Демедюк: Штрафовать простых людей за VPN мы не собираемся

... а также о том, как имплементация норм международной Конвенции о киберпреступности (Будапешт, 23 ноября 2001 года) повлияет на жизнь простых украинцев.

- Давайте все же разберемся: чем конкретно занимается киберполиция?

— Мы раскрываем преступления, совершающиеся в киберпространстве. Любые. От обычных уголовных, таких как мошенничество с использованием интернета, до крупномасштабных — к примеру, кражи данных международной корпорации.

- А, например, кибератака на государственные электросети — это тоже к вам? Или все-таки к СБУ?

— В конечном итоге этот вопрос будем расследовать мы. Если будет заявитель. СБУ же занимается внешней безопасностью страны. Их задачи более глобальны.

- Прокомментируйте, пожалуйста, закон “Об основных принципах обеспечения кибербезопасности Украины”, который вступил в силу в мае. Насколько он полноценен по части кибербезопасности? Могут ли появиться существенные проблемы с его реализацией?

— Принятие этого закона очень своевременно и я уверен, что он станет правовой и организационной основой для обеспечения защиты объектов в киберпространстве. Он регламентирует направления и обозначения субъектов кибербезопасности. Это первый закон в Украине, который конкретно разграничил функции — кто чем занимается. На его основе должны развиваться все последующие законодательные акты, такие как закон о кибербезопасности, закон о киберпреступности и другие, которые все это полностью конкретизируют.

- Новые глобальные законодательные инициативы привычно вызывают опасения. Операторы бояться, что их заставят закупать дорогостоящее оборудование, граждане — что за ними начнут следить и запретят те или иные действия в интернете. Насколько эти опасения обоснованы?

— У отдельных владельцев крупных интернет-ресурсов, занимающихся не вполне честной деятельностью, есть возможность распространять в интернете и СМИ неправдивую информацию о нашей законодательной инициативе с одной целью — не дать создать в нашей стране четкие и понятные правила поведения в интернете.

Чтобы четко разграничить права и обязанности игроков на этом рынке и не позволить использовать киберпространство в неблаговидных целях, а главное защитить конституционные права граждан, Верховная Рада законодательно устанавливает эти нормы.

Сегодня в нашем законодательном поле по борьбе с киберпреступностью не существует даже терминов, которыми пользуются во всем мире. А без этого — никак. На мой взгляд, если бы Украина сегодня впервые создавала правила дорожного движения, их бы тоже не приняли. Потому, что каждый может сказать: “Зачем ставить дорожный знак “Остановка запрещена”? Ведь кто захочет, тот остановится”. Но без четких правил на дорогах был бы хаос. Точно так же и в интернете. Здесь идет активное влияние на людей, которые недостаточно информированы обо всех технологиях и не до конца понимают, как и что работает.

Закон — это свод правил, которые Рада принимает для защиты конституционных прав своих граждан в той ли иной сфере. Поэтому, защищая права своих граждан, государство предпринимает законодательные меры против распространения в интернете информации о детской порнографии, о войне, об угрозе территориальной целостности страны, о продаже наркотических веществ или оружия, о предотвращении других правонарушений, а также создает механизмы обеспечения соблюдения этих правил и определяет наказание для тех, кто их нарушает.

- Давайте уточним: что такое киберпреступление, насколько четкими должны быть рамки этого понятия и видите ли вы необходимость ужесточать наказания за подобные преступления?

- Уголовный кодекс Украины определяет, какие общественно опасные деяния являются преступлениями и какие наказания применяются к лицам, их совершившим. Сегодня ст.361-363 раздела 16 “Преступления в сфере использования электронно-вычислительных машин (компьютеров), систем и компьютерных сетей” Уголовного кодекса регламентируют основные киберпреступления. В основном, это статьи средней тяжести, то есть, ответственность за них незначительная, и максимум, который грозит преступникам — лишение свободы сроком до пяти лет, или же внесение соответствующего штрафа. Зачастую киберпреступники отделываются штрафом, даже если человек совершил что-то действительно впечатляющее.

