Начальнику Департаменту контррозвідувального захисту
інтересів держави у сфері інформаційної безпеки
Служби безпеки України
ВІТЮКУ І.А.
Вих. № 52
від 26.05.2023
На Ваш вих. №3011/1-5843 від 18.05.2023
Шановний Ілле Анатолійовичу!
Інтернет Асоціація України (ІнАУ), яка об’єднує понад 220 підприємств галузі електронних комунікацій, висловлює Вам свою повагу та, у відповідь на Ваш вих. №3011/1-5843 від 18.05.2023 (далі – Ваш лист) «Щодо системи фільтрації фішингових доменів», повідомляє наступне.
1. Члени ІнАУ в офіційній розсилці Асоціації 24.05.2023 були ознайомлені з позицією Вашого Департаменту щодо відсутності загроз у роботі Системи фільтрації фішингових доменів, впровадженої розпорядженням НЦУ від 30.01.2023 №67/850 (далі – Система фільтрації).
2. За даними опитування, яке ІнАУ провела у квітні 2023 щодо ризиків Системи фільтрації, переважна більшість керівників операторів електронних комунікацій серед членів ІнАУ не поділяють висновок Вашого Департаменту щодо відсутності загроз у роботі Системи фільтрації. 62% опитаних експертів вважають, що Система фільтрації несе загрози інформаційній безпеці України, а 72% вважають, що використання сервера НКЦК РНБО для передачі провайдерам переліку фішингових сайтів створює додаткові суттєві ризики. Деталі – за посиланням https://inau.ua/sites/default/files/file/2304/pidsumki-opituvannya.pdf.
3. ІнАУ не лише направляла листи ряду керівників виконавчої і законодавчої влади України з приводу ризиків для національної безпеки, але й надала конкретні постатейні зауваження, які, на наш погляд, мали нівелювати ті ризики, які ІнАУ вбачає в Системі фільтрації. З цими конкретними зауваженнями можна ознайомитись за посиланням https://inau.ua/document/lyst-no-321-6-vid-21032023-rnbo-vru-nktsk-derzhspetszvyazku-ntsu-ta-nbu-shchodo. На жаль, адресати цих пропозицій не лише не взяли їх до уваги, але й, як можна зазначити з Вашого листа, не ознайомили з ними Ваш Департамент. Пропонуємо ознайомитись з цими пропозиціями.
4. На нарадах за участю представників РНБО України, НЦУ, Держспецзв’язку, ВРУ, ІнАУ та інших представників індустрії, які відбулись впродовж березня-квітня 2023 з обговорення Системи фільтрації, піднімалось питання доцільності проведення аудиту Системи фільтрації на предмет усіх можливих ризиків. Але нам стало відомо лише зараз з Вашого листа про те, що таке опрацювання вже було проведене НЦУ, а також про те, що аналіз роботи Системи фільтрації щодо загроз інтересам держави та суспільства також було проведено Вашим Департаментом. Будемо дуже вдячні за можливість ознайомитись з результатами цього аналізу, проведеного НЦУ і Вашим Департаментом (принаймні з тією їх частиною, яка не складає державної таємниці).
5. Звертаємо Вашу увагу та те, що у Вашому листі приведений не повний перелік інформації про користувачів, які збирає Система фільтрації. В п.9 «Регламенту роботи системи фільтрації» зазначається, що крім тієї інформації, яка перелічена у Вашому листі, також зберігається інформація користувача про «user-agent тощо». User-agent - це інформація, що надсилається веб-клієнтом на веб-сервер, щоб ідентифікувати його перед сервером, а разом з IP-адресою, а тим більше з незрозумілим “тощо”, під яке підпадає будь-що, це цілком може вважатись персональною інформацією, яка збирається всупереч вимогам Закону України «Про захист персональних даних».
З огляду на зазначене висловлюємо надію, що Ваш висновок про те, що позиція ІнАУ щодо Системи фільтрації є деструктивною і може зашкодити забезпеченню державної безпеки України, буде змінено, і сподіваємось на Вашу підтримку наших намагань спрямувати зусилля держави у протидії фішингу у законне русло.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК