Интервью 2017-05-29T01:47:33+03:00
Українські Новини
Председатель ИнАУ Александр Федиенко: Новая стратегия о кибербезопасности может обернуться введением политиче

Председатель ИнАУ Александр Федиенко: Новая стратегия о кибербезопасности может обернуться введением политической цензуры

Председатель ИнАУ Александр Федиенко
Председатель ИнАУ Александр Федиенко

В середине февраля Президент Петр Порошенко ввел в действие решение СНБО о защите киберугроз. Стратегия обязывает Кабинет Министров разработать законопроект о механизме блокировки интернет-сайтов по решению суда. И заниматься этим будет Министерство внутренних дел.

Сразу после публикации стратегии профильная отраслевая ассоциация интернет-провайдеров и операторов — ИнАУ, в которую входит более 200 компаний, опубликовала письмо в котором раскритиковала эти планы.

По мнению специалистов ИнАУ, внедрение технического механизма блокировки доступа к Интернету поставит Украину в один ряд с такими тоталитарными странами, как Россия, Китай или Северная Корея.

Почему так может случиться, что волнует игроков на рынке предоставления доступа к сети Интернет в новой стратегии о Кибербезопасности, а также о том, как от подобных угроз защищаются европейские страны Українським Новинам рассказал председатель ИнАУ Александр Федиенко.

Как вы относитесь к решению СНБО о мерах по нейтрализации киберугроз?

У любой страны должна быть стратегия отражения киберугроз. Но эта система будет работать только в тех странах, где есть доверие граждан к правительству. Давайте уточним, что киберугрозы бывают внутренние и внешние. И если мы говорим о государственных структурах, государственных органах, государственных реестрах – однозначно государство должно защищать все эти информационные носители от любых воздействий извне. Но это никоим образом не распространяется на Интернет-операторов и провайдеров.

Если же говорить о стратегии, которая в будущем может быть распространена и имплементирована на вопросы противодействия  информационной активности в электронных СМИ, то под слово "киберугроза" в конечном итоге может быть подведено все что угодно. ИнАУ однозначно против любой технической блокировки в сети Интернет, это наша позиция. 

Ранее вы назвали его политической цензурой. Почему?

Мы находимся в состоянии трансформации, сейчас в стране реально идет перелом общества. Общество перезрело систему, оно хочет из нее вырваться, а система пытается нас оставить в тех рамках, в которых она была все эти годы. Ни для кого не секрет что интернет – наиболее быстрый источник распространения информации в обществе. И если правительство получит инструмент, позволяющий  избирательно блокировать эту информацию, то в итоге любая информация может быть преподнесена в конечном итоге в контексте киберугрозы. И, соответственно, так или иначе "запрещена".

То есть на данном этапе, в недемократическом обществе правительство будет определять, что, по его мнению, является киберугрозой, а что нет, и в дальнейшем выдавать какие-либо директивы по блокировке той или иной информации.  Вместо того чтобы в случае появления информации, которая действительно противоречит конституции и может спровоцировать критическую ситуацию в стране – противодействовать этому поводу информационно, создавать в первую очередь противодействующие источники информации, говорящие о реальном состоянии вещей.

Есть яркий пример: не так давно в сети появилась информация, что в Украине будет отключен интернет. Мы проанализировали источник информации, которым оказалось СМИ "Русская Весна", взявшее какую-то региональную перепечатку за 2016 год. Но эта публикация послужила тому, что начала подниматься волна народной паники. "Как, в Украине отключат интернет?!" – и СМИ тут же начали разносить месседжи о том, как все плохо в Украине.

Вместо того, чтобы запрещать эту информацию (да и зачем бы нам?), мы выступили в контраргументе, что как Интернет ассоциация Украины, крупнейшее отраслевое объединение, официально заявляем, что Интернет не будет отключаться.

Грубо говоря, когда поднялась волна, мы подняли другую волну, они столкнулись, общество посмотрело, что противовес достаточно серьезен, и фейк "Русской Весны" просто перестал существовать. Конечно, можно было бы пойти по пути блокирования этого фейка техническими средствами. Но, как показала практика, заблокировать что-то в интернете практически невозможно.

