Голові Національного банку України
Департаменту безпеки
Юридичному департаменту
Департаменту ризик-менеджменту
Офісу Правління Національного банку та інституційних відносин
Вих. № 53
від 31.05.2023
Шановні панове!
Інтернет Асоціація України (далі – ІнАУ), яка об’єднує понад 220 підприємств галузі інформаційно-комунікаційних технологій, висловлює Вам свою повагу та повідомляє наступне.
Розпорядженням Національного центру оперативно-технічного управління мережами телекомунікацій від 30.01.2023 №67/850 «Про впровадження системи фільтрації фішингових доменів» (далі – Розпорядження) встановлено централізований механізм автоматичного блокування інтернет-ресурсів, декларований як «система фільтрації фішингових доменів» (далі – Регламент).
Відповідно до Регламенту механізм блокування доменів наступний:
- Національний банк України (надалі – НБУ) створює та надає Національному координаційному центру кібербезпеки при РНБОУ (надалі – НКЦК) перелік фішингових доменів (надалі – «Перелік»);
- НКЦК розміщує цей Перелік на своєму сервері;
- інтернет-провайдери налаштовують свої DNS-сервери таким чином, щоб вони без відома та згоди інтернет-користувачів перенаправляли їх запити до доменів з Переліку на лендінгову сторінку, яка розміщена на сервері НКЦК.
Таким чином, у випадку, якщо інтернет-користувач мав намір зайти на домен, включений у Перелік, то він потрапить на сервер НКЦК.
Розділом 9 Регламенту передбачено, що на сервері НКЦК збирається та зберігається детальна інформація стосовно інтернет-користувачів, які були перенаправлені на цей сервер, а саме:
«При переході на лендінгову сторінку у Системі зберігається технічна інформація, що включає дату і час, IP адресу (підмережу), з якої здійснюється перехід, доменне ім'я або URL фішингової сторінки, на яку здійснюється перехід, user-agent тощо.
Система має інтерфейс для доступу до інформації щодо переходів на лендінгову сторінку.
З метою аналізу та відповідного реагування уповноваженим державним органам надається доступ до інформації щодо переходів на лендінгову сторінку».
Отже, посадовими особами та/або співробітниками НКЦК здійснюється збирання, зберігання, використання та поширення вказаної вище інформації. При цьому така зазначена вище інформація є інформацією про особу, оскільки розкриває такі деталі дій особи в мережі Інтернет, як: який домен був намір відвідати, дату і час спроби відвідання, ір-адресу, з якої було здійснено спробу відвідати домен тощо.
Відповідно до частини другої статті 21 Закону України «Про інформацію»:
«2. Конфіденційною є інформація про фізичну особу, інформація, доступ до якої обмежено фізичною або юридичною особою, крім суб'єктів владних повноважень, а також інформація, визнана такою на підставі закону. Конфіденційна інформація може поширюватися за бажанням (згодою) відповідної особи у визначеному нею порядку відповідно до передбачених нею умов, якщо інше не встановлено законом.
Відносини, пов'язані з правовим режимом конфіденційної інформації, регулюються законом».
Згідно зі статтею 2 та частиною першою статті 9 Закону України «Про захист інформації в інформаційно-комунікаційних системах»:
«Об'єктами захисту в системі є інформація, що обробляється в ній, та програмне забезпечення, яке призначено для обробки цієї інформації.
…
Відповідальність за забезпечення захисту інформації в системі покладається на власника системи».
Відповідно до статті 119 Закону України «Про електронні комунікації»:
«1. Постачальники електронних комунікаційних послуг повинні забезпечувати і нести відповідальність за схоронність даних щодо кінцевого користувача, отриманих при укладенні договору про надання електронних комунікаційних послуг та наданні електронних комунікаційних послуг, у тому числі щодо:
1) персональних даних споживача;
2) факту отримання кінцевим користувачем електронних комунікаційних послуг;
3) змісту інформації, що передається та/або отримується кінцевим користувачем;
4) обсягу, змісту, маршрутів передачі інформації (даних), у тому числі даних, що обробляються з метою передачі інформації в електронних комунікаційних мережах або оплати електронних комунікаційних послуг;
5) даних про місцезнаходження, до яких відносяться будь-які дані, що обробляються постачальником електронних комунікаційних послуг при наданні послуг електронних комунікацій, у тому числі про розташування термінального обладнання. Зазначена вимога не поширюється на випадок передачі даних про місцезнаходження абонента, що здійснює екстрену комунікацію, до комунікаційного центру "Служба 112" та екстрених служб за телефонними номерами 112, 101, 102, 103 та 104;
6) даних про спроби виклику між певними кінцевими точками електронної комунікаційної мережі, в тому числі про невдалі спроби виклику (таких, що були ініційовані і не отримали відповіді) або перерване з'єднання.
