конкретные лоббисты её интересов. Но это, к сожалению, не единственный пример того, как под девизом «У нас тут война» принимается решение, продиктованное сугубо коммерческими и, поскольку речь идет о государственных чиновниках и депутатах, сугубо коррупционными интересами. А учитывая эпопею с запретами сервисов и платежных систем, мне начинает казаться, что никакими другими интересами никто руководствоваться и не собирается.

Зеркало украинского интернет-бизнеса

У АИНа неожиданно получился очень характерный проект «Купи стартап». Уже вышло несколько публикаций, суть которых проста — список проектов, которые их основатели предлагают купить за какие-то деньги. Есть какой-то набор показателей, который сообщается, можно писать нынешним владельцам — в-общем, жизнь начинает закипать и, думаю, редакция АИНа, когда запускала эту рубрику, ставила целью именно движуху.

А получилось лучше. Последний на данный момент выпуск рубрики показывает, что получилось этакое зеркало интернет-бизнеса, как его себе представляют украинские стартаперы.

Посмотрите внимательно — из 8 проектов только один является самодостаточным сервисом, у которого есть пользователи. Остальные семь — это интернет-магазины. Что такое интернет-магазин? Вообще-то, это бизнес. У бизнеса в сфере торговли есть какое-то юридическое оформление, отношения с поставщиками (в виде контрактов, например), отношения с покупателями, запасы товара, логистика, включающая как закупку, так и доставку товара покупателям, персонал в виде продавцов, курьеров, экспедиторов, бухгалтеров и бог знает кого еще. Что из этого предлагается создателями проектов, продаваемых на АИНе? Да практически ничего.

Нигде ни единым словом не упомянуты юридические вопросы — есть ли за этими проектами какие-то ООО, ЧП или хоть что-то, как они созданы, какие налоги платят, какую историю имеют. То есть по умолчанию предположим, что ничего этого нет и покупателю предстоит это всё соорудить самостоятельно.

Отношения с поставщиками? Несколько предложений включают в себя «контакты поставщиков». Ну так просто «контакты» собираются за пару часов поиска в интернете. Договоры с ними есть? Какие условия, какие цены?

Запасы товара? Одно предложение действительно их упоминает. Причем стоимость этих запасов составляет 2/3 от стоимости всего проекта. Ну, хоть честно.

Отношения с покупателями? Упоминается «база покупателей». Подозреваю, что база в меру случайная.

Логистика? Не смешите. Персонал вообще не упоминается.

Зато — и я совершенно этому не удивлен — в каждом предложении подробно рассказано, какой замечательный софт используется, на каком фреймворке велась разработка и даже предлагают доступ к статистике.

Не удивлён я потому, что все предложения — это не продажа бизнеса. Это продажа сайтов. Вот если у вас есть желание, то купите топор, то есть сайт, и сварите из него кашу — то есть бизнес. А то, что предлагается купить — это не бизнес. И печаль в том, что у очень многих «бизнесменов» понимание этого отсутствует. Зато присутствует святая уверенность, что можно наваять сайт магазина и это будет магазин. Спасибо АИНу, что собрал и продолжает собирать яркие примеры такого состояния.

Хорошо быть поисковиком

Такой вывод делает Business Insider из сопоставления финансовых показателей различных интернет-компаний, в частности, дохода с одного уникального пользователя.

Правда, не стоит забывать, что себестоимость обслуживания одного пользователя у поисковика заметно выше, чем аналогичный показатель у социальной сети. Поэтому стоит поздравить LinkedIn и Facebook, которые вполне успешно монетизируют свою аудиторию, при том, что подавляющее большинство пользователей в итоге сами себя и обслуживают.