Секретарю Ради національної безпеки і оборони України
ДАНІЛОВУ О.М.
Голові Державної служби спеціального
зв’язку та захисту інформації України
ЩИГОЛЮ Ю.Ф.
Віцепрем’єр-міністру –
Міністру цифрової трансформації України
ФЕДОРОВУ М.А.
Копія:
Керівнику Національного центру оперативно-технічного
управління мережами телекомунікацій
ТИТАРЕНКУ О.В.
Вих. № 13/1-3
від 08.02.2023
Щодо розпорядження НЦУ від 30.01.2023 № 67/850
Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 230 суб’єктів господарювання у сфері інформаційно-комунікаційних технологій, значна частина яких є операторами електронних комунікацій, які надають послуги доступу до мережі Інтернет, висловлюємо Вам свою повагу та звертаємося з наступним.
Національна комісія, що здійснює державне регулювання у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку (далі – НКЕК) на своєму вебсайті опублікувала розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій (далі – НЦУ) від 30.01.2023 № 67/850 «Про впровадження системи фільтрації фішингових доменів» (далі – розпорядження НЦУ).
Розпорядженням НЦУ встановлено, що постачальники електронних комунікаційних мереж та послуг протягом 30 календарних днів повинні здійснити реєстрацію в системі фільтрації фішингових доменів та забезпечити подальше здійснення фільтрації фішингових доменів на рекурсивних DNS-серверах згідно з Регламентом роботи системи фільтрації фішингових доменів (далі – Регламент). Про реєстрацію в системі та здійснення фільтрації фішингових доменів згідно з Регламентом постачальники електронних комунікаційних мереж та послуг повинні повідомити оперативного чергового НЦУ. Додатком до розпорядження НЦУ є Регламент.
Проте, ознайомившись із документами, є підстави вважати, що вимоги розпорядження НЦУ та Регламент не відповідають нормам діючого законодавства у сфері електронних комунікацій та прийняті з перевищенням повноважень НЦУ.
Щодо перевищення повноважень НЦУ.
1. Відповідно до частин четвертої-п’ятої статті 32 Закону України «Про електронні комунікації» (далі – Закон), в умовах надзвичайного та воєнного стану Національний центр оперативно-технічного управління електронними комунікаційними мережами України (НЦУ) виконує оперативно-технічне управління електронними комунікаційними мережами у межах повноважень, наданих йому Кабінетом Міністрів України. НЦУ взаємодіє з центрами управління постачальників електронних комунікаційних мереж та/або послуг, у тому числі іноземних.
НЦУ утворено та діє відповідно до розпорядження Кабінету Міністрів України від 27.03.2019 № 177-р у структурі Державної служби спеціального зв’язку та захисту інформації (далі – ДССЗЗІ).
Відповідно до частини сьомої статті 32 Закону, взаємодія постачальників електронних комунікаційних мереж та/або послуг з НЦУ здійснюється на договірних засадах у порядку та відповідно до умов типового договору, що затверджуються центральним органом виконавчої влади у сферах електронних комунікацій та радіочастотного спектра. Проте, типовий договір не затверджено та договори про взаємодію не укладені.
Відповідно до частини восьмої статті 32 Закону, НЦУ в умовах надзвичайного або воєнного стану видає розпорядження щодо оперативно-технічного управління електронними комунікаційними мережами, які є обов’язковими для виконання постачальниками електронних комунікаційних мереж та/або послуг.
Відповідно до пункту 15 частини першої статті 5 Закону, Кабінет Міністрів України затверджує порядок створення та діяльності системи оперативно-технічного управління електронними комунікаційними мережами загального користування та Національного центру управління електронними комунікаційними мережами для цілей оборони та безпеки держави в умовах надзвичайної ситуації, надзвичайного або воєнного стану.
Отже, відповідно до статті 32 Закону, НЦУ уповноважене виключно на здійснення функцій з оперативно-технічного управління електронними комунікаційними мережами у порядку, встановленому Кабінетом Міністрів України. Положення про НЦУ у вільному доступі відсутнє.
