Під час воєнного стану кіберзлочинів побільшало. За інформацією Національного банку України, у 2022 році було виявлено близько 4500 шахрайських, тобто фішингових ресурсів. Наприклад, це сайти, які можуть імітувати «Дію», «ПриватБанк», «єДопомогу», аптеки, СБУ, Генштаб тощо. Щоб отримати персональні дані, реквізити платіжних карток або паролів, вони надсилають повідомлення користувачам. Людина отримує повідомлення, наприклад, буцімто від банку, вводить свої дані для того, щоб увійти в особистий кабінет абощо, однак потрапляє на підставний сайт. Її логіни та паролі отримують шахраї та скористаються ними вже на справжній сторінці банку. Таким же чином можуть створювати фіктивні сайти для збирання коштів, донатів тощо.

• Читайте також: Росія збільшила кількість кібератак проти українців — спекулюють на патріотичних темах і виплатах

«З початком повномасштабної воєнної агресії це стало одним із напрямків гібридної війни Росії проти України. Адже десятки зловмисних груп, які проводять фішингові кампанії проти українських громадян, координують російські злочинці, а ФСБ покриває їхні дії», — сказав заступник Секретаря РНБО України Сергій Демедюк.

Ілюстрації взяті з презентації проєкту «Національний координаційний центр кібербезпеки» при Раді національної безпеки і оборони України та Національного банку України  

• Читайте також: Держспецзв'язку: Роботу російських хакерів та військових координують з єдиного воєнного центру

Держава вирішила боротися з цією проблемою на рівні провайдерів і почала впроваджувати систему фільтрації фішингових доменів (тобто фіктивних шахрайських сайтів). 30 січня Державна служба спеціального зв’язку та захисту інформації разом із Національним центром оперативно-технічного управління мережами телекомунікацій випустили розпорядження № 67/850, в якому зобов’язали всіх інтернет-провайдерів упродовж 30 днів зареєструватись у системі фільтрації фішингових доменів і надалі постійно фільтрувати їх. Це розпорядження в Інтернет-асоціації України (ІнАУ) розцінили як запровадження централізованого механізму автоматичного блокування доступу користувачів до необмеженого переліку інтернет-ресурсів.

Блокування сайтів провайдерів не є чимось новим. Адже російські сайти в Україні блокують ще з початку війни з Росією, коли був ухвалений закон «Про санкції». Наприклад, у 2017 році до санкційного списку потрапили російські соцмережі «Вконтакте» та «Однокласники», інтернет-портал «Яндекс» і поштовий сервіс «Mail.ru». Згодом були заблоковані російські державні телеканали, пошукові сервіси Webmoney тощо. Згідно зі звітом Лабораторії цифрової безпеки, за останні чотири роки указами президентів України Петра Порошенка та Володимира Зеленського було заблоковано 633 інтернет-ресурси. Після повномасштабного наступу Росії у 2022 році та запровадження воєнного стану блокувати сайти стали на підставі розпорядження Національного центру оперативно-технічного управління електронними комунікаційними мережами України при Держспецзв’язку. Такі розпорядження з’являються постійно.

Однак тепер ідеться про боротьбу не з російськими ресурсами — система протидії кібершахрайству спрямована саме на фінансовий сектор. Процедуру запускає Національний координаційний центр кібербезпеки при Раді національної безпеки і оборони України спільно з Національним банком України. Однак попри орієнтацію на фінансовий сектор, представники галузі вбачають ризики блокування й інших ресурсів.

ІнАУ звертає увагу, що система кожні 15 хвилин автоматично завантажує на сервер провайдера зі вказаного в розпорядженні ресурсу перелік інтернет-адрес для автоматичного блокування (стоп-лист). При цьому, за інформацією асоціації, під час спроби зайти на заборонений сайт провайдер фіксує IP-користувача, час дії.

«Інформація про користувача, який намагався зайти на "заборонені" ресурси, автоматично фіксується та передається до відповідних державних органів. І хоча систему запроваджують для протидії фішингу, вона може бути використана для блокування довільної кількості інтернет-ресурсів», — повідомляє ІнАУ.

