В СБУ есть несколько причин поддерживать скандальный законопроект о блокировании сайтов, – хакер » E-news.su
ЧАТ

В СБУ есть несколько причин поддерживать скандальный законопроект о блокировании сайтов, – хакер

16:48 / 10.07.2018
750
0

Спикер Киберальянса Шон Таунсенд озвучил ряд причин, по которым СБУ могла поддержать необходимость принятия Верховной Радой проекта Закона "О внесении изменений в некоторые законодательные акты Украины относительно противодействия угрозам национальной безопасности в информационной сфере".

Об этом активист Шон Таусенд рассказал в интервью 24 каналу.

По его словам, одна из причин состоит в том, что законопроект существенно расширяет полномочия правоохранительных органов.

Не исключен и сговор между крупными операторами (они могут себе позволить покупку крайне дорогостоящего оборудования, а провайдеры поменьше – нет, что дает крупным игрокам дополнительное конкурентное преимущество) и/или производителями оборудования. Законопроект несет значительные коррупционные риски, не говоря уже о том, что ловить "крамолу" в сети и "запрещать" ее (вместо того, чтобы искать исполнителей и организаторов) намного приятнее и проще, чем раскрывать настоящие преступления,– отметил Шон Таусенд.

Он также подчеркнул, что обеспечить информационную безопасность страны путем запретов или блокировки чего-либо невозможно. "С технической точки зрения блокировки недостаточно эффективны для того, чтобы что-нибудь запретить по-настоящему, но достаточно разрушительные, чтобы нарушить нормальное функционирование сети. Даже если бы они работали так, как задумано, то это, по сути, страусиная позиция – вместо того, чтобы раскрывать преступление, правоохранители прикрывают его цензурным лохмотьями и делают вид, что все в порядке", – сказал хактивист.

Напомним, 4 июля комитет Верховной Рады по вопросам нацбезопасности и обороны рекомендовал народным депутатам принять в первом чтении законопроект, который позволяет временно блокировать информационные ресурсы. Также законопроект предложено одобрить за основу с рядом оговорок, которые обнародовал автор и член комитета по нацбезопасности Иван Винник. Впрочем народные депутаты отказались рассматривать в первом чтении законопроект (№6688) о блокировании сайтов. Позже в Организации по безопасности и сотрудничеству в Европе призвали Раду пересмотреть законопроект, СБУ призвала парламент его принять.

***

Хактивист Шон Таусенд – о том, что делать с угрозами кибербезопасности

Почему закон 6688 – это больше про цензуру, чем про кибербезопасность?

Блокировки не могут ничего исправить в кибербезопасности. Начиная с того, что атаки в сети протекают настолько быстро, что просто не хватит времени, чтобы принять соответствующее решение и привести его в исполнение. Так же существующие технологии фильтрации не позволяют заблокировать отдельную страницу, отфильтрован будет весь сайт целиком. Что в случае с платформами-гигантами, такими как Facebook или Google, приведет к катастрофе.

С точки зрения кибер- и информационной безопасности блокировки крайне не эффективны. Однако, их можно использовать для проведения кибератак, нечестной конкуренции и цензуры, в первую очередь – политической. СБУ, МВД и прокуратура чуть ли не ежедневно задерживают коррупционеров. Что может быть проще, чем найти какую-нибудь "зраду" на сайте политической партии или СМИ, например, в комментариях, и подкупив следователя, добиться включения неугодного сайта в реестр запрещенных материалов?

По Вашему мнению, почему этот закон поддержали в СБУ?

Законопроект существенно увеличивает полномочия правоохранительных органов. Не исключен и сговор между крупными операторами (они могут себе позволить покупку крайне дорогостоящего оборудования, а провайдеры поменьше – нет, что дает крупным игрокам дополнительное конкурентное преимущество) и/или производителями оборудования. Законопроект несёт значительные коррупционные риски, не говоря уже о том, что ловить "крамолу" в сети и "запрещать" ее (вместо того, чтобы искать исполнителей и организаторов) гораздо приятнее и проще, чем раскрывать настоящие преступления.

Возможно ли обеспечить информационную безопасность страны путем запретов или блокировки чего бы то ни было?

Нет.

Блокировки работают медленно, и ни кибератаку, ни информационный вброс таким способом остановить нельзя – не хватит времени на принятие решения. С технической точки зрения блокировки недостаточно эффективны для того, чтобы что-нибудь запретить по-настоящему, но достаточно разрушительны, чтобы нарушить нормальное функционирование сети.

