Знает ли ваш провайдер, что вы смотрели вчера ночью? И почему это хочет знать государство

В начале сентября депутат от Слуги народа Денис Монастырский подал в Верховную Раду два законопроекта (4003 и 4004), которые вносят изменения в законодательство в сфере кибербезопасности и деятельность телеком-провайдеров. Провайдеры должны будут хранить данные о подключениях пользователей в течение 12 месяцев и делиться ими с правоохранителями по запросу следствия. Кроме того, в законодательстве может появиться понятие виртуальных активов (которые можно будет изъять), а электронная информация будет приравнена к обычной. 

Редакция Liga.Tech разбиралась, что о клиентах знают интернет-провайдеры, как происходит их взаимодействие с силовиками сейчас и чем чреваты изменения.

Что украинские провайдеры знают об интернет-пользователях?

“Провайдеры видят весь трафик из внутренних сетей (домашних или корпоративных) без разделения на устройства. То есть они видят только IP-адрес сети, а не MAC-адрес устройства”, – объясняет специалист по безопасности в “Лаборатории цифровой безопасности” Вадим Гудим. 

Может ли провайдер видеть, чем конкретно пользователь занимается на сайте, зависит от типа подключения, уточняет эксперт. Если это веб-трафик и пользователь посещает сайт с https:// – TLS-шифрованием, то провайдеру доступен только адрес веб-сайта и метаданные, контент страниц – нет. 

В 2016 году поисковый гигант Google, на который приходится более 92% всего web-поиска, объявил, что будет понижать в выдаче сайты без шифрования. Поэтому на сегодня большинство сайтов в интернете используют сертификаты шифрования.

Лайфхак: Проверить есть ли у сайта этот HTTPS очень просто – слева в адресной строке отображается замок

Чем провайдер сейчас должен делиться с правоохранителями и что хотят поменять

“Сейчас операторы сотрудничают с правоохранительными органами, руководствуясь требованиями ст. 39 Закона и передавая соответствующую информацию по решению следственного судьи, в частности, в соответствии с процедурой определенной ст. 159-166 УПК Украины”, – объясняет директор департамента регуляторной обеспечения ОАО «Укртелеком» Андрей Каленский.

Речь идет о передаче технической информации по разрешению суда. Это, в частности, IP-адрес и метаданные подключения. 

Вадим Гудим объясняет, что в большинстве случаев судья дает разрешение на доступ к технической информации, поэтому как таковой необходимости менять эту норму – нет. 

Когда речь идет о данных, идентифицирующих пользователей, то нет ничего плохого, в том, что правоохранитель будет придерживаться строгих процедур. “При том, как сейчас в Украине работает правовая и судебная системы – это значит подвергать граждан риску. Без решения судьи человек может не знать годами, что за ним следят. И это главная опасность”, – считает Гудим. 

В странах Западной Европы и США, где правосудие работает лучше, чем в Украине, и то возникают проблемы со злоупотреблением данных. Самый громкий скандал на эту тему был из-за вскрытия слежки за гражданами США бывшим агентом ЦРУ Эдвардом Сноуденом в 2013 году. 

Депутаты хотят дать правоохранителям право не только получать доступ без разрешения суда, на этапе проведения расследования, но и изымать и “взламывать” устройства, объясняет Станислав Борис, руководитель практики безопасности бизнеса Juscutum. “Это сформулировано в законопроекте как “преодолевать системы логической защиты”, но не описано, каким именно образом”, – объясняет он. Основания для того, чтобы изымать технику, депутаты не приводят.

А сейчас провайдеры могут помогать в расследовании киберпреступлений?

Гудим из “Лаборатории цифровой безопасности” считает, что у киберполиции уже есть все технические инструменты для отслеживания преступной активности. Провайдеры и так видят, какой тип трафика идет в их сети. “Если с известного хостинга распространяется злоумышленное ПО и трафик идет, например, на госучреждение, провайдеры это видят, если у них стоят нормальные антивирусы и другое ПО”, – приводит пример он. 

