В Украине появился свой аналог "Роскомнадзора", – регулятор интернета Госспецсвязи

В Украине появился свой аналог "Роскомнадзора", – регулятор интернета Госспецсвязи

Если вы сталкивались с новостями типа "Госспецсвязи заблокировала сайты с рекламой киевских проституток" или "В Украине заблокировали сайт, который якобы продавал стероиды и спортивную фарму", то, вероятно, могли задаться резонным вопросом: действительно ли борьба с проститутками и нелегальной продажей стероидов относится к компетенции этой почтенной службы?

Юриста из Axon Partners Никиту Евстифеева тоже заинтересовал этот вопрос. Но оказалось, что блокировка сайтов – это только начало кроличьей норы, которая ведет к попытке превратить Госспецсвязи в некий "супер-регулятор" интернета в военное время: с почти неограниченными полномочиями и минимальной публичностью и подотчетностью. Забегая вперед, он отмечает в издании Dead Lawyers Society : да, стоит волноваться.

НЦУ

Во время войны появился супер-регулятор интернета – Госспецсвязи

Центральным действующим лицом в этом рассказе будет Национальный центр оперативно-технического управления сетями телекоммуникаций, или, сокращенно, НЦУ. Центр был создан в 2019 году и является структурой в составе Госспецсвязи (хотя формальным он является самостоятельным юридическим лицом). Решения, которые я упоминал в начале, принимал именно НЦУ.

Создание Центра предусматривал еще Закон Украины "О телекоммуникациях" 2003 года, откуда соответствующие нормы перекочевали в действующий Закон "Об электронных коммуникациях". Основная функция НЦУ в обоих законах определена как оперативно-техническое управление коммуникационными сетями в условиях военного или чрезвычайного положения, что объясняет отсутствие почти какой-либо информации о деятельности этого органа до 2022 года.

По сути, НЦУ призван выполнять роль "ситуационного центра", который временно берет на себя координацию определенных аспектов работы провайдеров коммуникационных услуг с тем, чтобы обеспечить стабильное функционирование коммуникационных сетей, а также удовлетворение немедленных потребностей государства (например, использование этих сетей для нужд Сил обороны). Это следует из утвержденного Правительством Порядка, которым в своей деятельности должно руководствоваться НЦУ.

Еще одну интересную функцию НЦУ можно найти в постановлении Кабмина о моратории на выполнение обязательств в пользу юридических лиц с российскими бенефициарами: Центр является одним из органов, имеющих право санкционировать исключения из этого запрета.

Но наряду с общими функциями как Закон, так и Порядок содержит упоминание о том, что НЦУ имеет право издавать распоряжения, обязательные для выполнения всеми провайдерами. В первые месяцы после начала полномасштабного российского вторжения Парламент ужесточил эту норму санкцией: невыполнение распоряжений НЦУ является основанием для немедленного исключения провайдера из Реестра поставщиков электронных коммуникационных услуг и запрета взаимосоединения других провайдеров с его сетями (что фактически означает полное прекращение его деятельности).

Довольно серьезная причина не ставить под сомнение такие распоряжения, не правда ли? Но, похоже, именно это послужило поводом для творческой интерпретации нормы Закона в стиле “пределы полномочий не заканчиваются нигде”.

Заблокируй меня, если сможешь

Попытки блокировать что-то в интернете давнишние, как сам интернет. В Украине они сопровождаются постоянным поиском экстравагантных юридических конструкций: наложение ареста на "имущественные права интеллектуальной собственности, возникающие у пользователей сети Интернет при использовании вебресурса" по КПК (определения с такой формулировкой в 2023 году до сих пор в моде) или применение санкций по решениям СНБО (которые, вероятно, основываются на том, что перечень возможных типов санкций в профильном Законе не исчерпывающий).

Начиная с 2022 года, в эту подборку входят и распоряжения НЦУ. Вот пример такого документа, посвященного проблематике упомянутых выше киевских проституток:

Во всех подобных предписаниях (или во всех, которые я смог найти – об этом дальше) к провайдерам выдвигается требование заблокировать доменные имена "на рекурсивных DNS-серверах" провайдеров. И если бы эта операция не была освящена требованием государства, она вполне заслуживала бы называться мелким мошенничеством. Вот как это работает.

Как известно, DNS – это система, которая хранит информацию о доменных именах, в частности, об IP-адресах, ассоциированных с каждым доменным именем. DNS имеет иерархическую структуру, основанную на четкой привязке определенного DNS-сервера к определенной зоне адресного пространства. Существует "каноническая" процедура получения информации о доменном имени: сначала нужно запросить один из DNS-серверов, отвечающих за корневую зону (root zone), то есть за все адресное пространство интернета вообще.

Корневой сервер направит вас на сервер следующего уровня, отвечающий за домен верхнего уровня (.com, .org, .ua и т.д.). Эта последовательность будет продолжаться до тех пор, пока вы не получите ответа от конечного звена – DNS-сервера, авторитетного для конкретного доменного имени. "Авторитетность" означает, что этот сервер имеет окончательную информацию о нужном IP-адресе и не переадресовывает к другому DNS-серверу.

На практике информация о доменных именах изменяется сравнительно редко. Соответственно, практического смысла каждый раз проходить полную процедуру, обычно имеющую не менее 3 итераций, нет. Рекурсивные DNS-серверы – это механизм, призванный оптимизировать этот процесс.

Принцип работы рекурсивных серверов – кэширование данных от авторитетных DNS-серверов. Представим, что у провайдера есть несколько тысяч клиентов, и каждый из них каждый день заходит на сайт google.com. В теории, каждый клиент должен каждый раз проходить полную процедуру, хотя очень маловероятно, что IP-адрес гугла изменится в течение дня. Провайдер встраивает в свою сеть рекурсивный сервер, который сам делает полный запрос ежедневно, а в дальнейшем предоставляет каждому клиенту сохраненную информацию.

Это позволяет уменьшить как время на получение ответа, так и нагрузку на DNS-серверы, которые должны обрабатывать запросы по полной процедуре. (Если может показаться, что оптимизация здесь мизерная, это не так. Например, только гугл посещают ежемесячно около 80 млрд раз, то есть около 30 тыс. раз в секунду.)

Естественно, чтоб эта схема работала, необходимо, чтоб клиент был сконфигурирован делать запрос по умолчанию конкретно к рекурсивному серверу, а не по полной процедуре. Но в случае с большинством бытовых потребителей – которые, видимо, даже не догадываются о существовании этих настроек – это не проблема.

Вернемся к нашим распоряжениям. Фактически, НЦУ требует от провайдеров в "ручном" режиме подменять корректные данные об определенных доменных именах на своих рекурсивных серверах, таким образом делая невозможным получение подлинной информации об IP-адресе того или иного сайта.
Пример: правильный IP-адрес доменного имени top-modals.com, 78.108.184.190, на рекурсивном DNS-сервере Kyivstar’а превращается в 81.23.24.194. Последняя, в свою очередь, приводит пользователя не туда, куда ему хотелось, а сюда:

Удобно? Но малодейственно и, я бы сказал, примитивно: чтобы обойти эту блокировку, достаточно лишь настроить браузер на использование стороннего и не подконтрольного украинскому правительству DNS-сервера (например, публичного сервера Cloudfare 1.1.1.1 или Google 8.8.8.8).