На сьогодні є чинною постанова Кабінету Міністрів України від 29.06.2004 № 812 «Деякі питання оперативно-технічного управління телекомунікаційними мережами в умовах надзвичайних ситуацій, надзвичайного та воєнного стану» (зі змінами) (далі – постанова КМУ № 812).
Відповідно до визначення, даного у постанові КМУ № 812: оперативно-технічне управління телекомунікаційними мережами – контроль за функціонуванням телекомунікаційних мереж і проведення організаційно-технічних заходів з управління телекомунікаційними мережами з метою забезпечення їх сталого та якісного функціонування.
Основними завданнями та функціями НЦУ (п.26 постанови КМУ № 812) в умовах воєнного стану визначено загальне управління ЦУМ, забезпечення можливості ОТУ телекомунікаційними мережами з метою їх сталого функціонування та використання в інтересах управління державою, попередження, локалізації та ліквідації наслідків надзвичайних ситуацій, оповіщення населення, забезпечення проведення мобілізації, задоволення потреб національної безпеки, оборони, охорони правопорядку.
Функції НЦУ визначені у пункті 28 постанови КМУ № 812.
Отже, основна функція НЦУ це, разом із постачальниками електронних комунікаційних мереж та послуг в умовах, зокрема, воєнного стану, забезпечити стале та якісне функціонування електронних комунікаційних мереж.
Звертаємо увагу, що приписами статті 32 та іншими положеннями Закону, постановою КМУ № 812, НЦУ не має повноважень «описувати» основні принципи та процедури взаємодії з системою фільтрації фішингових доменів, як про це зазначено у Регламенті.
Відповідно до статті 6 Закону, саме центральний орган виконавчої влади у сферах електронних комунікацій та радіочастотного спектра, яким, відповідно до постанови Кабінету Міністрів України від 24.06.2022 № 718 «Про внесення змін до пункту 1 постанови Кабінету Міністрів України від 9 лютого 2022 р. №107» протягом періоду дії правового режиму воєнного стану в Україні та шести місяців після його припинення чи скасування, є Адміністрація ДССЗЗІ, має повноваження узагальнення практики застосування законодавства та розроблення пропозицій щодо його вдосконалення, розроблення та внесення в установленому порядку проектів законодавчих актів, актів Президента України, Кабінету Міністрів України на розгляд Кабінету Міністрів України, розроблення за погодженням з регуляторним органом правил надання та отримання електронних комунікаційних послуг, формування, реалізації та впровадження в межах повноважень, визначених цим Законом, технічної політики у сферах електронних комунікацій та радіочастотного спектра тощо.
Отже, на сьогодні, лише Адміністрація ДССЗЗІ, відповідно до Закону, має повноваження розробляти положення, які визначатимуть правила діяльності постачальників електронних комунікаційних послуг та мереж, зокрема, щодо їх реєстрації в якихось системах, права, обов’язки та відповідальність при такій реєстрації тощо.
2. НЦУ, у преамбулі, як на підставу прийняття розпорядження НЦУ, посилається на статтю 32 Закону, Указ Президента України від 24.02.2022 № 64/2022 «Про введення воєнного стану в Україні» (зі змінами). Але ці нормативно-правові акти не розширюють повноваження, уже існуючі та встановлені у тій же статті 32 Закону.
У Регламенті є посилання на те, що система є складовою Національного сервісу доменних імен (DNS), створення якого передбачено пунктом 54 Плану реалізації Стратегії кібербезпеки України, схваленого рішенням РНБО від 30.12.2021 та введеного в дію Указом Президента України від 01.02.2022 № 37/2022.
Але у пункті 54 Плану реалізації Стратегії кібербезпеки України йдеться про створення у першому півріччі 2023 року Національного сервісу доменних імен (DNS) та відповідальними за реалізацію визначено Кабінет Міністрів України, Національний координаційний центр кібербезпеки, а не НЦУ.
Наскільки нам відомо, Національний сервіс доменних імен не створено, нормативно-правові акти, які повинні передувати його створенню, не існують, в т.ч. не затверджено положення чи інший документ, який визначатиме порядок та правила функціонування такого центу, його структуру тощо.
