Інтернет-асоціація України (ІнАУ) звернулася до Нацбанку України (НБУ) із проханням ініціювати зміну механізму блокування фішингових доменів. Відкритий лист ІнАУ надіслала цього тижня голові центробанку, до департаменту безпеки, юридичного департаменту, департаменту ризик-менеджменту, офісу правління Нацбанку та інституційних відносин.
На сьогодні НБУ створює та надає Національному координаційному центру кібербезпеки (НКЦК) при РНБО список фішингових доменів, які він розміщує на своєму сервері.
Після цього інтернет-провайдери налаштовують свої DNS-сервери таким чином, щоб вони без відома та згоди інтернет-користувачів перенаправляли їхні запити до доменів зі списку на сторінку лендингу на сервері НКЦК. Передбачається, що на сервері НКЦК збирається та зберігається докладна інформація про інтернет-користувачів, перенаправлених на сервер. Зокрема, в системі зберігається технічна інформація, що містить дату та час, IP-адресу, з якої здійснюється перехід, доменне ім'я або URL фішингової сторінки, на яку здійснюється перехід, user-agent.
Отже, посадові особи або співробітники НКЦК здійснюють збирання, зберігання, використання та розповсюдження зазначеної інформації, що є персональною інформацією про особу, оскільки розкриває такі деталі дій особи в мережі інтернет, як: який домен мав намір відвідати, дату та час спроби відвідування, IP-адреси, з яких було зроблено спробу відвідати домен, вважають в асоціації.
Згідно з висновком ІнАУ, це порушує положення низки статей законів “Про захист інформації в інформаційно-комунікаційних системах”, “Про електронні комунікації”, Конституцію України. Збирання, зберігання та розповсюдження НКЦК інформації є незаконним, переконані в ІнАУ.
“В описаній ситуації складається враження, що має місце використання Національного банку України для надання певної легітимності та пристойності вищеописаної незаконної діяльності. Це може завдати серйозної шкоди бездоганній репутації НБУ в Україні та в усьому цивілізованому світі”, — констатують у листі.
Щоб уникнути такої ситуації та при цьому досягти початкової мети – блокування фішингових доменів, ІнАУ пропонує розглянути можливість застосування іншого механізму.
Він передбачає, що НБУ формує та постійно оновлює список фішингових доменів (як і відбувається зараз), надає інтернет-провайдерам доступ до списку. У свою чергу інтернет-провайдери добровільно завантажують цей список, маючи при цьому можливість надіслати до НБУ аргументовану відмову від блокування того чи іншого домену, що знижує ймовірність помилкового блокування доменів, не фішингових.
Якщо інтернет-користувач намагається відвідати один із доменів зі списку, його перенаправляють на сторінку лендингу, розміщену на серверах його провайдера, що вирішує проблему з конфіденційністю, зазначається в тексті пропозицій.
"Упевнені, що саме такий механізм, побудований на взаємодії Національного банку України та української телекомунікаційної галузі та повазі прав українських інтернет-користувачів, не тільки не зашкодить репутації НБУ, а й укотре доведе її високий рівень", - резюмують у листі ІнАУ.
Раніше асоціація просила парламентарів дати оцінку законопроекту №9250 “Про внесення змін до закону України “Про електронні комунікації” (з протидії фішингу) з урахуванням аргументів ІнАУ, що об'єднує 220 підприємств галузі інформаційно-комунікаційних технологій.