Secret. Top secret

Но, несмотря на это, украинские правоохранители (и не только они) уцепились за сравнительно простой способ "блокирования" сайтов и уже начиная со второй половины 2022 года начали направлять в НЦУ соответствующие просьбы. Как видно из нескольких сотен распоряжений НЦУ по этому вопросу, обнародованных на сайте Национальной комиссии, осуществляющей государственное регулирование в сферах электронных коммуникаций, радиочастотного спектра и предоставления услуг почтовой связи (НКЭК), частыми авторами таких обращений становились Бюро экономической безопасности, Служба безопасности, Департамент киберполиции, Национальный банк и несколько органов. Изредка НЦУ обязывал провайдеров заблокировать что-то по собственной инициативе (или, может быть, просто забывал указать инициатора).

На сайте НКЭК публикуются далеко не все изданные НЦУ распоряжения (по моей оценке – где-то меньше 10 процентов). Собственного сайта у НЦУ нет, и, соответственно, нам, обычным любознательным гражданам, предстоит довольствоваться тем, что НЦУ сам считает целесообразным передать в НКЭК.

К счастью, у нас есть Закон "О доступе к публичной информации", обязывающий любого субъекта властных полномочий (а НЦУ таким субъектом является) отвечать на запросы, а также обнародовать все принятые им правовые акты. К сожалению, НЦУ и Госспецсвязи считают, что игнорировать этот Закон – это ок.

Например, ответ НЦУ на мой запрос с просьбой предоставить все распоряжения, принятые после начала военного положения, был крайне лаконичен и намекал, что интересоваться такими вещами не комильфо. Несколько более многословным было письмо Администрации Госспецсвязи на мою жалобу по поводу необнародования распоряжений, хотя его основной месседж не отличался. Интересно, что оба ответа ссылались на пункт 33 утвержденного Кабмином Порядка, в котором нет ни слова о распоряжении, а речь идет об определенной "обобщенной информации":

“33. Обобщенная информация по системе оперативно-технического управления телекоммуникационными сетями является информацией с ограниченным доступом”.

Почти такую же участь постигли мои запросы в Бюро экономической безопасности и Департамент киберполиции по копиям обращений, которые они направляли в НЦУ. Сначала они отказались предоставлять их в принципе, и только после вежливого толчка от Уполномоченного ВРУ по правам человека переосмыслили свою позицию. Но даже со второй попытки оба органа прислали мне копии этих обращений, изъяв из них доменные имена. Объясняя, какой вред они пытаются предотвратить (такое обоснование – прямое требование Закона), эти органы создали настоящие шедевры бюрократически эпистолярного стиля. Вот, например, фрагмент аргументации БЭБ:

“Возможность причинения существенного ущерба защищенным интересам БЭБ может заключаться в возможности манипулирования соответствующими сведениями, являющимися информацией с ограниченным доступом, со стороны третьих неблагополучных лиц с целью создания предпосылок для попыток и попыток использовать в интересах определенных сил деятельность БЭБ, повышение уровня дезорганизации деятельности БЭБ, рост рисков возникновения давления (влияния) на лиц, причастных к выполнению задач следствия и оперативно-розыскной деятельности, рост рисков распространения взяточничества, коррупции и ее проявлений в государстве и т.д. Учитывая функции и полномочия БЭБ, вероятность наступления вреда вследствие предоставления доступа к вышеуказанным сведениям достаточно высока”.

Кстати, при всей серьезности рисков, БЭБ просто закрыло названия доменных имен (и еще, для чего-то, фамилию нардепа Железняка) белыми прямоугольниками в PDF-файлах, так что прочесть их в текстовом слое не создавало никаких сложностей. Киберполиция подошла к вопросу более основательно, сначала зачеркнув опасные данные маркером на бумажных копиях, и только потом послала мне их сканы. Хотя, если эти доменные имена и так уже были заблокированы по решению НЦУ, то, наверное, беспокоиться о правоохранительных органах нет резона. Стоп, есть ли?

Hanlon’s razor

Кроме "обычных" требований о блокировании доменных имен в распоряжениях НЦУ можно найти различные интересующие вопросы, такие как требование заблокировать доступ к отдельной странице сайта (распоряжение № 196/980, строка 6):

– или в Телеграм-канал (распоряжение № 184/968, строка 35):

(“О, а так можно было?” – наверное, подумали в Нацсовете по телевидению и радиовещанию, который до сих пор в поисках методов воздействия на Telegram).

