МВД: "Мы стоим на позиции, что нужно отказаться от изъятия серверов"
Киберпреступность становится одной из важнейших проблем украинского общества. Мир видит в нас потенциальную угрозу
-
О том, почему в нашей стране закрывают сайты, как борются с ddos-атаками, пиратами, спамом, порнографией в сети, и что грозит нарушителям, "Комментариям" рассказал начальник управления по борьбе с киберпреступностью МВД Максим Литвинов.
-
Правильно ли я понимаю, что ваше подразделение - Управление борьбе с киберпреступностью - было создано в феврале...
-
Бывший Департамент по борьбе с киберпреступностью и торговлей людьми был реформирован в декабре прошлого года. После этого шел процесс выделения нашего подразделения в отдельную структуру. В мае было утверждено положение о нашем управлении. И с этого момента можно говорить о том, что мы юридически созданы. Хотя на самом деле история этого подразделения начинается в 2001 году. Некоторые наши сотрудники работали над раскрытием киберпреступлений с этого времени в составе подразделений по борьбе с экономической преступностью и в других департаментах. Таким образом, члены нашей команды имеют совместный опыт работы от 2-3 до 10 лет.
-
Почему возникла необходимость создания отдельного подразделения?
-
Любая сфера, которая активно развивается, начинает все больше влиять на общественные отношения. Параллельно она криминализируется. Это происходит в последнее время и со сферой информационных технологий. Ведь в ней уже можно зарабатывать деньги, в том числе и нечестным путем. И когда порог разумного терпения беспорядка пройден, сфера становится объектом для уголовного права. Есть общественные отношения, которые уже нужно поставить под охрану закона. Статьи в Уголовный кодекс по этим вопросам начали вносить с 1998 года. Со временем вопросов стало так много, что потребовалось отдельное подразделение.
-
Я встречался с одним из представителей файлообменника EX.ua. Он рассказывал, что когда их ресурс закрыли в феврале, на некоторых сотрудников правоохранительных органов были наложены санкции, а само управление было реформировано. Правда ли это?
-
Вы знаете, у каждого есть своя правда. И каждый может оперировать публичными фактами, чтобы использовать для обоснования своего мнения. Реформа была начата еще в 2011 году, когда EX.ua еще не был таким резонансным случаем. Это просто совпадение по времени. И каждый пытается истолковать произошедшее в своих интересах. На самом деле все планомерно развивалось. И EX.ua просто "вклинился" в процесс. Из него искусственно была создана проблемная ситуация. Это не единственный портал, который нарушал права чьего-то бизнеса. До этого был и Infostore, и другие.
-
EX.ua закрывался силами вашего подразделения?
-
Да.
-
Это действительно произошло по жалобе американских вендоров, в том числе Adobe?
-
Да. Было несколько жалоб. Причем были моменты, когда дело уже было передано в следствие, некоторые публично отказывались от того, что они писали жалобы. У нас часто так бывает, когда заявитель пытается использовать милицию для защиты своих интересов. Когда он добивается цели, он уже не хочет вмешиваться, потому что вопрос для него, видимо, становится неактуальным или неудобным.
-
Почему была необходимость закрыть весь сайт, а не только те файлы, которые находились на нем нелегально? Ведь пользователи жаловались, что потеряли доступ и к своим личным данным.
-
Я бы сейчас не хотел говорить только об этом сайте, так как мы загоним нашу дискуссию в неоправданно узкие рамки. Дело находится в процессе следствия. По этой конкретной ситуации пожалуйста, обращайтесь к следователю. Но в целом Вы подняли очень актуальную проблему.
-
Во многих подобных случаях общая закономерность состоит в том, что объединяя на одном ресурсе много людей, как делают владельцы торрентов, например, они обеспечивают им анонимность. На самом деле сам хозяин этого ресурса имеет возможность повлиять на ситуацию, но не хочет. Потому что это противоречит его экономическим интересам. Соответственно, когда наступает конфликт интересов, никто не будет читать наши предупредительные письма и обращения правообладателей. Реакция просто отсутствует. Естественно, в таких случаях сталкиваешься с тем, что тебе никто не собирается помогать, а только противодействует (пытается разнести эти сервера в разные хостинги, сделать маршрутизацию через другие ресурсы, чтобы запутать следы). Поэтому для того чтобы разобраться в этом вопросе, зачастую приходится изымать целиком сервера. Ведь в режиме онлайн никто не пойдет на диалог.
-
Во всех случаях?
