У Раді хочуть зобов’язати інтернет-провайдерів збирати дані користувачів. Розповідаємо, чому це погано

У Верховній Раді зареєстрували кілька законопроєктів, які зобов’язують інтернет-провайдерів встановити у себе спеціальні пристрої для збору даних користувачів, а також дозволити правоохоронцям отримувати доступ до смартфонів і комп’ютерів. Кажуть, все заради безпеки. Журналіст Заборони Самуїл Проскуряков поспілкувався з експертами й дізнався, чому ініціатива викликає занепокоєння.

1 вересня 2020 року група народних депутатів від «Слуги народу», «За майбутнє» та «Довіра» на чолі з головою Комітету ВР із питань правоохоронної діяльності Денисом Монастирським зареєструвала пакет із трьох законопроєктів: 4002, 4003 та 4004. Для зручності назвімо його «пакетом Монастирського». За офіційною інформацією, він спрямований на боротьбу з кіберзлочинністю. Але насправді пропонує зобов’язати інтернет-провайдерів за власний кошт встановити технічні пристрої — так звані чорні коробочки. Вони дадуть змогу відстежувати активність користувачів у мережі, фіксувати й розкривати ці дані правоохоронним органам, зокрема СБУ. Так зробили у Росії, коли ухвалили «пакет Ярової». Він зобов’язав операторів зв’язку зберігати дані про всі розмови росіян.

Що таке «чорні коробочки»

Це обладнання, на якому стоїть спеціальне програмне забезпечення. Воно вміє перехоплювати, записувати й аналізувати ваш трафік. Конкретні технічні характеристики наразі не опублікували, але за допомогою таких апаратно-програмних комплексів можна не лише переглядати історію трафіку чи відстежувати його в режимі реального часу. Вони дають змогу блокувати ваш інтернет-трафік, керувати швидкістю передачі окремих пакетів, збирати детальну статистику з’єднання кожного користувача.

Служба безпеки України, до якої дотичний Денис Монастирський як голова Комітету з питань правоохоронної діяльності, ще на початку 2019 року розповіла інтернет-провайдерам про свої наміри й побажання щодо «чорних коробочок». Документ описує вимоги до обладнання, яке підтримує технології глибокого аналізу пакетів Deep packet inspection, або DPI. Така «чорна коробочка» дає змогу не лише «дзеркалити» ваш трафік, а й занурюватися у його вміст. Тобто СБУ чи той, хто контролюватиме відповідне обладнання з DPI, зможе визначати, на які сайти ви ходите, якими месенджерами й засобами для обходу блокувань користуєтеся. За бажання, він може блокувати їх або істотно сповільнювати.

Ще більше влади товаришу майору

Законопроєкт «пакету Монастирського» № 4003 дозволяє правоохоронцям отримувати доступ до інформації, яка зберігається у вашому смартфоні або комп’ютері навіть без санкції суду. Треба лише, аби слідчий чи прокурор вирішив, «що є достатні підстави вважати, що інформація, яка в них міститься, має значення для встановлення обставин у кримінальному провадженні».

На думку членів коаліції «За вільний Інтернет», ця норма надає необмежену можливість правоохоронним органам діяти на власний розсуд без судового нагляду і не захищає права українців на таємницю кореспонденції.

Інформацію інтернет-провайдери, відповідно до законопроєкту, зобов’язані зберігати протягом року. 

Юрист «Лабораторії цифрової безпеки» Максим Дворовий пояснює, що загалом стеження за комунікаціями є прийнятним. Але мають бути запобіжники — судові процедури перегляду такого стеження та потенційної компенсації, якщо дії були незаконними. Наявність ефективних запобіжників в Україні є сумнівною.

«Аргумент захисту національної безпеки завжди спрацьовує у таких дискусіях. Однак ти ніколи не можеш бути впевненим, що не прийдуть за тобою. Особливо, коли правоохоронні органи й суди слабкі», — каже Дворовий.

На думку політичного хакера «Українського кіберальянсу» Шона Таунсенда, в Україні подібні законопроєкти відкривають можливості для корупційних і маніпулятивних схем — стеження за конкурентами, опозиційними політиками, журналістами, громадськими діячами, збору компромату.

«Коробочки» придбаємо ми з вами

Автори законопроєкту № 4004 кажуть, що за «коробочки» мають платити інтернет-провайдери, як це було в Росії після ухвалення схожого «пакету Ярової». Українські провайдери ж братимуть гроші на апгрейд у клієнтів. Тобто ціни на інтернет-послуги, за словами представника «Інтернет-асоціації України» Максима Тульєва, зростуть. Із його прогнозом погоджується Шон Таунсенд і додає: якщо держава зобов’яже операторів встановити «чорні коробочки» за власний кошт, це призведе до значних втрат галузі та монополізації ринку, оскільки купити обладнання зможуть великі гравці, а малі збанкрутують.

Один крок до цифрового концтабору

Хактивіст Шон Таунсенд пояснює: наразі йдеться про поширену, зокрема і на Заході, практику Lawful interception (LI), або «законне перехоплення». Це має приблизно такий вигляд: держава зобов’язує операторів зв’язку й інтернет-провайдерів надавати правоохоронцям доступ до трафіку пересічних юзерів або організацій. У різних країнах механізми доступу дещо відрізняються, але завжди дотримуються основні принципи: LI зачіпає тільки конкретного користувача, суб’єкт не повинен знати про перехоплення, все відбувається під судовим наглядом із компенсаціями в разі помилки.

Водночас Максим Тульєв впевнений: ніщо не заважатиме після ухвалення «пакету Монастирського» перетворити Lawful interception на російський СОРМ (абревіатура від російської «Система технических средств для обеспечения функций оперативно-розыскных мероприятий»). «Чорні коробочки» з DPI, розміщені у російських провайдерів, не лише дають змогу «дзеркалити», фільтрувати та блокувати трафік, а й надають доступ до трафіку користувачів співробітникам ФСБ та іншим силовим структурам РФ. І щоб втрутитися у приватне життя громадян, російським силовикам не потрібно отримувати публічний дозвіл суду, а стежать вони за користувачами без відома інтернет-провайдера, оскільки силові структури мають власний дистанційний доступ до «чорних коробочок».

Які альтернативи?

Технологічні системи, провайдери й оператори зв’язку накопичують величезну кількість даних. Є ваша історія переміщень, всі вхідні та вихідні дзвінки тощо. Цих даних, на думку Шона Таунсенда та Максима Тульєва, достатньо для проведення розслідувань. «Для ефективного пошуку злочинців вистачить санкціонованої прослушки за рішенням суду, з компенсацією збитків оператору», — каже Шон. 

«Проблема в тому, що вони хочуть мати прямий доступ до мереж, рахунків, реєстрів. Без контролю і без суду. Це не хитрий план, а хитросплетіння совка, дурості й корупції», — підсумував хактивіст.

За кілька місяців до реєстрації «пакету Монастирського» на розгляд парламенту представили президентський законопроєкт № 3196 про «реформу» СБУ. Згідно з ним, СБУ і надалі буде найменш реформованим державним органом, але матиме ширші повноваження. Зокрема, пункт 8 статті 13 законопроєкту надає СБУ доступ до всієї інформації інтернет-користувачів без рішення суду. І це в умовах, коли СБУ систематично порушує права людини. Йдеться про безпідставні затримання та обшуки, катування і жорстоке поводження, нелегальні місця позбавлення волі, блокування інтернету та перехоплення телекомунікацій, безконтрольне стеження та тиск у різних формах на громадян, участь у незаконній екстрадиції біженців, надмірне засекречення інформації.