В Україні зʼявився свій аналог "Роскомнадзору" - регулятор інтернету Держспецзвʼязку

Версия для печати

Якщо ви стикалися з новинами на кшталт “Держспецзв’язку заблокувала сайти з рекламою київських повій” або “В Україні заблокували сайт, який нібито продавав стероїди та спортивну фарму”, то, імовірно, могли задатися резонним запитанням: а чи дійсно боротьба з повіями та нелегальним продажем стероїдів належить до компетенції цієї поважної служби?

Юриста з Axon Partners  Микиту Євстіфеєва теж неабияк зацікавило це питання. Та виявилось, що блокування сайтів – це лише початок кролячої нори, яка веде до спроби перетворити Держспецзв’язку на такий собі “супер-регулятор” інтернету у воєнний час: з майже необмеженими повноваженнями та мінімальною публічністю і підзвітністю. Забігаючи наперед він зазначає у виданні Dead Lawyers Society: так, варто хвилюватися.

Читайте також: Центр путинской слежки. Как Роскомнадзор контролирует разговоры россиян о войне и Путине в интернете

НЦУ

Під час війни зʼявився супер-регулятор інтернету -- Держспецзвʼязку

Центральною дійовою особою у цій розповіді буде Національний центр оперативно-технічного управління мережами телекомунікацій, або, скорочено, “НЦУ”. Центр був створений у 2019 році і є структурою у складі Держспецзв’язку (хоча формальною він є самостійною юридичною особою). Рішення, які я згадував на початку, ухвалював саме НЦУ.

Створення Центру передбачав ще Закон України “Про телекомунікації” 2003 року, звідки відповідні норми перекочували до чинного Закону “Про електронні комунікації”. Основна функція НЦУ в обидвох законах визначена як оперативно-технічне управління комунікаційними мережами в умовах воєнного чи надзвичайного стану – що пояснює відсутність майже будь-якої інформації про діяльність цього органу до 2022 року.

По суті, НЦУ покликаний виконувати роль “ситуаційного центру”, який тимчасово бере на себе координацію певних аспектів роботи провайдерів комунікаційних послуг з тим, щоб забезпечити стабільне функціонування комунікаційних мереж, а також задоволення негайних потреб держави (наприклад, використання цих мереж для потреб Сил оборони). Це випливає із затвердженого Урядом Порядку, яким у своїй діяльності має керуватися НЦУ.

Ще одну цікаву функцію НЦУ можна віднайти у постанові Кабміну про мораторій на виконання зобов’язань на користь юридичних осіб з російськими бенефіціарами: Центр є одним з органів, який має право санкціонувати винятки з цієї заборони.

Та поряд із загальними функціями як Закон, так і Порядок містить згадку про те, що НЦУ має право видавати розпорядження, які є обов’язковими для виконання усіма провайдерами. У перші місяці після початку повномасштабного російського вторгнення Парламент посилив цю норму санкцією: невиконання розпоряджень НЦУ наразі є підставою для негайного виключення провайдера з Реєстру постачальників електронних комунікаційних послуг і заборону взаємоз’єднання інших провайдерів з його мережами (що фактично означає повне припинення його діяльності).

Доволі серйозна причина не ставити під сумнів такі розпорядження, чи не так? Але, схоже, саме це стало приводом для доволі творчої інтерпретації норми Закону у стилі “межі повноважень не закінчуються ніде”.

Читайте також: "Верховна Рада може дати силовикам безпрецедентну "годівницю"", - Михайло Коміссарук, член правління Інтернет Асоціації України

Заблокуй мене, якщо зможеш

Спроби блокувати щось в інтернеті давні, як сам інтернет. В Україні вони супроводжуються постійним пошуком екстравагантних юридичних конструкцій: накладення арешту на “майнові права інтелектуальної власності, які виникають у користувачів мережі інтернет при використанні вебресурсу” за КПК (ухвали з таким формулюванням у 2023 році досі в моді) чи застосування санкцій за рішеннями РНБО (які, імовірно, ґрунтуються на тому, що перелік можливих типів санкцій у профільному Законі не є вичерпним).