Тому взагалі не зрозуміло, з яких підстав НЦУ одноосібно, без відповідного рішення Кабінету Міністрів України, у своєму розпорядженні визнав, що система вже є складовою Національного сервісу доменних імен (DNS)? Та, при цьому, встановив зобов’язання для усіх постачальників електронних комунікаційних послуг та мереж.
Отже, діючими нормативно-правовими актами, на які є посилання як на законність прийняття Розпорядження НЦУ та Регламенту, ніхто не уповноважував НЦУ на створення системи фільтрації доменних імен. Відтак, Розпорядження НЦУ та Регламент не ґрунтуються на нормах законодавства.
3. З тексту розпорядження НЦУ та Регламенту незрозуміло, хто і на підставі якого нормативно-правового акту уповноважив НЦУ на створення системи фільтрації фішингових доменів, чи затверджено положення про таку систему в установленому порядку, а також чи уповноважене НЦУ своїм розпорядженням визначати власника цієї системи – Національний координаційний центр кібербезпеки апарату РНБО (розділ 10 Регламенту).
Відсутність у чинному законодавстві відповідей на ці питання ставить під сумнів законність як розпорядження НЦУ, так і Регламенту.
Регламент має ознаки нормативно-правового акту, який підлягає державній реєстрації.
1. Відповідно до частини другої статті 32 Закону, НЦУ створюється для забезпечення можливості оперативно-технічного управління електронними комунікаційними мережами всіх постачальників електронних комунікаційних мереж та/або послуг в умовах надзвичайного та воєнного стану. Відтак, сфера дії розпоряджень НЦУ на постачальників електронних комунікаційних мереж та/або послуг обмежується часовим періодом.
Проте, у Регламенті про період його дії не вказано, що може свідчити про намір НЦУ встановити його дію безстроково. Існуюче законодавство, що регулює діяльність НЦУ, не визначає також і порядок та процедури винесення розпоряджень та коли вони набувають чинності.
Отже, у Регламенті не вказано його дію (чинність) у часі.
2. Зі змісту Регламенту та з огляду на визначення термінів «уповноважені державні органи», «учасники Системи» слідує, що дія Регламенту поширюватиметься на невизначене коло осіб, в т.ч. і на основні суб’єкти національної системи кібербезпеки, а не лише на постачальників електронних комунікаційних послуг та мереж.
У відповідності до визначення терміну «регуляторний акт», наданого у статті 1 Закону України «Про засади державної регуляторної політики у сфері господарської діяльності», Регламент має ознаки регуляторного акту, оскільки прийнятий структурним підрозділом регуляторного органу та встановлює, змінює чи скасовує норми права, застосовується неодноразово та щодо невизначеного кола осіб і який або окремі положення якого спрямовані на правове регулювання господарських відносин.
З огляду на зазначене, НЦУ порушено порядок прийняття регуляторного акту, який встановлений у Законі України «Про засади державної регуляторної політики у сфері господарської діяльності».
Відповідно до пункту 1 Указу Президента України від 03.10.1992 № 493/92 зі змінами, нормативно-правові акти, які видаються міністерствами, іншими органами виконавчої влади, органами господарського управління та контролю і які зачіпають права, свободи й законні інтереси громадян або мають міжвідомчий характер, підлягають державній реєстрації.
Нормативно-правові акти, зазначені в цьому Указі, набувають чинності через 10 днів після їх реєстрації, якщо в них не встановлено пізнішого строку надання їм чинності.
Статтею 117 Конституції України гарантовано, що нормативно-правові акти Кабінету Міністрів України, міністерств та інших центральних органів виконавчої влади підлягають реєстрації в порядку, встановленому законом.
Отже, при прийнятті Регламенту, НЦУ не дотримано вимоги вказаного Указу.
3. Зазвичай, Регламентом, як документом, визначають порядок і процедуру діяльності відповідного органу/структурних підрозділів або, це інструкція, зведення правил для користування чим-небудь. Назва «Регламент роботи системи фільтрації фішингових доменів. Версія 1.0» нібито і відповідає тому, що встановлюється регламент, тобто порядок роботи саме системи. Проте, по факту, встановлено нові вимоги у діяльності постачальників електронних комунікаційних мереж та послуг, а також інших суб’єктів, які в ньому згадуються. Відтак, за правилами нормотворчої техніки, положення Регламенту, після прийняття змін до Закону або взагалі прийняття нового закону, можуть бути відображені у нормативно-правовому акті з назвою «Правила».
