Специалист в сфере кибербезопасности Егор Папышев: Под соусом борьбы с вирусами у нас вводят цензуру, а не борются с врагом извне

Специалист в сфере кибербезопасности Егор Папышев в интервью УНИАН рассказал, почему скандальный законопроект №6688 не имеет никакого отношения к борьбе с кибератаками, как с его помощью можно собирать информацию на любого интернет-пользователя и закрывать любую интернет-площадку в считанные часы.

Протянуть в Верховной Раде законопроект №6688 «О внесении изменений в некоторые законодательные акты Украины относительно противодействия угрозам национальной безопасности в информационной сфере» парламентарии пытаются уже год. Еще летом 2017 медийщики предостерегали депутатов, что этим документом они повторяют методы и подходы России, поскольку предлагаемые «изменения», в результате, вовсе не способствуют усилению нацбезопасности страны, а приведут к сворачиванию прав и свобод граждан и преследованию политических оппонентов.

Среди опасных норм законопроекта, по мнению медиаэкспертов, - введение такого понятия как «технологический терроризм», а также возможность блокировать какой-либо веб-ресурс на 48 часов без решения суда. В первом случае, «технологическим терроризмом», по сути, может быть признана любая дискуссия в Интернете относительно решений власти с целью повлиять на эти решения. Во втором случае, можно закрыть доступ к любой интернет-площадке, если там затрагиваются некие чувствительные для власти темы, но подвести под это защиту «информационной безопасности» или «национальных интересов».

Но никакие доводы не помогли.

В прошлом году, в начале осени, законопроект №6688 попытались внести в повестку дня Верховной Рады. К счастью, безуспешно. Однако он не был отозван. Поэтому не удивительно, что следующая попытка протянуть его для рассмотрения была предпринята совсем недавно – в начале июня. Но снова безрезультатно – медийщики возмутились, что, вопреки обещаниям депутатов, за более, чем полгода парламентарии не сделали даже малейшей попытки превратить этот диктаторский документ в сколько-нибудь удобоваримый, обсудить его с общественностью и прийти к каким-то компромиссным решениям.

И, вот, в начале июля – новый виток борьбы за свободный Интернет. 3 июля на совместном с представителями общественности круглом столе один из авторов законопроекта №6688, народный депутат от «Блока Петра Порошенко» Иван Винник признает, что из документа следует убрать часть, касающейся ограничения свободы слова, говорит, что законопроект нуждается в доработке, но уже на следующий день, 4 июля, документ проходит Комитет нацбезопасности и обороны без каких-либо правок. А в ночь с 4 на 5 июля его быстренько включают в повестку дня Верховной Рады для рассмотрения.

Впрочем, 5 июля в сессионном зале включение в повестку дня и рассмотрение этого законопроекта поддержали только 158 народных депутатов, истинных демократов и, наверное, патриотов.

А пока в борьбе за свободный Интернет наступила временная передышка, УНИАН расспросил об опасностях законопроекта №6688 специалиста в сфере кибербезопасности Егора Папышева.

Законопроект №6688 предоставляет власти возможность ограничивать доступ к любому веб-сайту. А если говорить более предметно, что именно может стать основанием для блокирования?

Например, это может быть подозрение на то, что сайт может быть заражен каким-то вредоносным программным обеспечением (ПО) и с него, с помощью веб-эксплойтов (программы, которые содержат данные или исполняемый код, способный воспользоваться одной или несколькими уязвимостями в ПО на локальном или удаленном компьютере, - УНИАН) рассылаются вирусы. Проверить это доподлинно, то есть получить какие-то цифровые доказательства, достаточно сложно. Могут быть ложные срабатывания ПО, которое сканирует сайт на вирусы, но нельзя однозначно сказать, что сайт на самом деле был заражен. Однако закрыть сайт под этим соусом всегда можно.

Но таким образом можно, к примеру, закрывать просто неугодные власти веб-ресурсы?

Да. С помощью этого законопроекта можно будет блокировать даже какие-то отдельных каналы коммуникации, например, мессенджеры вроде Viber и WhatsApp. Причем, повод для этого будет формальный – какой-то подозрительный контент, трафик или что-то похожее на вирус. И поскольку будет сложно доказать этот факт, то сайты смогут блокировать очень оперативно.

Кроме того, технический момент реализации этих блокировок еще более опасен. Технические эксперты понимают, что осуществить это можно только путем фильтрации трафика – всех пользователей заставят установить некие сертификаты, с помощью которых вы сможете получать доступ в Интернет. В этом случае провайдер, имея доступ к вашему сертификату, сможет разложить ваш трафик буквально «по полочкам»: просмотреть всю информацию, которой вы обмениваетесь и полностью проконтролировать все то, что вы получаете и отправляете в письмах, соцсетях и приложениях. То есть, по сути, мы получим законный перехват содержимого трафика с любого компьютера в стране.

Это означает полную потерю анонимности рядового пользователя?

Поскольку вы будете заходить в Интернет по тем правам доступа, которые вы получите от Интернет-провайдера, то вы будете на виду, то есть всю вашу деятельность в Сети можно будет сопоставить с конкретным человеком, собирать о вас данные и составлять профиль для спецслужб, которые смогут понимать вашу активность, ваши предпочтения и т.д.

Значит ли это, что прежде, чем зайти на любой ресурс, нужно будет указывать все свои персональные данные, по которыми впоследствии можно будет легко вычислить любого пользователя, независимо от его местонахождения?