Починаючи з 2022 року у цю добірку входять і розпорядження НЦУ. Ось приклад такого документа, який присвячений проблематиці згаданих вище київських повій:

У всіх подібних розпорядженнях (або у всіх, які я зміг знайти – про це далі) до провайдерів висувається вимога заблокувати доменні імена “на рекурсивних DNS-серверах” провайдерів. І якби ця операція не була освячена вимогою держави, вона цілком заслуговувала б називатися “дрібним шахрайством”. Ось як це працює.

Як відомо, DNS – це система, яка зберігає інформацію про доменні імена, зокрема, про ІР-адреси, асоційовані з кожним доменним іменем. DNS має ієрархічну структуру, яка ґрунтується на чіткій прив’язці певного DNS-сервера до певної зони адресного простору. Існує “канонічна” процедура отримання інформації про доменне ім’я: спершу потрібно зробити запит до одного з DNS-серверів, що відповідають за кореневу зону (root zone), тобто за увесь адресний простір інтернету взагалі.

Кореневий сервер направить вас до сервера наступного рівня, що відповідає за домен верхнього рівня (.com, .org, .ua тощо). Ця послідовність буде продовжуватися доти, допоки ви не отримаєте відповідь від кінцевої ланки – DNS-сервера, авторитетного для конкретного доменного імені. “Авторитетність” означає, що цей сервер має остаточну інформацію про потрібну ІР-адресу і не переадресовує до іншого DNS-сервера.

На практиці інформація про доменні імена змінюється порівняно нечасто. Відповідно, практичного сенсу щоразу проходити повну процедуру, яка зазвичай має не менше 3 ітерацій, немає. Рекурсивні DNS-сервери – це механізм, який має на меті оптимізувати цей процес.

Принцип роботи рекурсивних серверів – кешування даних, отриманих від авторитетних DNS-серверів. Уявімо, що провайдер має декілька тисяч клієнтів, і кожен з них кожного дня заходить на сайт google.com. В теорії, кожен клієнт мав би щоразу проходити повну процедуру, хоч дуже малоймовірно, що ІР-адреса гугла зміниться протягом дня. Натомість провайдер вбудовує у свою мережу рекурсивний сервер, який сам робить повний запит раз на день, а надалі надає кожному клієнтові збережену інформацію.

Це дозволяє зменшити як час на отримання відповіді, так і навантаження на DNS-сервери, які мали би обробляти запити за повною процедурою. (Якщо може здатися, що оптимізація тут мізерна, це не так. Наприклад, лише гугл відвідують щомісяця близько 80 млрд. разів, тобто близько 30 тис. раз на секунду.)

Звісно, щоб ця схема працювала, потрібно, щоб клієнт був сконфігурований робити запит за замовчуванням саме до рекурсивного сервера, а не за повною процедурою. Та у випадку з більшістю побутових споживачів – які, певне, навіть не здогадуються про існування цих налаштувань – це не складає жодної проблеми.

Повернімось до наших розпоряджень. Фактично, НЦУ вимагає від провайдерів в “ручному” режимі підміняти коректні дані про певні доменні імена на своїх рекурсивних серверах, таким чином унеможливлюючи отримання справжньої інформації про ІР-адресу того чи іншого сайту.
Приклад: правильна ІР-адреса доменного імені top-modals.com, 78.108.184.190, на рекурсивному DNS-сервері Kyivstar’у перетворюється на 81.23.24.194. Остання, у свою чергу, приводить юзера не туди, куди йому хотілося, а сюди:

Зручно? Але малодієво та, я б сказав, примітивно: щоб обійти це “блокування”, достатньо лише налаштувати браузер на використання стороннього і не підконтрольного українському урядові DNS-сервера (наприклад, публічного сервера Cloudfare 1.1.1.1 чи Google 8.8.8.8).

Читайте також: По-аваковські, по-дебільному. Як кіберполіція фабрикує кримінальні справи

Secret. Top secret

Та попри це українські правоохоронці (і не тільки вони) вчепились за порівняно простий спосіб “блокування” сайтів і вже починаючи з другої половини 2022 року почали скеровувати до НЦУ відповідні прохання. Як видно з декілька сотень розпоряджень НЦУ з цього питання, які оприлюднені на сайті Національної комісії, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку (НКЕК), найчастішими авторами таких звернень ставали Бюро економічної безпеки, Служба безпеки, Департамент кіберполіції, Національний банк та ще декілька органів. Зрідка НЦУ зобов’язував провайдерів заблокувати щось за власною ініціативою (або, можливо, просто забував вказати ініціатора).

