Боротьба з фішингом: що пропонують законотворці?

28 квітня 2023 року у Верховній Раді був зареєстрований Проект Закону № 9250 про внесення змін до Закону України “Про електронні комунікації” (щодо протидії фішингу). У травні до парламенту внесли альтернативний до нього Проект № 9250-1 щодо вдосконалення регулювання електронної комунікаційної послуги визначення місцезнаходження домену в мережі Інтернет та протидії фішингу. Профільний Комітет Верховної Ради України з питань цифрової трансформації попередньо розглянув на своєму засіданні 15 червня 2023 року обидві ініціативи та рекомендував включити їх до порядку денного парламентської сесії.

Обидва проекти спрямовані на боротьбу з кіберзлочинцями та шахраями, що виманюють різноманітну персональну інформацію у користувачів, і є актуальними в умовах воєнного стану, коли фішингові кібератаки становлять один із основних онлайн-інструментів держави-агресора. Водночас, основний законопроект не містить жодної вказівки на те, чи буде обмежена дискреція органів влади у мирний час, що може створювати проблеми з наданням надмірних повноважень органам виконавчої влади у сфері блокування сайтів.

Які зміни передбачають Проекти?

Передусім законопроект № 9250 надає визначення фішингу, який визначається як неправомірні дії в мережі Інтернет, наслідком яких є або може бути виманювання персональних даних та інших даних абонентів, в тому числі реквізитів платіжних карток та паролів, ідентифікаційних номерів, номерів банківських рахунків тощо. Аналогічна дефініція стосується і фішингового вебсайту – ресурсу у мережі Інтернет, який створений та використовується в неправомірних цілях з метою виманювання у абонентів персональних даних та інших даних, зазначених вище. 

Законопроект № 9250-1 фактично дублює вищезгадані положення щодо запровадження дефініцій, при цьому додаючи ще одну –  послугу DNS англ. Domain Name System – система доменних імен), яка визначається як комунікаційна послуга, що дає змогу шляхом використання сервера доменних імен отримувати інформацію про адресний запис домену.

Крім цього, основний законопроект, на відміну від альтернативного, пропонує надати повноваження центральному органу виконавчої влади у сферах електронних комунікацій та радіочастотного спектра (Адміністрація Держспецзв’язку (у мирні часи – Мінцифри)) щодо розробки та затвердження на підставі пропозицій Національного банку України правил протидії фішингу та фішинговим вебсайтам, а також встановлення прав та обов’язків постачальників DNS . При цьому під постачальником DNS розуміється постачальник електронних комунікаційних послуг, який має власні сервери DNS та з їх використанням надає абонентам інформацію про домени. 

У чому проблематика?

Як вказується вище, Проект уповноважує спеціальний центральний орган на різні функції стосовно протидії фішингу. Цілком ймовірно, що даний Проект може бути відповіддю на Розпорядження НЦУ щодо впровадження системи фільтрації фішингових доменів. Відповідно до Розпорядження, Система кожні 15 хвилин автоматично завантажує на сервер провайдера перелік потенційно шкідливих Інтернет-адрес для автоматичного блокування. Першочергово переслідуючи легітимну мету щодо протидії фішингу, НЦУ фактично встановило систему автоматичного блокування Інтернет-ресурсів, про що застерігає Інтернет-асоціація України у зверненнях до державних інституцій. 

Законопроект містить і інші проблемні аспекти. По-перше, встановлення прав та обов’язків постачальників DNS та легалізація будь-яких механізмів захисту проти фішингу буде здійснюватися на підзаконному, а не законодавчому рівні. Це може означати надання широкої дискреції для Держспецзв’язку щодо закріплення порядку блокування сайтів на підзаконному рівні без належних законодавчих гарантій ефективного оскарження відповідних рішень та з обмеженою можливістю впливу на підзаконні акти через громадські обговорення.

По-друге, пропозиція встановлювати такий порядок поширюється не лише на період воєнного або надзвичайного стану, коли обмеження може бути легітимним, а й у мирний час. У цьому контексті, віднесення компетенції встановлювати правила протидії фішинговим сайтам на рівень органу виконавчої влади може бути надмірним.

 

Цей аналітичний роз’яснювальний матеріал створено в рамках програми “Сприяння Інтернет свободі в Україні”, яку реалізує Американська Асоціація Юристів в Україні / Ініціатива верховенства права.