-
Нет. Мы полностью стоим на той позиции, что нужно отказаться от изъятия серверов физически, а просто клонировать информацию на этих ресурсах для анализа. Мы идем по этому пути и в последнее время именно так и поступаем. У нас недавно был случай - хостинговый сервер, на котором было 300 сайтов. Сервер был размещен у крупного провайдера, заботящегося о своей репутации. Естественно, из-за одного сайта забирать весь сервер нецелесообразно. Поэтому мы его временно отключили. Сделали с него "копию". И занимаемся дальше с ней. Другой вопрос, что не все юристы готовы воспринимать копию информации, как оригинал. Но сегодня мы уже имеем методику, которая позволяет обеспечить допустимость цифровых доказательств во многих случаях без физического изъятия оборудования.
-
Поговорим о ddos-атаках. Во время прошедших выборов на политические ресурсы было совершено большое количество атак. В крупнейших датацентрах заявляют, что были установлены антирекоры. Было зафиксировано по 16 атак в одно время. Интернетчики жалуются, что в этой сфере в Украине полный хаос. Какие меры предпринимает управление, чтобы противодействовать хакерам? Или это больше вопрос специального подразделения Госспецсвязи — CERT (координационный центр по решению проблем безопасности в сети)?
-
Это одно из наших направлений. Но могу сказать, что это общемировая проблема и общая эффективность противодействия этому виду преступлений как правило равна уровню эффективности самой отстающей страны. Как и в подавляющем большинстве стран, в Украине здесь вопросов больше, чем ответов. Начиная от того, является ли это действительно ddos-атака и в каком конкретно случае. Потому что когда на сайт, на который обычно заходит 10 тысяч человек, в связи с появлением какой-либо новости заходит 100 тысяч человек, то на такую нагрузку он может оказаться не рассчитан. Считать ли это ddos-атакой или нет? Говорить о ней можно только в конкретном случае при наличии каких-то аргументов. Естественно, когда поступает заявление от человека, мы выезжаем на проверку, осматриваем сервер, смотрим, какие пакеты данных приходили. Потому что ddos-атаки могут быть направлены на разные части ресурсов. Иногда на перегрузку серверов, иногда на перегрузку каналов связи.
-
Если пакеты данных, приходящие на сервер, имеют специфические признаки работы бот-сетей, тогда мы определяем, привела ли нагрузка на него к блокированию работы, либо к каким-то негативным последствиям. Потому что ddos-атака, которая не приводит к блокированию, - это не ddos-атака в смысле криминального события. Это может быть ее попытка, но не состоявшееся преступление. Этот вопрос достаточно сложен с точки зрения уголовного права. Сами теоретики-юристы еще не до конца качественно сформулировали саму статью Уголовного кодекса. Ведь согласитесь, довольно глупо считать ddos-атакой систематическую рассылку в сети широковещательных запросов операционной системой каждого компьютера.
-
Хорошо. Допустим, вы все-таки установили, что была совершена ddos-атака. Как вы действуете после этого, чтобы найти заказчиков?
-
В публичном разговоре вряд ли стоит обсуждать наши методы. Ничего сверхнеобычного здесь сделать нельзя. ddos-атака - это проблема всемирная. И очень часто мы сталкиваемся с тем, что основная часть пакетов к нам приходит из бот-сети, которая находится в другой стране. И в этой связи, конечно же, говорить о том, что эти преступления легко раскрыть, не приходится. Тем более одной стране в одиночку.
-
Т.е. вы работаете совместно с иностранными партнерами?
-
Да. У нас есть национальный контактный пункт, который связан с более 60-ти странами мира. Мы также сотрудничаем с нашим CERT, а через него - с CERT других стран. Касательно ddos-атак они нам оказывают существенную помощь. Это позволяет идентифицировать командные центры хакеров и добраться вплоть до заказчика удара. В Украине достаточно много организаторов бот-сетей. В основном они готовы совершать ddos-атаки за деньги других стран. Но, к сожалению, этих преступлений было очень мало раскрыто по миру. В нашей стране таких примеров можно пересчитать на пальцах двух рук.
-
Но самих преступлений много?
-
Вы хотите спросить, высока ли латентность этих преступлений. Да, она достигает 80-90% в силу разных причин. Иногда об этом не сообщает потерпевший. Так как, например, не уверен в том, что ему могут помочь правоохранители. А с другой стороны, он может сам понимать, что хакерская атака не принесла ему ущерба. Поэтому эти факты во многих случаях остаются не известны милиции.