А как это работает в других странах? Какие механизмы используются на Западе?

Мы считаем в Украине бороться с блокированием интернета может быть даже важнее, чем в Европе. В Европе, и вообще в западном мире, есть устоявшаяся демократическая традиция, которая сама по себе служит механизмом противодействия использования блокирования в незаконных целях. 

В Украине, к сожалению, нет защиты от того, что механизмы блокирования под эгидой, например, защиты от авторских прав, или противодействия порнографии, или даже терроризму, используются в каких-то коммерческих целях, для получения личной выгоды. К сожалению, грань между действительной защитой собственных прав и злоупотреблением оным правом очень тонкая и неопределенная. И, к сожалению, законодательство Украины не делает ее четче. И мало того, что эта грань четко не определена, так еще и в Украине нет демократической традиции, механизмов препятствования тому, что механизмы блокирования не будут использованы  в целях конкуренции и/или политического преследования инакомыслящих.

Вы же понимаете, что политическая система сейчас пытается самостоятельно создать инструмент для определения  "что хорошо, а что плохо". То есть, в этой ситуации мы опасаемся того, что именно система, которая не хочет выйти из старой парадигмы, в которой она живет, попытается в конечном итоге просто создать инструмент по блокировке неугодной ей информации. Я подчеркну – не общество будет создавать инструмент по определению, что хорошо, а что плохо, а именно устаревшая политическая система, которая не хочет меняться.

Перед принятием доктрины связывались ли с вами, проводились ли какие-либо консультации с рынком?

Если говорить о конкретно двух указах президента, как реакции на решение СНБО, – первое по введению в действие решения по противодействию киберпреснупности, а второе по доктрине информационной безопасности, – то по этим двум документам консультаций с ИнАУ не проводилось. При этом работа по такой проблематике  идет давно, и есть ряд законопроектов, зарегистрированных в Верховной Раде и посвященных противодействию киберпреступности. Мы на эти законопроекты реагировали, отправляли письма, часть наших замечаний даже была учтена. Но это на уровне взаимодействия с парламентом.

Если вас больше интересует доктрина информационной безопасности – в принципе, можно сказать что главная претензия ИнАУ к этой доктрине в том, что не определены какие-то базовые определения, не установлены отправные точки, не понятно, что можно называть нарушениями, а что – нет.

Один простой пример: в указе президента по доктрине противодействия киберeугрозам часто упоминается украинский сегмент сети интернет. Но что это такое? Что такое "украинский сегмент сети интернет"? Это доменная зона ".ua"? Или это украиноязычный интернет? Или это интернет, хостинг которого размещен в Украине? Или это интернет, который проходит через сети украинских провайдеров?

Этот термин в доктрине используется много раз, хотя его нет в законодательстве и не понятно  к чему он применен. Но кроме его есть еще целый ряд других определений, например "Інформаційний простір держави". Вот вы знаете, что это такое? И я не знаю.

Мы говорим следующее: "Если в самом начале приводятся эти термины, а дальше доктрина направлена на них, то давайте сначала четко определим термины, а потом будем говорить о каком-то законодательстве, о каких-то блокировках". Сам текст – правильный, но в нем нет конкретики, там просто расписаны задачи для различных  органов власти насчет того, что нужно сделать. Но для начала все  же нужно определить базовые принципы, без которых просто невозможно работать. Именно такая задача должна стоять у Верховной Рады.

В Украине еще нет механизмов блокировки информации. И нужно "семь раз отмерить", прежде чем давать чиновникам устанавливать какие-то ограничительные нормы. Мы обращаем внимание также и на нормы европейских директив, потому что часть предложенного СНБО открыто им протиоречит.

-Как механизмы блокировки сайтов реализованы в западных странах? Есть ли уже готовые определения того, что называют "киберугрозой"?

Смотрите, очень многие не понимают что такое блокирование доступа. В цивилизованном мире, в западных странах, правоохранительные органы ищут нарушителя, которым может быть владелец контента или информационный ресурс, который нарушает закон. Вот этого нарушителя нужно вычислить, найти его и обезвредить, если он нарушает закон. При этом за информационный ресурс несет ответственность не хостинг, а именно создатель ресурса/информации. До тех пор, пока судебным решением хостера не обяжут блокировать незаконный ресурс – он не имеет никакого отношения к размещенной на нем информации.

