Цифровізація хаосу. Чому в Україні "течуть" персональні дані
17 вересня 2021 р.
На початку тижня у секретаріаті уповноваженого Верховної Ради України з прав людини повідомили здавалося б сенсаційну новину - в інтернеті виявили базу даних жителів України, що може містити майже 53 мільйони записів про персональні дані. У базі можна було знайти імена, дати народження, номери телефонів та адреси проживання мільйонів українців, зазначили у відомстві і заявили про звернення до Національної поліції з цього приводу.
Щоправда, українські спеціалісти у сфері кібербезпеки та діджиталізації зустріли це повідомлення з посмішкою. "Цей витік - новина тільки для Денисової. Базі більше десяти років, і для всіх, хто в темі, це ніяка не новина", - зазначає у розмові з DW голова громадської організації "Електронна демократія" Володимир Фльонц.
За радника з питань кібербезпеки української політичної партії "Демократична сокира" Андрія Барановича, ця база даних ще до викладення у відкритий доступ онлайн понад десятиріччя тому вільно продавалася на компакт-дисках. Він відзначає - таке нерозуміння українськими відомствами, відповідальними за захист персональних даних, справжнього значення свого відкриття добре ілюструє усю проблемність цієї сфери в Україні.
Читайте також: Дані 533 мільйонів користувачів Facebook знайшли у мережі
Мільйони посвідчень і цифровий підпис Байдена
Нині, каже Баранович, персональну інформацію українців з різноманітних державних і комерційних баз даних продають вже не на компакт-дисках, а на спеціалізованих форумах та за допомогою Telegram-каналів. А втім, за словами експерта, принципово ситуації це не змінює. "Дані як текли, так і продовжують текти", - зазначає він.
Так, у травні 2020 року один з українських анонімних Telegram-каналів повідомив про поповнення власної бази мільйонами водійських посвідчень громадян України. Оцінити справжній масштаб витоку було досить важко, але українські користувачі й справді знаходили у цій базі свої навіть відносно нещодавно видані документи. При цьому витік стався через декілька місяців після запуску додатку сервісу державних послуг "Дія", що призвело до підозр у його вразливості для зловмисників.
Деякі приклади незахищеності персональних даних українських користувачів бувають комічними. У червні цього року користувач на ім'я Biden Joe підписав електронну петицію на сайті президента України. Аби зробити це підписант повинен спершу авторизуватися на сайті, зокрема за допомогою системи електронної ідентифікації id.gov.ua. Ця система, за словами її розробників, допомагає "зручно та безпечно пройти електронну ідентифікацію за допомогою е-підписів", надійно захищаючи персональні дані користувачів. У Держспецзв’язку пізніше повідомили, що голосування "Байдена" відбулося з використанням викраденого електронного ключа, згенерованого системою "Приватбанку".
Читайте також: Що робити, якщо ваші персональні дані продають в інтернеті?
Багато даних і мало відповідальності
Баранович зазначає численні витоки особистих даних та зловживання ними стають можливими зокрема й через те, що держава збирає велику кількість персональної інформації, подекуди зовсім непотрібної. Відомства майже не взаємодіють між собою, і кожне з них має свої, не пов'язані з іншими реєстри, пояснює експерт, додаючи, що це розширює можливості як для кіберзлочинців, так і передусім для чиновників, які продають інформацію, до якої мають доступ. "Першою чергою персональні дані треба захищати від чиновників, а не від хакерів", - наполягає Баранович.
На додачу до держави не менш агресивно збирають дані про українських громадян і комерційні установи, зазначає консультант Школи цифрової безпеки DSS380 Павло Бєлоусов. При цьому українці здебільшого дуже обмежені у праві розпоряджатися тим, як саме інформація збирається, знати, яким чином вона використовується, та в можливості відкликати згоду на її обробку чи вимагати її видалення.
Усі експерти сходяться на думці, що ключовою причиною масштабних зловживань з приватними даними в Україні є майже повна відсутність відповідальності за це. За словами Барановича, в останні роки законодавство у цій сфері трохи просунулося уперед і розголошення даних з державних реєстрів тепер може навіть каратися карним кодексом, але випадків реального переслідування за подібними справами майже немає. Як приклад він наводить минулорічний витік бази даних з водійськими посвідченнями, джерело якого досі так і не було встановлено.
При цьому Бєлоусов визнає, що у сфері захисту даних законодавству вкрай важко слідувати за новими технологічними викликами і воно потребує постійного оновлення. "Український аналог європейського GDPR (Загального регламенту щодо захисту даних. - Ред.) міг би допомогти у цьому", - впевнений експерт, на думку якого, Україна потребує як більш докладних правил щодо використання особистих даних користувачів, так і більш суворих покарань за зловживання у цій сфері.
Читайте також: Великобританія покарала Facebook через скандал із витоком даних користувачів
Карколомна діджиталізація і брак безпеки
При цьому зусилля влади з діджиталізації державних послуг істотно збільшують ризики у сфері захисту персональних даних, попереджають експерти. Так, за словами Барановича, дії міністерства цифрової трансформації України, наприклад, хоч і полегшують чиновникам та громадянам доступ до даних, але не роблять його більш контрольованим. Експерт попереджає, що такий підхід може призвести до ще більших витоків у майбутньому. "Цифровий ключ - має надавати не лише доступ, але й передбачати відповідальність. А мінцифри робить доступ безконтрольним", - нарікає він. За словами Бєлоусова, це вже почало призводити до випадків махінацій, зокрема з оформленням кредитів за документами, доступ до яких зловмисники змогли отримати завдяки сервісу "Дія".
Усі закиди щодо потенційних вразливостей "Дії" та інших ініціатив мінцифри у відомстві відкидають. Так, у відповідь на підозри у злитті бази даних з водійськими посвідченнями Михайло Федоров, голова міністерства цифрової трансформації, якого цитували ЗМІ в Україні, запевняв, що "Дія" не має бази даних і не накопичує таку інформацію. По-друге, кількість інформації, яка була доступна через Telegram-бот, за його словами, набагато перебільшувала ту, з якою працює "Дія". При цьому слід зазначити, що довести походження "зливу" саме з нового сервісу так ніхто і не зміг.
На сайті мінцифри вказують на те, що "Дія" не лише не зберігає документи, але через сервіс також неможливо їх оцифрувати чи завантажити. "При цьому інформація в каналах передачі даних передається у зашифрованому вигляді, а на деяких етапах - використовується подвійне шифрування", - додають у відомстві, зазначаючи, що захист персональних даних у "Дії" перевірено за допомогою пен-тестів, тобто тестування безпеки застосунку компанією EPAM.
Але Бєлоусова такі запевняння не переконують. Експерт вказує, що EPAM була компанією, яка розробляла сервіс і таким чином фактично перевіряла саму себе. Він вказує на те, що код "Дії" так і не було викладено у відкритий доступ. При цьому така публічність є нормальною практикою не лише за кордоном - код української системи електронних публічних закупівель Prozorro також є доступним широкому загалу.
І хоча експерт вважає, що діджиталізація - це невідворотній тренд, він визнає, що для української влади питання підзвітності та безпеки даних залишається другорядним на тлі швидкості та ефектності впровадження відповідних реформ. "Рішення, які б забезпечували вищий рівень безпеки, потребують більше грошей, часу та більш прискіпливого підходу у розробці та тестуванні. Але це було б важче "продати" звичайному громадянину, ніж швидко зроблений і красивий додаток, нехай і з потенційними вразливостями", - визнає Бєлоусов.