На сайті НКЕК публікуються далеко не всі видані НЦУ розпорядження (за моєї оцінкою – десь менше 10 відсотків). Власного сайта в НЦУ немає, і, відповідно, нам, звичайним допитливим громадянам, належить вдовольнитись лише тим, що НЦУ сам вважає за доцільне передати до НКЕК.

На щастя, в нас є Закон “Про доступ до публічної інформації”, який зобов’язує будь-якого суб’єкта владних повноважень (а НЦУ таким суб’єктом є) відповідати на запити, а також оприлюднювати усі прийняті ним правові акти. На жаль, НЦУ і Держспецзв’язку вважає, що ігнорувати цей Закон – це ок.

Наприклад, відповідь НЦУ на мій запит з проханням надати усі розпорядження, ухвалені після початку воєнного стану, була вкрай лаконічною і натякала, що цікавитись такими речами не комільфо. Дещо більш багатослівним був лист Адміністрації Держспецзв’язку на мою скаргу стосовно неоприлюднення розпоряджень, хоч його основний меседж не відрізнявся. Цікаво, що обидві відповіді посилалися на пункт 33 затвердженого Кабміном Порядку, у якому немає жодного слова про розпорядження, а лиш ідеться про певну “узагальнену інформацію”:

“33. Узагальнена інформація стосовно системи оперативно-технічного управління телекомунікаційними мережами є інформацією з обмеженим доступом.”

Майже таку ж долю спіткали мої запити до Бюро економічної безпеки та Департаменту кіберполіції щодо копій звернень, які вони направляли до НЦУ. Спершу вони відмовились надавати їх в принципі, і лиш після ввічливого штурханця від Уповноваженого ВРУ з прав людини дещо переосмислили свою позицію. Та навіть з другої спроби обидва органи надіслали мені копії цих звернень, вилучивши з них самі доменні імена. Пояснюючи, яку шкоду вони намагаються відвернути (таке обґрунтування – пряма вимога Закону), ці органи створили справжні шедеври бюрократично-епістолярного стилю. Ось, наприклад, фрагмент аргументації БЕБ:

“Можливість завдання істотної шкоди захищеним інтересам БЕБ може полягати у можливості маніпулювання відповідними відомостями, які є інформацією з обмеженим доступом, з боку третіх недоброчесних осіб з метою створення передумов для спроб та намагань використати в інтересах певних сил діяльність БЕБ, підвищення рівня дезорганізації діяльності БЕБ, зростання ризиків виникнення тиску (впливу) на осіб, причетних до виконання завдань слідства та оперативно-розшукової діяльності, зростання ризиків поширення хабарництва, корупції та її проявів у державі тощо. Зважаючи на функції та повноваження БЕБ, імовірність настання шкоди внаслідок надання доступу до вищевказаних відомостей є достатньо високою.”

До речі, попри всю серйозність ризиків, БЕБ просто закрило назви доменних імен (і ще, для чогось, прізвище нардепа Железняка) білими прямокутниками у PDF-файлах, так що прочитати їх у текстовому шарі не створювало жодних складнощів. Кіберполіція підійшла до питання більш ґрунтовно, спочатку закресливши небезпечні дані маркером на паперових копіях, і лиш потім надіслала мені їхні скани. Хоча, якщо ці доменні імена і так вже були заблоковані за рішенням НЦУ, то, напевне, перейматися правоохоронцям немає резону. Стоп, чи є?..

Читайте також: Які головні недоліки закону "Про медіа" який може перетворити Нацраду в клон путінського Роскомнадзору

Hanlon’s razor

Окрім “звичайних” вимог про блокування доменних імен у розпорядженнях НЦУ можна знайти різні цікавинки, такі як вимогу заблокувати доступ до окремої сторінки сайта (розпорядження № 196/980, рядок 6):

– чи до телеграм-каналу (розпорядження № 184/968, рядок 35):

(“О, так можна було?” – напевне, подумали у Нацраді з питань телебачення і радіомовлення, яка досі в пошуках методів впливу на Telegram.)

Іноді у немилість потрапляють сервіси, які самі по собі не провадять жодної сумнівної діяльності: googleadservices.com (розпорядження № 184/968), besplatka.ua (розпорядження № 196/980) або – зовсім свіжий приклад – linktr.ee (розпорядження № 690/1521).