В юриспруденции есть такое понятие как досудебная и внесудебная практика. Там есть такая процедура, как досудебное блокирование. Это значит, что если заявитель обращается в правоохранительные органы с информацией о том, что на ресурсе размещен незаконный контент – у них есть, к примеру, 40 часов на досудебное решение заблокировать этот объект хостера.

Но вы должны понимать что в Европе  предусмотрена ответственность за такое обращение. Причем ответственность всех: тех кто подал заявку, кто дал указание блокировать. И если по решению суда, которое будет в обязательном порядке выдано, окажется что контент не был незаконным –  все эти люди будут обязаны финансово компенсировать потери хостера и/или собственника заблокированного ресурса. Там эта процедура очень жестко прописана и очень жестко зарегулирована.

При этом, никто не ломает двери, не блокирует компьютер. Просто у них идеология работает по другому принципу. Они стараются предугадать любые теракты, любые покушения, для того чтобы этого не произошло. Мы же, как всегда, работаем по принципу: "Сначала все зальем из водомета, а потом будем разбираться, был ли это пожар, или кто-то просто курил в подсобке".

И в этом есть огромный минус. Ведь именно вследствие таких агрессивных действий сейчас многие дата-центры крупных компаний находятся за рубежом, и провести в них какую-то деятельность с участием наших правоохранителей уже невозможно. Потому что они выехали из нашей страны. А интернет-оператор и провайдер не отвечает за ту информацию, которая передается из точки А в точку Б.

Тут надо очень четко понимать, что есть оператор хостинга, а есть оператор доступа. И оператор хостинга действительно имеет возможность технически заблокировать ресурс, но при этом должна быть предусмотрена законодательная процедура. У нас пытались протолкнуть внесудебное блокирование. А это значит, какой-то орган, без решения суда, сможет выписать кому-то предписание о блокировке ресурса. Аналогично тому, как это сейчас  происходит в России.  Там это элемент внесудебного решения – у них есть специальный реестр, куда "Роскомнадзор" вносит сайт содержание которого считает сомнительным, и операторы обязаны его блокировать.

В демократических странах нет попыток обязать провайдеров доступа что-либо блокировать. Следует отметить, что типичный пример такой национальной блокировки – "Большой китайский фаервол", на который были потрачены миллиарды долларов, и он фактически на каналах доступа обеспечивал блокирование информации. Но эффективного блокирования им так и не удалось достичь. Ведь для того, чтобы обойти эти способы блокирования, не требуется большая квалификация. Преступники ее легко обходят, а обычные граждане – нет. А ведь простые граждане и являются аудиторией для политического контроля Так что, фактически, это тоже вопрос политической цензуры, а не защиты от преступников.

Именно потому мы выступаем категорически против блокирования доступа.

Что касается технической реализации вопроса – возможно ли в нашей стране воплотить в реальность вариант с национальной блокировкой. Чего это потребует от государства, госорганов, бизнеса?

Возвращаемся к опыту Китая. Существуют разные оценки того, сколько миллиардов долларов потрачено на создание "Большого китайского фаервола". Ведь он потребовал установления на всех входящих в страну каналах специального оборудования, которое в реальном времени отслеживает, вычисляет и блокирует определенные запрещенные ресурсы. Это требует огромных денег, и при этом эффективность этого механизма не очень высокая, поскольку даже специалист начальной квалификации может легко обойти такое блокирование.

