Посадовці борються з фішингом, збираючи дані користувачів поза законом: як правозахисники пропонують це змінити?
Інтернет-асоціація України звернулась з листом до керівництва Національного банку, в якому запропонувала змінити розпорядження про запуск системи фільтрації фішингових доменів. Система, що вже працює, може отримувати інформацію про користувачів, які намагались перейти на заблокований ресурс, проте жоден закон цього не дозволяє.
Лист, датований 31 травня 2023 року, опублікували на сайті асоціації.
Ілюстраційне зображення, чоловік дивиться на екран мобільного телефону у Києві. Фото: DIEGO HERRERA/EUROPA PRESSУвагу до системи в асоціації почали привертати ще на початку цього року, а ZMINA раніше пояснювала, чому критики називають чинний механізм незаконним.
Згідно з чинним регламентом Національного центру оперативно-технічного управління мережами телекомунікацій (НКЦК)і Створена у 2019 році державна установа Державної служби спеціального зв’язку та захисту інформації України., Нацбанк створює та передає до центру перелік фішингових доменів, який той направляє до “транзитного” серверу.
З цього серверу список отримують провайдери, які своєю чергою зобов’язані налаштувати сервіс так, щоб користувачів без відома переправляло на сторінку НКЦК, якщо вони хочуть зайти на сайт із переліку. Дані, наприкладі У регламенті написано, що йдеться про дані щодо "дати й часу, IP адреси (підмережі), з якої здійснюється перехід, доменного ім'я або URL фішингової сторінки, на яку здійснюється перехід, user-agent тощо", щодо дати й часу чи IP адреси користувача, якого перенаправили на сервер, зберігають, а доступ до них мають “уповноважені державні органи”.
У інтернет-асоціації звертають увагу, що НКЦК збирає, зберігає та поширює дані громадян, що захищені законом, у порушення Конституції, й робить це не на підставі закону, а розпорядження – документа, який права на такі дії не дає.
“Здається, що має місце використання Національного банку України для надання певної легітимності та пристойності незаконній діяльності. Це може серйозно нашкодити бездоганній репутації НБУ в Україні та в усьому цивілізованому світі”, – кажуть автори листа.
Будівля Нацбанку. Фото: “Голос України”На противагу чинному механізму в асоціації пропонують новий, який вони називають “простішим, швидшим, дешевшим, а головне – законним та цивілізованим”.
Згідно із пропозицією правозахисників, Нацбанк й надалі формуватиме перелік фішингових сайтів, втім, далі цей перелік не відправлятимуть на “транзитний” сервер, а надаватимуть доступ до цього списку напряму провайдерам.
“Інтернет-провайдери добровільно завантажують цей перелік, маючи при цьому можливість направити в НБУ аргументовану відмову від блокування того чи іншого домену, що зменшить ймовірність помилкового блокування доменів, які не є фішинговими”, – пропонують в асоціації.
Якщо користувач хоче відвідати один із сайтів з переліку, то його перенаправлятиме не на сторінку, де збирають його дані, а на сторінку, створену провайдером.
“Такий механізм, побудований на взаємодії Національного банку України й української телекомунікаційної галузі та повазі до прав українських інтернет-користувачів, не лише не зашкодить репутації НБУ, а й вчергове доведе її високий рівень”, – вважають автори листа.
Правозахисники наголошують, що готові до “конструктивної співпраці”.
На тлі попередніх звернень асоціації, у яких вона наголошувала на протизаконному характері збору даних громадян, у Верховну Раду внесли законопроєкт, автори якого пропонують встановити новий, не передбачений Конституцією вид неправомірного діяння – фішинг. Правозахисники реєстрацію ініціативи розглядали як спробу легалізації вищезгаданої системи, а нардепів закликали не брати в цьому участі.
Нагадаємо, що фішингові сайти, як кажуть у Нацполіції, набули особливої популярності серед кібершахраїв після початку повномасштабного вторгнення РФ на територію України. Злочинці маскують сторінки під ресурси для оформлення соціальних виплат, фондів або міжнародних організацій.