Окрім цього, виникає і питання, чи має НЦУ повноваження, відповідно до власного Положення (якого немає у загальному доступі), затверджувати своїми розпорядженнями Регламенти, які мають міжвідомчий характер? Принаймні, відповідно до статті 32 Закону та постанови КМУ № 812, відповідь буде очевидною, що таких повноважень немає.
Сфера поширення розпорядження НЦУ та Регламенту.
За змістом виходить, що розпорядження НЦУ має сферу поширення на усіх постачальників електронних комунікаційних мереж та послуг, яких НЦУ у Регламенті «автоматично» визначає провайдерами DNS.
Відповідно до Орієнтовного переліку видів електронних комунікаційних послуг, затвердженого постановою НКЕК від 21.09.2022 № 168, наразі, визнано 18 видів, і, до цього, види електронних комунікаційних послуг можуть визначатись самостійно суб’єктом господарювання при поданні до НКЕК повідомлення про початок здійснення діяльності.
Проте, як мінімум, здається дивним, а з юридичної точки зору, вважаємо, що некоректно визначати виконавцями Регламенту постачальників електронних комунікаційних послуг, які надають послуги доступу до систем умовного доступу до послуг цифрового телерадіомовлення, послуги доступу до фізичної інфраструктури, включаючи споруди, кабельні каналізації і щогли, послуги доступу до елементів електронної комунікаційної мережі та пов’язаних з нею засобів і послуг, послуги міжособистісної електронної комунікації тощо.
Таким чином, з використанням Орієнтовного переліку видів електронних комунікаційних послуг необхідно визначити перелік послуг, а потім постачальників електронних комунікаційних мереж та послуг, які підпадатимуть під дію Регламенту.
В протилежному випадку, постачальників електронних комунікаційних мереж та послуг зобов’язовують виконати вимоги – здійснити реєстрацію в системі фільтрації фішингових доменів, але, фактично, надалі ними не може бути забезпечено виконання Розпорядження НЦУ в силу специфіки електронних комунікаційних послуг, які вони надають.
Відсутність такої чіткої визначеності у переліку постачальників електронних комунікаційних мереж та послуг, на яких поширюватиметься Регламент, не лише є некоректним, а може мати й вкрай негативні наслідки, аж до виключення постачальника електронних комунікаційних мереж та/або послуг з реєстру постачальників електронних комунікаційних мереж та послуг, у відповідності до частини восьмої статті 32 Закону.
Відтак, розпорядженням НЦУ створюються несприятливі умови в діяльності окремих постачальників електронних комунікаційних мереж та послуг.
Щодо тексту Регламенту.
1. У розділі 2 Регламенту не надано визначення термінів: «фішингові домени», «фільтрація фішингових доменів», «послуга з отримання інформації про домени (DNS)», хоча ці терміни застосовуються. У Законі визначення цих термінів також відсутнє.
Відтак, відсутність єдиного розуміння термінів може призвести до неоднакового їх застосування.
2. У Регламенті надаються визначення термінів «провайдер DNS», «лендінгова сторінка», при цьому такі терміни відсутні у Законі.
Підзаконним нормативно-правовим актом вважається документ, який видається компетентним органом або посадовою особою на підставі закону, відповідно до нього, для конкретизації та виконання законодавчих приписів та містить норми права.
Таким чином у підзаконному нормативно-правовому акті, в даному випадку - Регламенті, не може бути встановлено нове регулювання відносин міжвідомчого характеру, встановлюватись нові права та обов’язків для суб’єктів, на яких поширюється Регламент, встановлюватись нові терміни, якщо таке регулювання не визначено у Законі. Інакше, впровадження регулювання певних відносин у виключно у підзаконному нормативно-правовому акті повністю руйнує існуючу в Україні правозастосовну техніку.
3. Визначення терміну «домен» у Регламенті відрізняється від визначення такого терміну у Законі.