У прикладах вище принаймні можна ідентифікувати сутність, на яку НЦУ зробив спробу спрямувати свої регуляторні зусилля. А от в “ТЕРМІНОВОМУ” розпорядженні № 668 він вирішив перекласти цю місію на самих провайдерів:

Лишаю вам зробити висновки щодо сенсу у більшості випадків невиконуваних вимог (хоч не можу не згадати, що не варто пояснювати щось злим умислом, якщо це “щось” можна пояснити звичайною некомпетентністю).

Читайте також: Костянтин Корсун: НАБУ розслідує розкрадання міжнародної допомоги на кіберзахист керівництвом Держспецзв’язку 

Чому варто хвилюватися

1. Я не сумніваюся, що НЦУ може виконувати (і, напевне, виконує) цінні для оборони держави функції. Та, як будь-який регуляторний інструмент, держава має використовувати його за призначенням. Можна дискутувати про відносну суспільну шкоду сайтів, які пропонують до продажу наркотики, секс-послуги чи нелегальний алкоголь, – але для мене є очевидним, що блокування цих сайтів виходить далеко за межі мандату НЦУ на “оперативно-технічне управління” мережами.

На жаль, спроби використати НЦУ для цих цілей – чергова “милиця”, яка компенсує відсутність законодавчо визначеної процедури і підстав блокування доступу до вебресурсів.

2. Ніхто не заперечує, що воєнний стан передбачає обмеження прав і свобод. Та чомусь в урядових колах побутує думка, що такі обмеження самі по собі нічим не обмежені, і будь-який державний орган може під приводом воєнного стану обмежити будь-яке право, якщо вважає це за доцільне. Якщо нагадати таким органам, що статті 8 та 19 Конституції продовжують діяти і в умовах воєнного стану, це викликає у них, як мінімум, певне сум’яття, якщо не щирий подив. Ситуація з НЦУ – один з багатьох проявів цієї сумної тенденції.

3. Прозорість роботи будь-якого регуляторного органу є запорукою довіри до його рішень. Атмосфера тотальної секретності навколо діяльності НЦУ працює у зворотному напрямі.

Саме тому я подав позов до НЦУ з вимогою зобов’язати його оприлюднити усі ухвалені ним розпорядження, і у серпні Київський окружний адміністративний суд відкрив провадження у справі. На жаль, у суді НЦУ продовжує наполягати, що дотичність його діяльності до сфери оборони дозволяє йому повністю приховати усі видані ним акти – а не лише ту інформацію у них, розголошення якої дійсно може завдати реальну шкоду. (Врешті-решт, ми не знаємо, чи не вирішив Центр перебрати на себе ще якісь невластиві йому функції, які не мають жодного стосунку до оборони держави.)

Відкритість має бути правилом, а не винятком.

4. Коли держава – чи то в мирний, чи у воєнний час – створює регуляторну схему із серйозними санкціями, хотілося б очікувати, що її адмініструванням опікуються люди, які принаймні розуміють, з чим вони мають справу (і, наприклад, роблять мінімальний sanity check тих списків, які надсилають їм інші органи, або усвідомлюють, що заблокувати вебсторінку чи телеграм-канал на рівні DNS неможливо).

5. Усі ці речі – базові запобіжники, покликані не допустити поступового переростання доцільності воєнного часу в інструмент свавільного обмеження прав і свобод. Несприйняття свавільної влади – це квінтесенція багатьох століть політичного розвитку західної цивілізації, до якої ми прагнемо належати. Але ступити на слизьку доріжку до авторитаризму значно легше, ніж постійно виборювати дієвість правовладдя.

P. S. Усі згадані у статті матеріали можна побачити на гугл драйві за посиланням.

—

Микита Євстіфеєв, опубліковано у виданні  Dead Lawyers Society

В тему: 

• Держспецзв'язок через суд відібрав у УГКЦ святиню, на якій не мав жодного об'єкту. Це образливо для українців
• Хтось у владі намагається взяти інтернет під контроль - це схоже на роботу на росію
• Тотальная безответственность. Кибератака на Украину: как это стало возможным и последствия
• В усіх цивілізованих країнах немає проблем з використанням Starlink, і тільки в Україні Держспецзв'язку буде вивчати "безпеку використання"
• «Кіберцентр» ім. Зеленського: «Жарт, повторений двічі – удвічі смішніший»