ИнАУ просит Нацбанк инициировать изменение механизма блокирования фишинговых доменов
Интернет ассоциация Украины (ИнАУ) обратилась к Нацбанку Украины (НБУ) с просьбой инициировать изменение механизма блокирования фишинговых доменов.
Открытое письмо ИнАУ направила на текущей неделе главе центробанка, в департамент безопасности, юридический департамент, департамент риск-менеджмента, офис правления Нацбанка и институциональных отношений.
Согласно тексту письма, в соответствии с распоряжением Национального центра оперативно-технического управления сетями телекоммуникаций от 30 января 2023 года "О введении системы фильтрации фишинговых доменов" (№67/850) установлен централизованный механизм автоматического блокирования интернет-ресурсов "система фильтрации фишинговых доменов". Согласно ему, НБУ создает и предоставляет Национальному координационному центру кибербезопасности (НКЦК) при СНБО список фишинговых доменов, которые он размещает на своем сервере.
После этого интернет-провайдеры настраивают свои DNS-серверы таким образом, чтобы они без ведома и согласия интернет-пользователей перенаправляли их запросы в домены из списка на лендинговую страницу на сервере НКЦК. Предусматривается, что на сервере НКЦК собирается и сохраняется детальная информация в отношении интернет-пользователей, которые были перенаправлены на сервер. В частности, в системе сохраняется техническая информация, включающая дату и время, IP адрес, с которого осуществляется переход, доменное имя или URL фишинговой страницы, на которую осуществляется переход, user-agent.
"Система имеет интерфейс для доступа к информации в отношении переходов на лендинговую страницу. С целью анализа и соответствующего реагирования уполномоченным государственным органам предоставляется доступ к информации в отношении переходов на лендинговую страницу", - цитируется в письме ИнАУ выдержка из указанного регламента.
Таким образом, должностные лицам или сотрудники НКЦК осуществляют сбор, хранение, использование и распространение указанной информации, которая является информацией о лице, поскольку раскрывает такие детали действий лица в сети интернет, как: какой домен было намерение посетить, дату и время попытки посещения, ір-адрес, с которого была предпринята попытка посетить домен, считают в ассоциации.
Согласно заключению ИнАУ, это нарушает положение ряда статей законов "О защите информации в информационно-коммуникационных системах", "Об электронных коммуникациях", Конституции Украины. На этом основании сбор, хранение и распространение НКЦК информации предусмотренной р. 9 Регламента на основании распоряжения №67/850 является незаконным, убеждены в ИнАУ.
"В описанной ситуации видится, что имеет место использование Нацбанка Украины для наделения определенной легитимностью и пристойностью вышеописанной незаконной деятельности. Это может нанести серьезный ущерб безупречной репутации НБУ в Украине и во всем цивилизованном мире", - констатируется в письме.
Во избежание такой ситуации и при этом достижения изначальной цели блокирования фишинговых доменов ИнАУ предлагает рассмотреть возможность применения иного механизма. Он предусматривает, что НБУ формирует и постоянно обновляет список фишинговых доменов (как сейчас и происходит), предоставляет интернет-провайдерам доступ к списку. В свою очередь, интернет-провайдеры добровольно загружают этот список, имея при этом возможность направить в НБУ аргументированный отказ от блокирования того или иного домена, что снижает вероятность ошибочного блокирования доменов, которые не являются фишинговыми. В случае, если интернет-пользователь пытается посетить один из доменов из списка, он перенаправляется на лендинговую страницу, размещенную на серверах его провайдера, что решает проблему с конфиденциальностью, указывается в тексте предложений.
"Уверены, что именно такой механизм, построенный на взаимодействии Национального банка Украины и украинской телекоммуникационной отрасли и на уважении прав украинских интернет-пользователей, не только не причинит вреда репутации НБУ, но и в который раз подтвердит ее высокий уровень", - резюмируется в письме ИнАУ.
Ранее ассоциация просила парламентариев дать оценку законопроекту №9250 "О внесении изменений в Закон Украины "Об электронных коммуникациях" (о противодействии фишингу) с учетом аргументов ИнАУ, объединяющей 220 предприятий отрасли информационно-коммуникационных технологий.