На сегодня в парламенте зарегистрирован законопроект №8304, который должен усилить ответственность за киберпреступления в виде лишения свободы от шести до восьми лет, а также увеличить размер штрафа за создание и распространения вредоносного программного обеспечения.

Если брать в целом киберпреступления, то они имеют в основном латентный характер — то есть, с момента задержания преступника мы еще не можем оценить ущерб, который он нанес тому или иному субъекту, в том числе государству. Поэтому мы не всегда можем предвидеть, какие вредоносные программы он уже запустил в работу, и к каким результатам приведут его действия в сети в последующий период. Зачастую результаты киберпреступления имеют отложенное действие: программы начинают полноценно работать только тогда, когда пользователи уже заразят ими свои компьютеры и начнут взаимодействовать с незаконным ПО — либо распространять вирус дальше, либо предоставлять с его помощью свои данные тем, кто его разработал.

На практике, киберпреступники наносят колоссальный ущерб любому государству. Речь идет о миллиардных ущербах. А потому условный срок до пяти лет и какой-то штраф за такие действия —  абсолютно несопоставимое наказание.

Да, мы должны оставить какие-то небольшие штрафы и сроки для тех, кто совершает незначительные правонарушения — к примеру, для студентов, которые попросту балуются своими программами. Но для хакеров-рецидивистов наказание должно быть сопоставимо с тем ущербом, который они наносят своими действиями в сети. Чтобы видеть масштаб проблемы, скажу одно: у нас в Украине до сих пор фактически не осужден ни один хакер.

- С хакерами и шпионскими программами вроде разобрались. Но есть такой вопрос: в чью сферу ответственности будет входить информационная война в сети? Кто будет нести ответственность за размещение запрещенной к распространению информации? Кто будет следить за этим?

— У нас сейчас не существует ответственности за подобные действия, как и правил, которые бы их регламентировали. У нас более-менее регламентирована ответственность за распространение детской порнографии. В этом случае собственник ресурса обязан мониторить свой сайт, чтобы подобная информация не размещалась на его страницах. Но ответственность в любом случае несет тот, кто ее разместил. Впрочем, если мы знаем о том, что собственник ресурса был в курсе размещенной информации и ничего не сделал, чтобы ее удалить, он также будет нести ответственность — в этом случае, как пособник преступления. Но это работает только в случае размещения и распространения детской порнографии.

В целом подобных правил не существует. А потому мы можем привлечь к ответственности либо того, кто размещает запрещенную информацию, либо того, кто создает “преступное” программное обеспечение. Все остальные — операторы, провайдеры, хостеры, владельцы ресурсов — стоящие между создателем “проблемы” и конечным пользователем, никакой ответственности не несут. Поэтому в украинском киберпространстве сейчас и происходит такой хаос.

- И что вы предлагаете?

— Мы хотим полноценно имплементировать в украинское законодательство все нормы конвенции о киберпреступности. В частности, обязанности и правила, предназначенные для поставщиков контента. Они предусматривают хранение и логирование действий, которые происходят в интернете.

Кто это должен делать? Согласно европейской конвенции, это должны делать операторы и провайдеры телекоммуникаций на срок от 60 дней и более. Мы же в своем законопроекте предлагаем срок в 90 дней. Это не всегда и не на всю информацию, а только по нашему запросу и в случае правонарушения. Если подобная информация не будет сохраняться, если операторы и провайдеры телекоммуникаций не будут логировать действия пользователей — украинский интернет-сегмент превратиться в эдакую ТОР-сеть, где будут процветать преступники и царить анархия под вывеской “У нас свобода слова и нам все можно”.

- А с другой стороны, многие боятся тотального контроля по примеру нашего восточного соседа... Коснуться ли предлагаемые вами изменения обыкновенных пользователей интернета — простых граждан нашей страны?