Иногда в немилость попадают сервисы, которые сами по себе не ведут никакой сомнительной деятельности: googleadservices.com (распоряжение № 184/968), besplatka.ua (распоряжение № 196/980) или – совсем свежий пример – linktr.ee (распоряжение № 690 /1521).

В примерах выше по крайней мере можно идентифицировать сущность, на которую НЦУ попытался направить свои регуляторные усилия. А вот в "СРОЧНОМ" распоряжении № 668 он решил перевести эту миссию на самих провайдеров:

Оставляю вам сделать выводы о смысле в большинстве случаев невыполнимых требований (хотя не могу не вспомнить, что не стоит объяснять что-то злым умыслом, если это "что-то" можно объяснить обычной некомпетентностью).

Почему стоит волноваться

1. Я не сомневаюсь, что НЦУ может выполнять (и, вероятно, выполняет) ценные для обороны государства функции. Но как любой регуляторный инструмент государство должно использовать его по назначению. Можно дискутировать об относительном общественном вреде сайтов, предлагающих к продаже наркотики, секс-услуги или нелегальный алкоголь, – но для меня очевидно, что блокирование этих сайтов выходит далеко за пределы мандата НЦУ на “оперативно-техническое управление” сетями.

К сожалению, попытки использовать НЦУ для этих целей – очередной "костыль", который компенсирует отсутствие законодательно определенной процедуры и оснований блокирования доступа к вебресурсам.

2. Никто не отрицает, что военное положение предполагает ограничение прав и свобод. Но почему-то в правительственных кругах существует мнение, что такие ограничения сами по себе ничем не ограничены, и любой государственный орган может, под предлогом военного положения, ограничить любое право, если считает это целесообразным. Если напомнить таким органам, что статьи 8 и 19 Конституции продолжают действовать и в условиях военного положения, это вызывает у них как минимум определенное смятение, если не искреннее удивление. Ситуация с НЦУ – одно из многих проявлений этой печальной тенденции.

3. Прозрачность работы любого регуляторного органа является залогом доверия к его решениям. Атмосфера тотальной секретности вокруг деятельности НЦУ работает в обратном направлении.

Именно поэтому я подал иск к НЦУ, с требованием обязать его обнародовать все принятые им распоряжения, и в августе Киевский окружной административный суд открыл производство по делу. К сожалению, в суде НЦУ продолжает настаивать, что причастность его деятельности к сфере обороны позволяет ему полностью скрыть все изданные им акты, – а не только ту информацию в них, разглашение которой действительно может нанести реальный ущерб. (В конце концов, мы не знаем, не решил ли Центр взять на себя еще какие-то несвойственные ему функции, не имеющие никакого отношения к обороне государства).

Открытость должна быть правилом, а не исключением.

4. Когда государство – будь то в мирное или в военное время – создает регуляторную схему с серьезными санкциями, хотелось бы ожидать, что ее администрированием занимаются люди, по крайней мере понимающие, с чем они имеют дело (и, например, делают минимальный sanity check списков, которые посылают им другие органы, или осознают, что заблокировать веб-страницу или Телеграм-канал на уровне DNS невозможно).

5. Все эти вещи – базовые предохранители, призванные не допустить постепенного перерастания целесообразности военного времени в инструмент произвольного ограничения прав и свобод. Невосприятие произвола – это квинтэссенция многих веков политического развития западной цивилизации, к которой мы стремимся принадлежать. Но ступить на скользкую дорожку к авторитаризму значительно легче, чем постоянно бороться за действенность правовластия.

P. S. Все упомянутые в статье материалы можно увидеть на гугл драйве по ссылке.

Никита Евстифеев, опубликован в издании Dead Lawyers Society