Сезон зливів: як персональні дані громадян потрапляють у публічний доступ
Чи велика провина застосунку «Дія» та чому кібербезпека в Україні – наразі лише красиве гасло
Днями застосунок «Дія» став головним героєм скандалу з витоком даних користувачів. Так, телеграм-канал UA Baza Bot розмістив оголошення про продаж даних водійських посвідчень українців.
При цьому користувачі фейсбуку припускали, що вони могли потрапити до шахраїв з бази даних програми «Дія», в якому зберігаються цифрові аналоги документів.
Водночас міністр цифровий трансформації Михайло Федоров запевняє, що ця інформація не пов'язана з роботою програми та що канал використовує базу даних ПриватБанку до націоналізації та інші приватні бази даних.
Чи має відношення до цього витоку застосунок «Дія» та що насправді необхідно виправляти і як це зробити, розповів Mind ІТ-бізнесмен, глава Наглядової ради компанії «Октава капітал», один з найбільших інвесторів у сфері інформаційної та кібербезпеки країни Олександр Кардаков.
Який день не вщухають пристрасті з приводу витоку персональних даних українців, і скандал постійно обростає новими вступними. Що я думаю з цього приводу?
Чому проблема не в застосунку «Дія»
Перше. Застосунок «Дія» є суто інтерфейсом, тобто єдиним способом доступу. Іншими словами, «Дія» не зберігає персональні дані українців, а тільки відображає оброблену інформацію з реєстрів (на вимогу ідентифікованого громадянина).
Друге. Дані громадян зберігаються в створених раніше реєстрах і базах. Власні агреговані дані, за наявною інформацією, «Дія» не зберігає. А саме вони і продаються у відомому телеграм-каналі. Судячи з усього, ці дані – проста компіляція з інформаційних баз різних державних відомств за різні періоди попередніх років.
Третє. Упевнений, що скандал зі «зливом» – брехня і провокація. Але не поспішайте розходитися, бо найцікавіше попереду. Готуйтеся до того, що таких атак на «Дію» і таких «зливів» буде ще багато. На місці одного чат-бота (який заблокували) виросте ще сто таких самих. І ось тут проблема вже на системному рівні.
У чому проблема
Пам'ятається, глава Мінцифри публічно заявляв, що роль кібербезпеки в сучасному світі сильно перебільшена. Нібито про неї багато говорять, але за фактом навести приклади якихось реальних кейсів кіберзагроз мало хто може. Скандал зі «зливом» персональних даних яскраво показав – за кейсами і прикладами далеко ходити не треба.
При цьому я неодноразово в особистих постах і ЗМІ акцентував увагу на тому, що питаннями кібербезпеки в країні до пуття досі ніхто не займається – немає чіткої стратегії її реального (не на папері) забезпечення.
З корисного: президент підписав указ, який закріплює рішення РНБО про посилення позицій України у сфері кібербезпеки. На базі Мінцифри відкрився офіс, що аналізує стан забезпечення кібербезпеки на державному рівні (результати роботи якого, щоправда, поки невідомі). Усе.
К – комунікація
Якщо б до питання кібербезпеки підходили грамотно, історія з застосунком «Дія» розгорнулася б за іншим сценарієм:
-
1. З'являється інформація про витік. Синхронно – робиться перевірка інформаційної системи, що забезпечує роботу програми «Дія» (забирає не більше години).
Фахівці в кіберсфері легко з’ясовують, що це маніпуляція вже існуючими реєстрами з інформацією.
Потрібно довести і показати, що «злиті» інформація і фото з водійських посвідчень архівні. Тому що ведеться постійний моніторинг і облік реально оновлених даних, що не відповідатимуть даним, які з'явилися в чат-боті. - Офіційний орган, що відповідає за кібербезпеку, відразу коментує інцидент у розрізі «реєстри захищені таким-то чином, процеси із забезпечення кібербезпеки побудовані таким-то чином, підтвердження витоку немає».
- Скандал вщухає, всі заспокоюються. Кіберполіція шукає і успішно знаходить організаторів телеграм-каналу.
Що можна і потрібно робити зараз
Насправді ж ми маємо іншу картину, хоча Нацполіція і підключилася до питання і почала кримінальне провадження за фактом витоку персональних даних громадян.
Але тут важлива системність. Поки держава буде продовжувати «гасити пожежі» після їх виникнення, а не забезпечувати дотримання заходів «протипожежної безпеки» і працювати на випередження, рівень забезпечення кібербезпеки завжди буде не таким, як слід, і у нас постійно виникатимуть проблеми.
Говорив багато разів і повторюся: необхідно на державному рівні вирішити, як правильно реформувати Держспецзв'язок, з усіма його непрофільними підрозділами. Йдеться про різноманітні псевдоінститути, мікродержпідприємства, нікому не відомі теле- і радіоканали, медичні центри, будівельні підрозділи і т. д.
Необхідно гарантувати консолідацію функцій забезпечення кіберзахисту, моніторингу та реагування на кіберінциденти. Саме ці функції і повинні бути пріоритетними для подібної служби.
У частині реалізації практичних заходів щодо захисту від кіберзагроз необхідно надалі масштабувати Центр кіберзахисту (профільний підрозділ Держспецзв'язку) – розширювати його можливості, продовжити налагодження відносин CERT-UA з аналогічними міжнародними структурами.
В області регулювання питань ТЗІ/криптографічного захисту важливим завданням є перехід від застарілої «унікальної» нормативної бази до використання міжнародних стандартів і демонополізації ринку сертифікації.
У будь-якому випадку необхідно намагатися зберегти корисні напрацювання, виважено планувати зміни і не намагатися проводити реформи заради самих реформ.
Але найкращий вихід – створення окремої профільної структури із кіберзахисту на базі всіх існуючих або ж взагалі з нуля.
Автори матеріалів OpenMind, як правило, зовнішні експерти та дописувачі, що готують матеріал на замовлення редакції. Але їхня точка зору може не збігатися з точкою зору редакції Mind.
Водночас редакція несе відповідальність за достовірність та відповідність викладеної думки реальності, зокрема, здійснює факт-чекінг наведених тверджень та первинну перевірку автора.
Mind також ретельно вибирає теми та колонки, що можуть бути опубліковані в розділі OpenMind, та опрацьовує їх згідно зі стандартами редакції.