Мы  надеемся,  что до такого не дойдет. Но если говорить о наихудшем сценарии – то  Украине придется менять огромный пласт законодательства, затем определять из  5 тыс. существующих операторов и провайдеров, тех, кто имеет каналы передачи данных за границу. И если раньше таких компаний были единицы, то сейчас их  огромное количество. Эти операторы и провайдеры должны будут установить на свои сети определенное весьма дорогостоящее оборудование и иметь достаточно мощные серверные платформы. В одной из европейских стран когда-то потратили около двух миллионов евро на установку подобного оборудования для одного оператора. И в ответ государство освободило этого оператора на 10 лет от налогов. Но такую ситуацию сложно представить в Украине.  Наоборот, в нашей стране существует большой риск, когда могут обязать операторов и провайдеров закупать очень дорогое оборудование (причем это может быть какая-то одна компания, аффилированная с каким-то заинтересованным лицом). При этом даже покупка такого оборудования не гарантирует 100% защиты от доступа к нежелательной информации, и в итоге оборачивается банальным выбрасыванием денег на ветер.

А что делать со спутником в этой ситуации? У нас в стране ведь много спутников. В Китае спутники были запрещены, и там этот механизм худо-бедно работал, пока технологии интернета не развились в достаточной степени.  И когда они поняли, что вбрасывание денег в "Великий фаервол" бессмысленно – они  пошли по другому принципу. И начали активное информирование общества о том, какой Китай могучий, хороший и так далее.

Помимо этих затрат, какой ущерб может нанести подобная блокировка? (Прямой, недополученные инвестиции, отставание в развитии рынка)

Давайте сразу уясним, что далеко не все компании смогут это себе позволить. Достаточно большой пласт компании попросту уйдет с рынка. А это и потеря рабочих мест, и сокращение охвата населения Интернетом, и ухудшение качества услуг, и их удорожание. А в конечном счете – и монополизация рынка и, скорее всего, к сосредоточению интернета, посредством которого доносится информация до населения, в руках одной-двух компаний. В этом и есть самый большой риск монополизации – системе будет намного проще управлять социумом.

Кто должен принимать решение о блокировке?

Мы считаем, что блокировка неэффективна. Но если такой механизм будет внедряться в нашей стране, то блокировка должна происходить исключительно по решению суда. Потому что остальные механизмы просто нельзя назвать цивилизованными.

И да, уточню – блокировка провайдером невозможна в принципе, блокировка на хостинге – только по решению суда.

Я повторюсь еще раз: так называемой "национальной" блокировкой доступа занимаются только тоталитарные страны. Это Куба, Китай, Вьетнам, Северная Корея, Иран, Россия. Их не так уж и много.

Привлекали ли ИнАУ либо других игроков рынка к разработке МВД законопроекта по блокировке сайтов?

К нам не обращались. Сейчас зарегистрированы несколько законопроектов по данным вопросам и, скорее всего, Кабмин будет работать, основываясь именно на них. По этим законопроектам мы уже направляли свои предложения, и часть из них даже была учтена соответствующим комитетом.

Мы приложим все усилия, чтобы те нормы, противоречащие практике цивилизованных стран были в конечном итоге нивелированы.

Планируете ли подавать протесты в международные инстанции, ЕСПЧ?

Мы будем использовать все механизмы. С нами очень плотно работают эксперты Совета Европы, которые считают ИнАУ одной из ключевых украинских общественных организаций в области управления интернетом. И раз в полгода они приезжают к нам, мы рассказываем им о состоянии дел в стране, и они, дают какие-то рекомендации нашему правительству. И как только правительство захочет что-то внедрить, что противоречит директивам Евросоюза, то мы тут же сигнализируем об этом в Совет Европы. Он тут же вмешается и предупредит подобные попытки со стороны государства.

Какие есть механизмы ухода от национальной блокировки?

Спутниковый интернет, анонимайзеры, виртуальные сети, вынесение зеркал сайтов в иностранные хостинги. в Украине уже очень многие ресурсы переехали за границу. Я сейчас мониторю нескольких провайдеров, с которыми работаю и заметил интересный факт – когда у них "отпадает" канал внешнего трафика – у них тут же "падают" те популярные ресурсы, которые раньше "жили" в Украине. Украинский трафик есть – а эти сайты не открываются. А значит, они все давно переехали за границу. Так что закрыть социально-значимый общественный ресурс в Украине практически невозможно – потому что его здесь просто нет. Силовые ведомства сами над собой сыграли злую шутку, когда массово уничтожали хостинг. И он просто мигрировал в другие страны.