4. У Регламенті пропонується визначення терміну «ІР-адреса», тоді, як таке поняття є в Законі, проте з іншою назвою та визначенням терміну: «адреса мережі Інтернет».
5. Ні у Законі, ні у Регламенті не надається визначення, що таке «Національний сервіс доменних імен». Наразі, у загальному доступі для ознайомлення відсутні положення про Національний сервіс доменних імен та інші документи, що регламентують його створення та функціонування. Принаймні, у Законі чи у спеціальному законі про створення такого сервісу та, з упровадженням якого на постачальників електронних комунікаційних мереж та послуг покладаються додаткові обов’язки, жодних положень про Національний сервіс доменних імен немає.
6. У розділі 5 Регламенту згадується, що «користувачі інтернет, які виявили фішинговий домен, мають право надати пропозиції щодо внесення доменів до зони RPZ через учасників Системи та/або Урядову команду реагування на комп’ютерні надзвичайні події України CERT-UA». Проте, у Регламенті немає відповіді на те, яким чином ці користувачі інтернету зможуть дізнатись про таке своє право та скористатись цим. Відтак, це положення взагалі не може бути реалізованим на практиці.
Питання захищеності Системи.
Оскільки, в Регламенті відсутнє положення про систему фільтрації фішингових доменів, виникає питання щодо її захищеності від несанкціонованого доступу та наявності КСЗІ. Це питання виникає ще в розрізі того, чи не буде наслідком створення такої системи встановлення додаткових вимог, в т.ч. фінансових, для постачальників електронних комунікаційних мереж та послуг?
Відповідно до статті 19 Конституції України, правовий порядок в Україні ґрунтується на засадах, відповідно до яких ніхто не може бути примушений робити те, що не передбачено законодавством. Органи державної влади та органи місцевого самоврядування, їх посадові особи зобов'язані діяти лише на підставі, в межах повноважень та у спосіб, що передбачені Конституцією та законами України.
На наше переконання, НЦУ щодо прийняття та застосування до постачальників електронних комунікаційних мереж та послуг розпорядження НЦУ та Регламенту діє всупереч статті 19 Конституції України.
В пункті 3 Указу Президента України від 24.02.2022 № 64/2022 «Про введення воєнного стану в Україні» (зі змінами) зазначено, що, у зв’язку із введенням в Україні воєнного стану тимчасово, на період дії правового режиму воєнного стану, можуть вводитися тимчасові обмеження прав і законних інтересів юридичних осіб в межах та обсязі, що необхідні для забезпечення можливості запровадження та здійснення заходів правового режиму воєнного стану, які передбачені частиною першою статті 8 Закону України «Про правовий режим воєнного стану».
Шахрайство в мережі Інтернет з використанням фішингових ресурсів було і до введення в країні воєнного стану, тому, впровадження Регламенту в порушення існуючих процедур та правил прийняття підзаконних нормативно-правових актів не може бути виправданим під виглядом реалізації мети, зазначеної в пункті 3 Указу Президента України від 24.02.2022 № 64/2022. Проблема, звісно, повинна вирішуватись, проте, не «в ручному режимі» з порушенням законодавства та не з порушенням прав та законних інтересів постачальників електронних комунікаційних послуг та мереж.
З огляду на все вищенаведене, своїм зверненням вважаємо за необхідне довести до Вашого відому, що розпорядження НЦУ та Регламенту не містять чітких та точних положень для їх застосування. Відтак, ефективно ці документи не можуть бути виконані.
Крім того, нами вказано на ряд недоліків, які, на наш погляд, є в діях НЦУ при прийнятті розпорядження НЦУ та Регламенту, а також в тексті Регламенту.
З огляду на зазначене, сподіваємось, що державними органами буде вжито відповідних заходів щодо недопущення застосування розпорядження НЦУ та Регламенту з порушенням законодавства та положення яких порушуватимуть права та законні інтереси постачальників електронних комунікаційних мереж та послуг.
Про результати розгляду цього звернення просимо повідомити письмово.
З повагою
Голова Правління Інтернет Асоціації України Олександр САВЧУК