Даже если бы они работали так как задумано, то это, по сути, страусиная позиция – вместо того чтобы раскрывать преступление, правоохранители прикрывают его цензурной ветошью и делают вид, что все в порядке.

Хватает ли правоохранителям сейчас инструментария для того, чтобы обеспечить кибербезопасность в стране или действительно нужно заполнять какие-то пробелы новыми законами?

Как показывает практика системный подход к кибер- и информационной безопасности в нашей стране просто отсутствует. У нас есть соответствующие доктрины и один закон. Не буду сильно придираться, в них прописано много правильных вещей, но, в целом, они носят декларативный характер – за все хорошее против всего плохого.

На практике, в ходе флешмоба FuckResponsibleDisclosure Украинскому Киберальянсу и независимым исследователям за несколько месяцев удалось выявить целый ряд уязвимостей и реальных атак (в том числе со стороны Российской Федерации) против органов власти. Включая около десяти министерств, областные администрации, структуры относящиеся к Администрации Президента, СНБО, Верховной Раде, полиции, Министерству обороны, объектам критической инфраструктуры, в том числе доступ к автоматизированным системам управления объектов водоснабжения и энергетики до ЗАЭС включительно. Результаты были получены исключительно законными методами, без использования хакерских инструментов.

Чтение доктрин вслух не помогает, значит, предстоит еще долгая кропотливая работа над ошибками. Более того, хотя субъектами кибербезопасности в законе 2126а названы СБУ и Национальная полиция, их задача заключается не в обеспечении кибербезопасности, а в раскрытии и профилактике преступлений.

Хотя законы регламентирующие деятельность правоохранительных органов без сомнения нуждаются в улучшении, в целом существующих средств более чем достаточно для проведения оперативной деятельности, а ситуацию в области кибербезопасности закон 6688 все равно не только не может улучшить, но даже ухудшает ее.

Есть ли, по Вашим наблюдениям, у украинских госслужащих понимание того, что такое "кибербезопасность" и что нужно делать, чтобы ее обеспечить?

Государственная служба специальной связи и защиты информации Украины стала одной из первых жертв нашего флеш-моба. Одна из военных частей пару месяцев назад разместила тендер с контактным адресом на yandex.ru. Министерство энергетики было взломано школьником из Марокко, который не в состоянии написать одно предложение без ошибок. "Кибербезопасность" которую мы заслужили. Регулировать можно только то, что у тебя есть. Нельзя повысить эффективность пустоты.

Я убежден в том, что, во-первых, необходимо упростить действующее законодательство, отменить правила которые не могут работать в принципе (если кто-то читал НДТЗІ к веб-сайтам, меня поймут), убрать пережитки прошлого такие как например контроль криптографии и "специальных технических средств", и начинать строить систему безопасности не "сверху-вниз" приказным порядком, а "снизу вверх", находить работающие решения (best practices) и пытаться их распространить шире, от отдела к департаменту, от департамента к министерству. Действовать не только палкой (хотя прямые запреты вполне допустимы в государственном секторе), но и советом, и поощрением.

И конечно, необходимо понимание, что безопасность – это непрерывный процесс, своего рода "естественный отбор", не стоит рассчитывать, что удасться предотвратить все атаки, но и быть готовыми к быстрому восстановлению после "форс-маржора" (resilience).

Что реально нужно делать, чтобы эффективно противостоять угрозам национальной безопасности в информационной сфере?

Прежде всего, необходимо четко обозначить цели – какой мы хотим видеть нашу страну и ценности (какие методы допустимо использовать для достижения поставленных целей), политика должна быть последовательной. Хаотическое движение в случайных направлениях не приближает нас к победе. У нас введена блокада оккупированных территорий, но обмен товарами и услугами по-прежнему идёт через линию разграничения, у нас введены санкции, но и обычные граждане, и чиновники продолжают пользоваться запрещенными сервисами – будь-то почта на mail.ru или "Яндекс деньги". Вместо того, чтобы постоянно усложнять правила и закручивать гайки, необходимо наоборот упростить отдельные законы и добиться их исполнения, иначе вся наша "безопасность" так и останется на бумаге. А бумажная защита защищает только от бумажных угроз. Источник

Новостной сайт E-News.su | E-News.pro. Используя материалы, размещайте обратную ссылку.


Если заметили ошибку, выделите фрагмент текста и нажмите Ctrl+Enter (не выделяйте 1 знак)

Не забудь поделиться ссылкой

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.
Информация
Комментировать статьи на сайте возможно только в течении 10 дней со дня публикации.