2. Інформація про електронні комунікаційні послуги, отримані кінцевим користувачем, може надаватися за наявності його попередньої згоди, вираженої у письмовій чи будь-якій іншій формі, що дає змогу зробити висновок про факт надання такої згоди або у порядку та відповідно до вимог Конституції України та законів України».
Отже, відповідно до вказаних вище норм законів інформація «, що включає дату і час, IP адресу (підмережу), з якої здійснюється перехід, доменне ім'я або URL фішингової сторінки, на яку здійснюється перехід, user-agent тощо», є такою, що підлягає захисту, щодо якої повинна бути забезпечена схоронність та яка може розкриватися лише за згодою кінцевого інтернет-користувача. Тобто така інформація, визначена у розділі 9 Регламенту, є конфіденційною.
Відповідно до статті 32 Конституції України:
«Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини».
Згідно із частиною другою статті 11 Закону України «Про інформацію»:
«2. Не допускаються збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та захисту прав людини».
Як видно із наведених норм Конституції та Закону України «Про інформацію», збирати, зберігати та поширювати (передавати іншим державним органам) конфіденційну інформацію про особу можна лише за наявності її згоди або у випадках, передбачених законом.
Проте, НКЦК збирає, зберігає та поширює таку інформацію:
а) без згоди осіб – інтернет-користувачі не лише не дають свою згоду, але й не знають про те, що їх запит було перенаправлено на сервер НКЦК, і відповідно, не знають, що така інформація про них збирається, зберігається і передається іншим державним органам;
б) не у визначених законом випадках – вказана інформація збирається, зберігається і поширюється не на підставі якогось закону, а на підставі Розпорядження Національного центру оперативно-технічного управління мережами телекомунікацій від 30.01.2023 №67/850 «Про впровадження системи фільтрації фішингових доменів».
Таким чином, збирання, зберігання і поширення НКЦК інформації, передбаченої розділом 9 Регламенту, на підставі Розпорядження є незаконним, оскільки суперечить Конституції, Закону України «Про електронні комунікації» та Закону України «Про інформацію».
В описаній ситуації, здається, що має місце використання Національного банку України для надання певної легітимності та пристойності вищеописаній незаконній діяльності. Це може нанести серйозної шкоди бездоганній репутації НБУ в Україні та в усьому цивілізованому світі.
Для недопущення вказаного, а також задля досягнення первісної мети (а саме – блокування фішингових доменів) пропонуємо Вам розглянути значно простіший, швидший, дешевший, а головне – законний та цивілізований механізм, а саме:
- НБУ формує та постійно оновлює Перелік фішингових доменів (як зараз і відбувається);
- НБУ надає інтернет-провайдерам доступ до цього Переліку;
- інтернет-провайдери добровільно завантажують цей перелік, маючи при цьому можливість направити в НБУ аргументовану відмову від блокування того чи іншого домену, що зменшить ймовірність помилкового блокування доменів, які не є фішинговими;
- у випадку, якщо інтернет-користувач намагається відвідати один із доменів із Переліку, він перенаправляється на лендінгову сторінку, розміщену на серверах його провайдера, що вирішує проблему із конфіденційністю його інформації.
Впевнені, що саме такий механізм, побудований на взаємодії Національного банку України і української телекомунікаційної галузі та повазі до прав українських інтернет-користувачів, не лише не зашкодить репутації НБУ, а й вчергове доведе її високий рівень.
Будемо вдячні за відповідь щодо висвітлених в цьому зверненні питань. Готові до конструктивної співпраці.
З повагою
Голова Правління ІНТЕРНЕТ АСОЦІАЦІЇ УКРАЇНИ Олександр САВЧУК