Чего нет сейчас, так это коммуникации между провайдерами и киберполицией. Правоохранители должны (и могут это делать сейчас) отслеживать возможные угрозы, в том числе, на форумах хакеров и т.д., и сообщать провайдерам, что нужно отслеживать в трафике, какие сигнатуры. А те – сообщать правоохранителям о злоумышленной активности в своей сети.

Что представляет собой электронная информация для украинского законодательства?

В Криминально-процессуальном кодексе информация в электронном виде не прописана как отдельная сущность в списке того, что может использоваться в уголовном производстве ни одной из сторон. Такой сущности, как криптовалюта (Украина, кстати, входит в топ стран по использованию), в КПК тоже пока нет. Получается, что по закону, правоохранители не могут с ней ничего сделать. 

Депутаты хотят придать электронной информации статус самостоятельного доказательства. К таковым хотят отнести электронные документы, виртуальные активы, веб-сайты и веб-страницы, текстовые, голосовые и мультимедийные сообщения, метаданные, базы данных и др. 

Виртуальные активы – это, по сути, криптовалюта. Если они станут самостоятельным объектом, их можно будет арестовать, конфисковать, объясняет Станислав Борис. Но так как по факту сделать это практически невозможно, власть хочет обязать владельцев виртуальных активов, полученных незаконным путем, выплачивать их стоимость.

Что государства знают о своих гражданах и сколько это стоит?

Китай. Самый наглядный пример серьезной интернет-цензуры – это Китай. Власти знают, какие сайты посещают жители Поднебесной, что ищут, что пишут друг другу. Там не работают 1,5 млн западных сайтов и платформ и недоступны многие VPN. Но в Китае это возможно, в первую очередь, потому что сами мессенджеры и другие социальные платформы сотрудничают с властями и позволяют им читать и цензурировать переписку пользователей, удалять сообщения, блокировать аккаунты и ресурсы. Сколько стоит тотальный контроль за сотнями миллионов интернет-пользователей неизвестно. Три года назад цензурой в китайском интернете занимались 50 000 человек. 

Россия. Свой firewall пытается построить и Россия. В рамках “закона Яровой”, который был принят в 2016 году, власти тоже обязали организаторов распространения информации (для них создан отдельный реестр, сейчас в нем 257 сервисов, в том числе Яндекс, Mail.ru, Telegram, но нет Viber и WhatsApp, Facebook) предоставлять доступ ФСБ к информационным системам и ключи для дешифровки переписки. Газета “Ведомости” писала, что закупка оборудования обошлась властям в 10 млрд рублей (более $130 млн). Впрочем, попытка заблокировать Telegram, когда сервис отказался предоставлять ключи шифрования, закончилась фиаско. 

Беларусь. Во время протестов после президентских выборов власти пытались с помощью DPI-оборудования (оборудования для глубокой инспекции трафика, то есть для слежения за действиями пользователей в интернете) блокировать отдельные сервисы и ограничивать скорость интернета. Это привело к плачевным результатам – страна на три дня осталась почти без интернета. 

Эксперты по безопасности из Netblocks полагают, что власти ограничили доступ к белорусским и иностранным ресурсам, поставив фильтр реагирующий примерно на 10 000 слов. Речь о “чтении” переписки властями не шла, мессенджеры были заблокированы полностью (для доступа без специальных сервисов по обходу блокировки). Оборудование с такими возможностями обошлось стране “всего лишь” в $2,5 млн.

Украина. Власть периодически пытается усилить контроль над украинским интернетом, в 2018 году уже пытались обязать провайдеров следить за пользователями (законопроект 6688), но попытка провалилась. Проект не прошел профильный комитет в том числе из-за того, что он противоречил нормам украинского законодательства, и его в итоге отозвали.