Інтернет-асоціація України запропонувала Нацбанку альтернативний спосіб захисту українців від фішингу
Інтернет-асоціація України (ІнАУ) 31 травня надіслала до Національного банку України (НБУ) листа з пропозиціями щодо вдосконалення системи блокування фішингових сайтів.
В асоціації зазначили, що 30 січня 2023 року Національний центр оперативно-технічного управління мережами телекомунікацій ухвалив розпорядження №67/850, яким встановив алгоритм блокування сумнівних доменів. За ним НБУ створює і надає Національному координаційному центру кібербезпеки при РНБОУ (НКЦК) перелік фішингових доменів, потім НКЦК розміщує список на власному транзитному сервері, звідки провайдери можуть його одержати. Далі провайдери налаштовують свої DNS-сервери так, щоб інтернет-користувачів перескеровували на лендингову сторінку НКЦК.
В ІнАУ звернули увагу, що перескеровування користувачів відбувається без їхнього відома і згоди, один із пунктів регламенту дає змогу НКЦК збирати і зберігати докладну інформацію про інтернет-користувачів, перескерованих на їхній сервер, а державним органам надано доступ до цієї інформації. Отже, ця система призводить до розголошення даних інтернет-користувачів, наголосили в ІнАУ.
Щоб виправити ситуацію, асоціація запропонувала змінити процедуру та впровадити простіший механізм блокування фішингових доменів. Він передбачає, що НБУ формує та постійно оновлює список фішингових доменів і надає інтернет-провайдерам доступ до цього переліку. Під час спроби відвідати один із доменів із цього переліку користувача перескерують на сторінку лендінгу, розміщену на серверах його провайдера. Водночас інтернет-провайдерам надають право надіслати у НБУ аргументовану відмову від блокування того або іншого домену.
На думку ІнАУ, такий підхід допоможе знизити ймовірність помилкового блокування нефішингових доменів, а також вирішує проблему конфіденційності інформації користувачів.
Контекст:
30 січня 2023 року Національний центр оперативно-технічного управління мережами телекомунікацій видав розпорядження про впровадження системи фільтрації фішингових доменів. У документі зазначено, що постачальники електронних комунікаційних мереж і послуг мають протягом 30 днів зареєструватися в системі фільтрації фішингових доменів і забезпечити блокування сайтів відповідно до встановленого регламенту.
Учасники ринку зв'язку заявили про необхідність змін запропонованих підходів щодо боротьби з фішингом. ІнАУ передала свої пропозиції щодо змін у регламент роботи до Ради національної безпеки і оборони, Верховної Ради, Національного координаційного центру кібербезпеки, Держспецзв'язку та Національного банку України.