-
С другой стороны, нам еще предстоит очень много работать для того, чтобы обеспечить инфраструктуру, которая нам нужна для эффективного противодействия. Нужно накопить опыт и некоторую информацию для того, чтобы в дальнейшем идентифицировать бот-сети и более эффективно с ними работать. Нужно дойти до одного уровня развития с большинством стран мира. Есть страны, которые намного впереди нас в этой сфере. Есть страны, которые с нами на одинаковом уровне. Но каждая страна в одиночку не способна эффективно противодействовать ddos-атакам и бот-сетям. Сеть интернета не имеет границ, и преступления в этой среде тоже мало связаны границами.
-
Кроме того, нужно продолжить работу в законодательном поле. Потому что сейчас получить информацию от провайдера в течение 30-ти дней, это значит - не проявить никакой эффективности в борьбе с преступлениями, которые совершаются за секунды. Собрать улики в таком случае крайне сложно.
-
Украина считается одним из самых больших рассыльщиков спама в мире. Вы каким-то образом контролируете эту сферу?
-
Почему по спаму практически нет опыта привлечения к уголовной ответственности, - потому что статья Уголовного кодекса предусматривает нанесение ущерба компьютерному оборудованию. Но в данном случае вред причиняется человеку, который вынужден читать и избавляться от спама. В этой связи необходимо вносить поправки в Уголовный кодекс. Тогда может сдвинуться с мертвой точки вопрос спамеров. Это уже давно планируется сделать. Есть соответствующий законопроект № 9575, который мы поддерживали. Он сейчас находится на стадии доработки. И, видимо, в новом парламенте он получит развитие. В любом случае Уголовный кодекс будет приводиться в порядок, так как время не стоит на месте.
-
Согласно различным международным отчетам, Украина обычно входит в ТОП-10 самых преступных стран в кибермире. Согласитесь ли вы с этим утверждением? Или нас намеренно выставляют в плохом свете?
-
Сложно говорить об этих оценках и рейтингах, так как я не владею информацией о методиках сбора данных, которые применялись. Но если говорить глобально, то, видимо, это близко к правде. Т.е. Украина действительно в некоторой степени является страной, более приемлемой для киберпреступности, чем та же Россия, которая уже ввела реестр доменов и ресурсов, которые подлежат блокированию во внесудебном порядке. Другие страны ужесточают контроль за этой сферой. Это общеевропейская и общемировая тенденция. А Украина в этом смысле несколько отстает. Но возможно, это дает ей шанс использовать опыт других стран по внедрению законодательных новшеств, избежать их ошибок.
-
То есть система внесудебной блокировки сайтов все-таки должна работать, чтобы эффективно противодействовать кибер-угрозам?
-
Этот вопрос нужно еще серьезнейшим образом обговорить с общественностью. Если мы пойдем по конкретным локальным "болевым точкам" (например, попытаемся защитить своих детей, которые уже очень серьезно вовлечены в эту сферу. У каждого есть аккаунт в соцсетях, и там на самом деле очень много информации, которую бы им не стоило потреблять), то безусловно блокирование этих сайтов в украинском сегменте интернета очень актуально. Потому что это наше будущее. Лично мое мнение - необходимо эту сферу как можно скорее урегулировать. Но при этом я не сторонник так зарегулировать интернет, чтобы кому-то можно было его отключать одной кнопкой. Должен быть механизм, когда общественность говорит, что вот эти вот сайты несут угрозу.
-
У вас есть мониторинг и система блокировки ресурсов, на которых размещена порнография?
-
Когда мы выявляем в национальном сегменте такой контент, мы обращаемся к провайдерам. Они сами не могут уследить за всеми своими ресурсами. Поэтому когда мы об этом сообщаем они эти ресурсы нейтрализуют не то что во внесудебном порядке, а по собственной воле. В большинстве случаев. Есть, конечно, ресурсы, на которые тяжело воздействовать таким образом. Но на территории Украины их крайне мало. У нас в основном все провайдеры реагируют мгновенно. Часто бывает, что в нашем интернет-пространстве распространяют такую информацию иностранцы. Мы информируем иностранных коллег. Точно также они информируют нас, если в нашей стране размещены сервера. Мы принимаем меры по их блокированию.
-
Пользователи, которые закачивают такие файлы, каким-то образом привлекаются к ответственности?
-
В нашей стране наказывается распространитель.
-
А те украинцы, которые собственноручно начинают ddosить какой-то сайт, что им грозит?