— Я вам так скажу: когда идет отсылка к Российской Федерации, это, по сути, перекручивание информации и заведомо неправдивые сведения, которые так или иначе пытаются вбить в головы наших сограждан. По сути, это информационная атака, направленная на то, чтобы мы не смогли принять определенные законодательные акты, направленные на установление законности и порядка в украинском сегменте интернета. Еще до введения повальной блокировки сайтов в Российской Федерации подобная система блокировки существовала и эффективно работала в странах Европы (Германия, Великобритания, Италия, Швейцария и т.д.) и США.

Как пример, блокировка сайтов в Федеративной Республике Германия опирается на довольно широкую нормативную базу. Суд вполне имеет право потребовать удалить с сайта контент, который признают оскорбляющим истца. Однако эти вопросы решаются на уровне полиции и судов федеральной земли, а не центральных регулирующих органов, то есть контроль интернета децентрализован.

Блокирование сайтов в Великобритании — широко распространенная практика, являющаяся неотъемлемой частью интернет-цензуры. Закрывать сайты имеют право государственные органы — в первую очередь регулятор Ofcom, неправительственные организации (InternetWatchFoundation) и частные компании, занимающиеся контролем контента.

В Италии ограничительные меры применяются более чем к 10 тыс. сайтов в сети интернет на основании требований компетентных органов (суды, полиция, таможенная служба, орган по надзору в сфере телекоммуникаций). Но об этом почему-то никто не говорит. Все говорят, что мы хотим построить очередной “Роскомнадзор”, но это не так. Мы абсолютно не приемлем тотального контроля, а просто хотим привести уже существующее украинское законодательство в соответствие с европейской конвенцией о кибербезопасности.

Нормы России для нас неприемлемы, так как она пошла по самому простому пути — если на ресурсе размещена запрещенная информация, там запрещают сразу весь ресурс. В итоге страдает множество абсолютно законопослушных компаний и ресурсов. Мы же планируем закрывать доступ к конкретно взятой информации, так сказать, делая “точечный выстрел”, а не стреляя “из пушки по воробьям”. В изменениях к закону о телекоммуникациях мы как раз и указываем, что мы определим, каким образом нужно будет это сделать. Поможем операторам с тем, чтобы блокировать информацию на основании того оборудования, которое у них уже существует. Мы не хотим заставлять их покупать какое-либо дополнительное сверхсложное оборудование.

Сама процедура блокировки — как временной или частичной, так и постоянной — должна существовать. Я не думаю, что кто-то будет против запрета на распространение детской порнографии, призывов к войне, терроризму, экстремизму и других подобных вещей. Причем это будет вполне конкретный перечень преступлений, предусмотренных в европейской конвенции — не более. Таким образом, это исключит все возможные коррупционные риски.

Тут сразу же возникает много вопросов от собственников контента — почему бы тогда автоматически не блокировать все сайты, распространяющие пиратский контент? Но мы не включаем эту категорию информации в перечень обязательной для блокировки. Потому что ее нет в соответствующих положениях европейской конвенции, и потому, что закон о противодействии пиратству в Украине уже принят отдельным документом.

Но в то же время мы считаем, что информацию, входящую в этот конкретный перечень, мы должны не просто “замораживать”, как это предусматривается в конвенции, а полноценно блокировать. Потому что “заморозка” информации предусматривает невозможность вносить в нее какие-либо коррективы. Но в то же время, эта информация остается доступной для пользователей, а это неправильно. Ведь основная задача подобной блокировки — не допустить распространение запрещенной информации в сети.

Самое интересное здесь то, что большинство крупных операторов согласны с необходимостью существования подобной процедуры блокировки. Потому что если ресурс находится на территории Украины, заблокировать какую-либо информацию на нем в принципе не проблема. Но в случае, если подобные ресурсы находятся на территории других стран, это может вылиться в многомесячную дискуссию профильных регуляторов, бумажную волокиту и судебные процессы, что абсолютно недопустимо.

