Інтернет асоціація України (ІнАУ) звернулася до Нацбанку України (НБУ) з проханням ініціювати зміну механізму блокування фішингових доменів.

Відкритий лист ІнАУ надіслала поточного тижня голові центробанку, до департаменту безпеки, юридичного департаменту, департаменту ризик-менеджменту, офісу правління Нацбанку та інституційних відносин.

Згідно з текстом листа, відповідно до розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій від 30 січня 2023 року "Про впровадження системи фільтрації фішингових доменів" (№67/850) встановлено централізований механізм автоматичного блокування інтернет-ресурсів "система фільтрації фішингових доменів". Згідно з ним, НБУ створює і надає Національному координаційному центру кібербезпеки (НКЦК) при РНБО список фішингових доменів, які він розміщує на своєму сервері.

Після цього інтернет-провайдери налаштовують свої DNS-сервери у такий спосіб, щоб вони без відома і згоди інтернет-користувачів перенаправляли їх запити до доменів зі списку на лендингову сторінку на сервері НКЦК. Передбачається, що на сервері НКЦК збирається і зберігається детальна інформація щодо інтернет-користувачів, які були перенаправлені на сервер. Зокрема в системі зберігається технічна інформація, що містить дату і час, IP-адресу, з якої здійснюється перехід, доменне ім'я або URL фішингової сторінки, на яку здійснюється перехід, user-agent.

"Система має інтерфейс для доступу до інформації щодо переходів на лендінгову сторінку. З метою аналізу та відповідного реагування уповноваженим державним органам надається доступ до інформації щодо переходів на лендінгову сторінку", - наведено витяг із зазначеного регламенту в листі ІнАУ.

Отже, посадові особам або співробітники НКЦК здійснюють збір, зберігання, використання та поширення зазначеної інформації, яка є інформацією про особу, оскільки розкриває такі деталі дій особи в мережі інтернет, як: який домен мав намір відвідати, дату і час спроби відвідування, ІР-адресу, з якої було зроблено спробу відвідати домен, вважають в асоціації.

Згідно з висновком ІнАУ, це порушує положення низки статей законів "Про захист інформації в інформаційно-комунікаційних системах", "Про електронні комунікації", Конституції України. На цій підставі збір, зберігання та поширення НКЦК інформації передбаченої р. 9 Регламенту на підставі розпорядження №67/850 є незаконним, переконані в ІнАУ.

"В описаній ситуації, здається, що має місце використання Національного банку України для надання певної легітимності та пристойності вищеописаній незаконній діяльності. Це може нанести серйозної шкоди бездоганній репутації НБУ в Україні та в усьому цивілізованому світі", - констатують у листі.

Щоб уникнути такої ситуації і при цьому досягти початкової мети блокування фішингових доменів ІнАУ пропонує розглянути можливість застосування іншого механізму. Він передбачає, що НБУ формує і постійно оновлює список фішингових доменів (як нині і відбувається), надає інтернет-провайдерам доступ до списку. У свою чергу інтернет-провайдери добровільно завантажують цей список, маючи при цьому можливість надіслати до НБУ аргументовану відмову від блокування того чи іншого домену, що знижує ймовірність помилкового блокування доменів, які не є фішинговими. У разі якщо інтернет-користувач намагається відвідати один із доменів зі списку, його перенаправляють на лендінгову сторінку, розміщену на серверах його провайдера, що вирішує проблему з конфіденційністю, зазначається в тексті пропозицій.

"Упевнені, що саме такий механізм, побудований на взаємодії Національного банку України і української телекомунікаційної галузі та повазі до прав українських інтернет-користувачів, не лише не зашкодить репутації НБУ, а й вчергове доведе її високий рівень", - резюмують у листі ІнАУ.

Раніше асоціація просила парламентаріїв дати оцінку законопроєкту №9250 "Про внесення змін до закону України "Про електронні комунікації" (щодо протидії фішингу) з урахуванням аргументів ІнАУ, що об'єднує 220 підприємств галузі інформаційно-комунікаційних технологій.