Какие типы интернет-сайтов наиболее пострадают от блокировки?

В первую очередь – новостные ресурсы.

На самом деле, интернет сейчас вступил в эру Фейсбука. Именно этот ресурс сейчас занимает весьма существенную долю в информационной составляющей практически любой страны. Причем перетекание пользователей из других ресурсов (форумы, блоги, какие-то небольшие сайты) в Фейсбук сейчас весьма ощутимо. В конечном итоге люди начинают черпать информацию в основном из Фейсбука, а уже проверять или уточнять ее в других источниках.

И да, в этом случае правоохранительные органы смогут закрывать за какой-то один пост целые ресурсы, как это сейчас происходит в России. Это будет преподноситься как угроза национальной безопасности, после чего будет выдаваться указание на блокировку этого ресурса.

Проблема в том, что это невозможно сделать технически. Почему невозможно заблокировать Google? Потому что у них везде созданы отдельные кэши, и это абсолютно разные адреса. Это огромнейшее виртуальное пространство, которое, наверное, можно заблокировать. Но это лишит человечество доступа к очень большой части информации. Можно, например, с этой целью заблокировать все ip-адреса Америки, но даже так вы не заблокируете Google на 100%. Потому что информация, которую содержит этот интернет-гигант, раскидана по тысячам серверов во всем мире, и в Украине в том числе. Можно заблокировать ip-адрес, но нельзя заблокировать саму информацию. Это просто физически нереально.

Какой вариант блокировки подобной информации вы считаете приемлемым и действенным одновременно?

Приведу вам пример того, как данную проблему решили во Франции.  Там есть официальный государственный реестр прав собственности на медиапродукты. Его ведет государство, и все права на медиаконтент вносятся в этот реестр. И, что важно, в стране к этому реестру есть просто безоговорочное доверие. Именно потому, что он государственный. И если, к примеру, певец замечает на каком-то сайте незаконное размещение своего контента, он, пользуясь этим реестром, подает заявление в правоохранительные органы на досудебное блокирование этого ресурса. Полицейский смотрит реестр, и если в нем не указан этот ресурс – накладывает блокировку. И хостер, у которого "живет" этот сайт, ее выполняет.

До тех пор, пока в нашей стране не будет такого реестра, у нас будет огромное количество каких-то "шаек-леек", которые, незаконно присваивая себе права на контент будут блокировать сайты друг-друга с целью получения экономической выгоды. И даже когда в страну заходит международный контент – он обязательно должен вноситься в этот реестр, с указанием, кому конкретно переданы права на распространение его в Украине, кому принадлежит право роялти, и так далее. Пока этого нет – нормальная практика досудебной блокировки у нас работать не будет.

А практика внесудебного блокирования по решению каких-либо органов, как я уже говорил, давно и морально устарела и на самом деле тянет нас на дно все той же коррупции, только в другом ее исполнении.

 Не может ли это решение повлечь за собой дальнейшее ужесточение правил для интернет-пользователей и/или провайдеров?

Основа модели досудебного блокирования контента – существование модели двусторонней ответственности. Это то, чего Украине сейчас категорически не хватает. Как только появляется двусторонняя ответственность, вопрос преследования коррупционных целей сразу же исчезает. Если заявитель будет осознавать, что в случае, если его информация окажется ложной, он будет оштрафован… если полицейский, выносящий решение о досудебном блокировании будет знать, что в случае, если в суде будет доказано, что он неправомерно заблокировал ресурс, он понесет материальную ответственность за нанесение ущерба компании – никакой речи о неправомерных блокировках даже не будет заходить.

Вот сейчас, к примеру, в новом законе о защите кинематографии никакой ответственности за ложную подачу заявления не предусмотрено (он ветирован Президентом). Абсолютно любой может пожаловаться на то, что кажется ему неправомерным. И провайдер должен на свой страх и риск либо блокировать информацию (и тогда он может потерять клиентов), либо не блокировать – но тогда, в случае, если суд докажет, что информация действительно неправомерная/запрещенная – он будет оштрафован. А вот заявитель в любом случае никакой ответственности не несет.