В асоціації занепокоєні ризиками, які можуть виникнути в разі, якщо ворог отримає доступ до цього механізму. Там вважають, що «під приводом протидії фішинговим сайтам закладається потужна загроза, по суті "троянський кінь"». Тому ІнАУ надіслала звернення президенту України, секретарю РНБО, голові СБУ, начальникам ГШ ЗСУ і ГРУ МО про «неприйнятні ризики для національної безпеки України через запровадження системи автоматичного блокування інтернет-ресурсів».

У пресслужбі Національного координаційного центру кібербезпеки (НКЦК) при Раді національної безпеки і оборони України в коментарі «Детектору медіа» не погодились із тим, що їхній проєкт буде автоматично блокувати різні інтернет-ресурси. Зокрема, в центрі кібербезпеки кажуть, що за допомогою автоматизованих систем детально аналізують контент у кожному окремому випадку. Система може реагувати на різні обставини та фактори. Наприклад, хибне доменне ім’я, подібне до офіційного імені банків, фінансових установ, що можуть використовувати зловмисники; сайти з фейковими сертифікатами; сайти з підозрілим контентом, який дублює інформацію з офіційного першоджерела.

«Якщо сайт помилково буде перенаправлено на попередження про фішинг, його власник завжди може написати листа на електронну адресу, зазначену на сторінці з попередженням. Оновлення системи відбувається кожні 15 хвилин, після чого сайт знову стане доступним для користувачів», — зазначили у пресслужбі центру.

При цьому додали, що у списках будуть тільки фінансові фішингові сайти, адже метою є саме захист інтересів громадян у фінансовому секторі та посилення кібербезпеки фінансового сектору в цілому. Так само НКЦК запевняє, що доступ до кожного домену, який система визначила як фішинговий, має кожен провайдер, що приєднався до системи.

«Зараз також розробляється підтвердження по факту внесення фішингового сайта до системи — зі скриншотом та ip-адресою в момент виявлення. Усе це буде доступне для провайдерів, нічого прихованого немає», — зазначили в центрі.

НКЦК відкидає і звинувачення у тому, що завдяки системі збираються персональні дані користувачів, які передаються «до відповідних державних органів».

«Protective DNS не збирає жодних персональних даних користувачів, які намагаються перейти на фішинговий сайт. Система лише перенаправляє на сторінку з попередженням, що сайт є фішинговим, та рекомендаціями з кібергігієни. З метою виявлення та протидії рекламним кампаніям зловмисників реєструються лише технічні дані, наприклад, referer», — кажуть у центрі.

• Читайте також: Кібервійна проти України: Держспецзв'язку дослідила мотивацію, методи та інструменти російських хакерів

Однак попри це експерти також вбачають ризики не лише в самій процедурі, але і в повноваженнях Національного центру оперативно-технічного управління мережами  телекомунікацій при Держспецзв’язку, який видає розпорядження про блокування інтернет-ресурсів. Адже таким чином створюється прецедент фільтрації контенту в Україні.

Олександр Федієнко, заступник голови комітету Верховної Ради України з питань цифрової трансформації, оцінюючи розпорядження, зазначив, що воно встановлює для провайдерів додаткові обов’язки у відносинах, які не визначені та не регулюються Законом України «Про електронні комунікації». Тому, на його думку, «без законодавчих змін такі постанови юридично мають досить сумнівні ознаки».

«Я завжди був та є проти будь-якого технічного блокування в інтернеті. Ці методи — атавізм, який не працює. Але хочу нагадати, що зараз іде вже повномасштабна війна (і навіть в інформпросторі), не всі громадяни нашої країни мають критичне мислення у сприйнятті інформації», — написав Олександр Федієнко на своїй фейсбук-сторінці.

Він нагадав, що коли на початку повномасштабної війни впровадили обмеження доступу до російських мереж, це давало свій результат, але недовго, бо тоді росіяни переналаштувалися на телеграм-канали.