Попадая в Интернет, вы, по сути, уже указываете свои данные и не сможете использовать популярные средства анонимизации – они попросту не будут работать и все дальнейшие действия сохраняются в историю. 

Не получится ли так, что, в случае принятия законопроекта №6688 в существующем виде, мы окажемся в ситуации Китая, где заблокированы большинство известных мировых сайтов и соцсетей?

Несомненно, такая перспектива есть, но в Китае с этим даже проще. Оборудование, которое у нас хотят устанавливать, имеет более широкий спектр возможностей по контролю ваших данных как для провайдера, так и для государства. И обойти защиту у нас будет даже сложнее, чем в Китае. Специалисты смогут обходить блокировки с большими потерями - например, им придется купить отдельный сервер, через который будет осуществляться беспрепятственный доступ, и не исключены потери в скорости соединения. А, по меньшей мере, 80% пользователей Интернета в Украине придется пользоваться сетью так, как есть, поскольку такой возможности у них попросту не будет.

Возможен ли вариант, при котором отдельных пользователей в соцсетях смогут блокировать по ключевым словам, как это, например, практикуется в РФ?

Скорее всего, нет, но возможен вариант, когда смогут детально заблокировать доступ к тому контенту, который генерирует пользователь. Например, заблокировать адрес – если вы читаете ленту Фейсбука определенного человека, то в адресной строке присутствует его имя, и если его заблокируют, то вы не сможете прочесть содержимое страницы. 

В медиасреде уже поползли слухи, что этот законопроект дублирует подход России по введению реестра запрещенных сайтов. Вы отмечали, что он еще хуже, чем в РФ, в чем это выражается?

В России нет механизма фильтрации трафика, который хотят внедрить у нас. У них есть реестр [Роскомнадзора], но он работает очень поверхностно и не анализирует шифрованный трафик. Чтобы не было такого цирка, как в России с Telegram, у нас для этого предполагают ввести более продвинутые механизмы.

И как будет происходить блокировка? Будут изымать серверы и другое оборудование или же, как в РФ, нужно будет предоставлять ключи доступа к сайтам?

Сама блокировка – это административная мера, а не физическая, то есть никто не будет изымать серверы. Имеется в виду, что правила доступа к ресурсу будут прописаны на узлах у провайдера. То есть они будут получать данные о том, какие ресурсы нужно заблокировать, вводить эти данные в систему, и вы, как конечный пользователь, просто не сможете зайти на тот или иной сайт. Причем делать это будут достаточно оперативно – счет идет на часы. Скорость блокировки будет зависеть только от интереса к тому или иному ресурсу.

Как мы понимаем, если блокировка ресурсов будет происходить даже без суда, то кто и как сможет контролировать эти процессы?

Конкретного органа для контроля в законе не указано, но речь идет о том, что даже следователь, если посчитает нужным, может подать заявку на блокировку ресурса.

Законопроект обязывает провайдеров за собственные средства устанавливать спецсредства для блокировки… Вы писали, что речь может идти об оборудовании и услугах известной израильской компании Allot. Расскажите поподробнее.

Во-первых, представители этой компании уже несколько раз были замечены на демонстрации своих возможностей в Украине, и они уже приезжают на мероприятия, в которых участвуют представители власти. Во-вторых, они признаны в мире одной из лидирующих компаний для анализа трафика. В-третьих, они уже работают с одним из украинских телеком-провайдеров, и они очень заинтересованы в этом проекте, так как это дорогостоящий и выгодный для них проект.

Насколько, по вашим подсчетам, в случае принятия закона может увеличиться стоимость услуг по использованию интернета? И зачем нужны единые требования для провайдеров?

Единые требования нужны для установки единого оборудования, набора дополнительных специалистов. И это порождает дополнительные затраты на стоимость услуг Интернета, которые осилят не все существующие игроки рынка. Таким образом, будет меньше поставщиков интернет-услуг и это приведет к монополизации рынка между несколькими крупными игроками. Мои коллеги допускают, что стоимость оплаты услуг для пользователей может вырасти в четыре раза, по сравнению с сегодняшним днем.

В законопроекте также идет речь, что технические характеристики спецсредств для блокировки будут определяться только после принятия закона, при участии СБУ. Вам не кажется, что это похоже на очередную кормушку для получения «мзды» за неблокирование того или иного веб-ресурса? СБУ ведь, по сути, получает неконтролируемые полномочия…

Мало того, что этот законопроект порождает коррупционный риск, что, например, грозит серьезными финансовыми потерями для торговых онлайн-площадок, которым любой простой сайта влетит в копеечку. Кроме того, требования для поставщиков оборудования можно прописать по-разному - либо под одну компанию, либо так, чтобы не мог никто кроме кого-то участвовать в этом процессе. То есть тут еще и присутствует взаимная выгода, так как заинтересованные лица будут пытаться договориться с определенным провайдером.

Учитывая, что парламент уже принял ранее законы о кибербезопасности и о нацбезопасности, каким образом законопроект №6688 влияет на кибербезопасность Украины (об этом говорят авторы этого документа)? Условно говоря, защитит ли этот законопроект от вируса вроде Petya.А?

Закон сможет повлиять на кибербезопасность только если подразумевать, что опасность несут наши граждане, а не внешние атаки, как это было с Petya.А. Под соусом борьбы с вирусами у нас, скорее, вводят цензуру, а не борются с врагом извне.

Анастасия Заремба, Татьяна Урбанская