-
Вы подразумеваете такую разновидность ddos-атаки, как Loic (https://ru.wikipedia.org/wiki/LOIC). Это когда пользователь заходит на сайт, скачивает программу, которая генерирует большое число запросов на сервер. Если будет заявление о том, что сайт был заблокирован, то формально все участники должны быть признаны виновными и понести наказание. Я бы не советовал нашим гражданам участвовать в этом, даже если это кажется безобидной шуткой.
-
Были ли случаи, когда отдельные украинцы понесли наказание?
-
Я не готов сейчас оперировать данными статистики. Если сервер "переваривает" отправленные пользователем сообщения или у него хорошая защита, это, грубо говоря, не является ddos-атакой. Можно будет говорит только о покушении. Если все же работа сайта была нарушена, пользователю грозит штраф от 500 до 1000 не облагаемых минимумов доходов граждан. Или ограничение свободы на срок до 3-ех лет. Но, как правило, это исключительно штраф. Если атака была совершена повторно, то нарушителю грозит уже до 5-ти лет лишения свободы. Это максимальное наказание.
-
Каким образом Вы контролируете правомерность денежных взаиморасчетов в интернете? Попадает ли это в вашу компетенцию?
-
Это в нашей компетенции, но с некоторой оговоркой. Эта сфера еще не до конца урегулирована. Учитывая, что здесь базис нашей работы создается Национальным банком и другими участниками рынка, они должны сначала написать правила игры. А мы уже будем реагировать на уровне уголовного кодекса.
-
Если речь идет о махинациях с пластиковыми картами и связанными с ними счетами, то они уже находятся в рамках регулирования, и проблем при раскрытии преступлений мы в этой сфере не имеем. У нас очень много таких случаев. Особенно в последнее время. Мы их в рабочем порядке разрешаем, привлекаем к уголовной ответственности нарушителей.
-
Что касается электронных денег, то здесь все сложнее. Потому что и эмитенты электронных денег, и преступники, совершившие их противоправное снятие, зачастую находятся за границей. Здесь мы пока только налаживаем взаимоотношения, и нам, естественно, не хватает мнения регулятора. Или это будет Нацбанк, или Госфинуслуг. Мы уже имели с ними несколько рабочих встреч и этот вопрос постоянно в актуальном состоянии. Экономика в сети интернет получает в последнее время серьезное развитие. Это и интернет-магазины, и интернет-аукционы. Там везде участвуют виртуальные платежные системы. Естественно, как только эта сфера становится интересной для мошенников, требуется участие регулятора в этих процессах, и только после налаживания правил и контроля за их исполнением можно говорить о более менее эффективном уголовно-правовом воздействии на сферу электронных денег.
-
И последний вопрос по телевизионному пиратству. Есть мошенники, которые продают нелегальные коды доступа к спутниковым платным каналам (card sharing). В Украине таких случаев уже очень много...
-
Но и заведенных уголовных дел, и случаев привлечения людей к ответственности в этой области тоже не мало...
-
Вы имеете в виду только распространителей?
-
Речь естественно идет о влиянии на причину, а на следствие. Какой смысл акцентировать внимание на пользователях, если реальный ущерб причиняет человек, который продает коды или является организатором.
-
А какое наказание предусмотрено за такие действия?
-
Штраф от 200 до 1000 не облагаемых минимумов дохода граждан, либо исправительные работы до 2-лет, либо лишение свободы скором до 2-ух лет. Если эти преступления совершены повторно, либо организованной группой лиц, то штраф устанавливается от 1000 до 2000 не облагаемых минимумов доходов граждан, либо грозит лишение свободы от двух до 5-ти лет.
-
Насколько активно вы будете отрабатывать информацию Национального совета по вопросам ТВ и радиовещания о том, что в том или ином населенном пункте работает нелегальный оператор телевидения?
-
Жесткость этого вопроса регулирует закон. И наказание будет определяться судом. Наша задача - качественно собрать материал и передать его через цепочку правоохранительных подразделений и органов в суд.
-
Данные об операторах-нелегалах в Нацсовет будут "сдавать" сами же участники рынка. А если кто-то захочет таким образом просто подставить своего конкурента?
-
Если один оператор сообщает о преступлении другого, то это не является подставой. А если создается симуляция преступления или провокация, то тут нужно будет, кончено, разбираться. Но преступлений, которые невозможно было бы раскрыть в принципе, не бывает. Иногда это бывает чрезвычайно сложно или очень дорого, но я уверен, что уже через несколько лет правоотношения в кибернетической сфере приобретут гораздо более упорядоченный характер, так как правила дорожного движения тоже не появились раньше, чем автомобили стали частью жизненных интересов большинства людей.