С тезисом о том, что блокировка полностью какой-либо информации невозможна, я частично соглашусь. Но государство должно четко показать, что оно планирует действовать исключительно в правовом поле. Что все субъекты, которые работают на территории Украины, должны придерживаться определенных и четко установленных правил. Вопрос в том, будут ли их соблюдать — это уже другой вопрос. Но правила должны существовать. Возьмем, к примеру “ВКонтакте” и другие ресурсы, запрещенные в нашей стране. Да, граждане продолжают ими пользоваться, но государство четко показало свою позицию, показало то, что оно негативно относится к информации, которая распространяется на этих ресурсах, что это информация является вредоносной и нежелательной для нашей страны и что государство пытается уберечь своих граждан от вражеской пропаганды.

- Тут вопрос, скорее, в том, планируется ли в принципе штрафовать простых граждан за использование тех или иных запрещенных ресурсов?

— Мы не планируем штрафовать простых пользователей. Ни в каких правилах нет норм о том, что за “сидение Вконтакте” или использование VPN будут штрафовать. Хочет человек “сидеть” в запрещенных соцсетях — пусть сидит. Главное, чтобы вреда не наносил. А вот если он сам начнет распространять “вредную” информацию — это уже другое дело.

- Хорошо. А как вы оцениваете объемы информации, которая будет подлежать блокировке, по отношению к общему количеству контента, проходящему по сетям каждого из провайдеров телекоммуникаций?

— Это будет настолько малое количество контента, что его сложно описать даже в процентном соотношении — доли и доли тысячных, возможно. Но и такие ресурсы существуют, и доступ к ним необходимо ограничивать. К примеру, сейчас существует около сотни пророссийских ресурсов, которые пропагандируют идеи сепаратизма, разжигание межнациональной вражды и военные конфликты. 100 — это очень мало, но даже такого количества достаточно для того, чтобы информация, взятая из этих ресурсов, дальше расходилась по всем сайтам, форумам, соцсетям и другим новостным источникам.

- Не приведут ли такие меры к полному ограничению информации, исходящей из России? Ведь там практически по всем каналам, по всем СМИ распространяются новости, негативные для всей Украины в целом, идеи сепаратизма, подстрекание к войне...

— Давайте в этом случае обратимся к практике, которая уже существует: к блокировке телевизионных каналов. Блокируют же не все телеканалы, хотя негативно окрашенная информация присутствует на всех.

- А что насчет объемов вашей работы? Вырастут ли они после принятия нового закона?

— Не вырастут. Мы и сейчас следим за всеми нарушениями, происходящими в киберпространстве Украины, либо влияющими на него извне. Просто сейчас не существует никакого закона о блокировке, и мы никак не можем повлиять на эту информацию в рамках законодательного поля.

К нам сейчас возникает очень много вопросов от волонтеров от Гражданского сообщества от той же “Киберсотни” и подобных организаций: “почему они могут ограничить доступ к определенному количеству пророссийских сайтов, а мы ничего не делаем?” Проблема в том, что эти организации сами по себе действуют вне закона, организовывая по сути ddos-атаки, или действуя другими подобными методами, которые мы не можем использовать, будучи государственной структурой. Если мы ратуем за закон и порядок — мы сами в первую очередь должны их соблюдать. Без каких-либо исключений.

Естественно, мы работаем по своим каналам. Списываемся с хостерами, что-то они отключают по нашей просьбе, с чем-то другим приходится работать в рамках международного правового поручения, а это значит, мы должны возбудить ряд уголовных дел по отношению к этому ресурсу. То есть, по сути, найти того, кто размещает неправомерную информацию. Это может длиться от недели до нескольких месяцев, после чего хостер отключает ресурс, и уже буквально через несколько минут правонарушители поднимают его “зеркало” на другом хосте в другой стране. И вся процедура повторяется сначала. Таким образом, мы тратим гораздо больше сил, ресурсов и времени на то, чтобы заблокировать один конкретный сайт, клонов которого могут быть тысячи, чем если бы мы могли блокировать его по определенным внутренним процедурам уже “на территории” нашей страны.