Він переконаний, що запропонована система блокувань працюватиме, але при цьому будуть значні ризики. Щоби проілюструвати їх, депутат навів приклад, як завдяки запровадженим інструментам можна розгорнути атаку на власні інформаційні ресурси:

«Наприклад, беремо сайт КМУ, дивимося його публічні DNS-сервери: nserver: ns.kmu.gov.ua, nserver: ns2.adamant.net, nserver: ns1.datagroup.kharkov.com. Далі — без технічних подробиць — знаходимо в доменній зоні gov.ua закинуті домени. Дивимося, де розміщено домен вище, і подаємо самі на себе скаргу, що це фішинг, або, змінивши записи ІР, на той же сайт, що вище, розгортаємо атаку через інструменти, які самі запровадили, на власні інформаційні ресурси. Це дуже стисло, але кому треба — мене зрозуміють».

Тому він вирішив ініціювати нараду та обговорити з представниками РНБО та НЦУ практичну роботу цієї системи.

Максим Дворовий, керівник напряму «Цифрові права» «Лабораторії цифрової безпеки», вважає: попри те, що в розпорядженні передбачено обмеження доступу саме для фішингових сайтів і воно не стосується сайтів, які поширюють дезінформацію, пропаганду тощо, фактичних механізмів контролювати, які сайти вноситимуть до списку, немає.

«Тому ризики надмірного блокування виникають, і за умов воєнного стану так само виникають сумніви щодо того, що їх можна буде оскаржити», — сказав він у коментарі «Детектору медіа».

Максим Дворовий також вважає, що в законодавстві мають бути закріплені повноваження Національного центру оперативно-технічного управління мережами  телекомунікацій при Держспецзв’язку, який видає розпорядження про блокування інтернет-ресурсів, або можливі межі його дискреції (розв'язання посадовою особою або державним органом будь-якого питання на власний розсуд). Це покращило би ситуацію з передбачуваністю діяльності Центру.

«Стосовно повноважень НЦУ, то норми закону "Про електронні комунікації" сформульовані таким чином, що вони не обмежують компетенцію НЦУ видавати розпорядження, які провайдер обов'язково має виконувати. Я можу зрозуміти, для чого потрібна ця дискреція, адже неможливо передбачити, що може статися під час воєнного стану. Але ця дискреція заходить занадто далеко. Повноваження з фільтрації фішингових доменів, які не надто стосуються до воєнного стану, намагаються впроваджувати саме під таким соусом», — додав він.

• Читайте також: 25 мільйонів кібератак щомісяця. Як Росія намагається зашкодити Україні в цифровому просторі

Медіаюристка «Платформи прав людини» Людмила Опришко в коментарі «Детектору медіа» також висловила занепокоєння через розпорядження про впровадження системи фільтрації фішингових доменів. На її думку, запровадження подібних процедур може започаткувати систему фільтрації контенту в Україні, що дуже небезпечно для прав людини.

«Одразу хочу наголосити, що я за боротьбу з фішинговими вебресурсами, які шахраї використовують для неправомірного збагачення та заподіяння іншої шкоди. Але це не означає, що в такій справі будь-які засоби є доречними. На мій погляд, видаючи таке розпорядження, НЦУ виходить за межі своєї компетенції забезпечувати оперативно-технічне управління електронними комунікаційними мережами України в умовах воєнного стану, оскільки впровадження фільтрації вебресурсів є не лише технічним питанням, але й змістовним», — переконана медіаюристка.

Вона підкреслює, що розпорядження не є законом, і тому, на її думку, не можна вважати, що впровадження фільтрації в такий спосіб відповідатиме статті 10 Європейської Конвенції про захист прав людини і основоположних свобод:

«Навіть відступ України від зобов’язань через війну моєї думки не змінює, бо впровадження фільтрації не обмежується лише воєнним станом і не спрямоване на розв'язання питань, пов’язаних саме з війною. Бо фішингові сайти існують і в мирні часи».

• Читайте також: Війна у цифровому вимірі та права людини: рівняння з багатьма невідомими

Як і Максим Дворовий, Людмила Опришко звертає увагу на те, що у згаданому розпорядженні не описано жодних способів, як громадськість може контролювати законність обмеження доступу до вебресурсів. Системи блокування і фільтрації, за її словами, вважаються недемократичними, тому до їх впровадження треба підходити обережно:

«Перш ніж впроваджувати фільтрацію, необхідно переконатися, що інших засобів вплинути на ситуацію немає, вивчити досвід інших демократичних країн».