Но ведь эта схема может работать только в случае если в стране практические все провайдеры – "белые". Но в Украине, насколько я знаю, очень много "серых" провайдеров…

Все, о чем я сегодня говорил, относится исключительно к провайдерам хостинга. Проще говоря – к дата-центрам. Мы, как отраслевая ассоциация, категорически против любого блокирования какой-либо информации провайдерами доступа к сети Интернет. А "серых" дата-центров в природе просто не существует.

Но все же, сколько сейчас в Украине "серых" провайдеров – по вашим прикидкам?

Мы, как отраслевая ассоциация выступаем за усиление государственного регулирования рынка в части очищения его от "серых" и "черных" провайдеров. Потому что такие игроки рынка не гарантируют ни качества предоставляемых услуг, не платят налоги, тем самым подрывая экономику страны. А кроме всего прочего – оставляют основательное пятно на репутации отрасли в целом. В нашей стране система проверок в первую очередь ориентирована на легальных операторов. Ведь к нелегальным операторам попросту "некуда" прийти с проверкой. Их официально не существует – и государству проще их просто не замечать. Прежде всего, государство должно найти механизмы как искать нелегальных операторов, как привлекать их к ответственности. И репрессивный аппарат прежде всего должен быть направлен именно на "серый" рынок, а не на легальных игроков.

Именно по этой причине мы пришли к тому выводу, что будет лучше, если государство в принципе прекратит проведение проверок. А то иначе выходит, что "страдает" от них исключительно легальный бизнес, а нелегальный в это время продолжает развиваться. Но при этом мы выступаем за ужесточение штрафных санкций за работу в нелегальном сегменте.

Те, кто стоят на страже легального бизнеса, должны понимать, что именно этот бизнес их и содержит. Они живут за наши налоги. И если внезапно появляется нелегальный провайдер, который вытесняет с рынка легального – это означает лишь то, что налогов, на которые они существуют, станет определенно меньше. Потому работа того же регулятора в первую очередь должна быть направлена именно на работу с нелегальным сегментом бизнеса.

Нужно ли дополнительное законодательное регулирование деятельности в ИТ сфере, и если да, то какое?

Я вообще против любого регулирования и считаю, что регулирование в сфере телекоммуникаций это плохо. В нашей стране нет какого-либо "Броуновского движения" в этой сфере. У нас есть четко определенная составляющая технического развития отрасли путем предоставления наилучшего сервиса для конечного потребителя. Ведь если оператор будет предоставлять некачественную услугу – то, как бы регулятор не регулировал рынок, – клиент все равно проголосует ногами и уйдет к конкурентам. Поэтому на нашем рынке существует эта нескончаемая гонка технического вооружения, когда операторы наращивают свои мощности. И это уже привело к тому, что у нас самая большая скорость фиксированного доступа к интернету в мире. У нас самое большое проникновение фиксированного доступа в Европе.

При этом в Европе, где регулируется практически все, большинство абонентов до сих пор живут на скорости до 10 мБит. У них не развиваются современные сети, за исключением каких-то новых микрорайонов или кампусных сетей. Да, у них доминируют беспроводные сети, но наша страна пошла именно по пути развития фиксированных сетей. И не стоит этому мешать.

При этом, у нас очень низкий порог входа на рынок. В Европе такое просто невозможно. К примеру, захотел Иван Иванов заняться предоставлением услуги доступа к Интернету, взял свой компьютер, сделал из него сервер, получил справку (если вдруг захотелось делать это легально) – и вот он уже официально провайдер.

Но для того, чтобы это адекватно работало, чтоб рынок действительно развивался, а пользователи получали качественные услуги – должны быть определенные рамки, условия, которые должны выполняться, при которых этот Иванов должен потратиться, чтобы начать этот вид деятельности. Потому что оператор просто обязан предоставлять определенный уровень доступа к услуге. Но у нас этого нет.

А кроме того, этот "Иванов" может, как оператор, использовать ограниченные природные ресурсы государства, такие как радиочастотный спектр – как легально, так и нелегально. И вот именно за нелегальное использование таких ресурсов мы и предлагаем серьезно и жестко штрафовать.


Архив
Новости

ok