Сезон зливів: як персональні дані громадян потрапляють у публічний доступ

Днями застосунок «Дія» став головним героєм скандалу з витоком даних користувачів. Так, телеграм-канал UA Baza Bot розмістив оголошення про продаж даних водійських посвідчень українців.

При цьому користувачі фейсбуку припускали, що вони могли потрапити до шахраїв з бази даних програми «Дія», в якому зберігаються цифрові аналоги документів.

Водночас міністр цифровий трансформації Михайло Федоров запевняє, що ця інформація не пов'язана з роботою програми та що канал використовує базу даних ПриватБанку до націоналізації та інші приватні бази даних.

Чи має відношення до цього витоку застосунок «Дія» та що насправді необхідно виправляти і як це зробити, розповів Mind ІТ-бізнесмен, глава Наглядової ради компанії «Октава капітал», один з найбільших інвесторів у сфері інформаційної та кібербезпеки країни Олександр Кардаков.

Який день не вщухають пристрасті з приводу витоку персональних даних українців, і скандал постійно обростає новими вступними. Що я думаю з цього приводу?

Чому проблема не в застосунку «Дія»

Перше. Застосунок «Дія» є суто інтерфейсом, тобто єдиним способом доступу. Іншими словами, «Дія» не зберігає персональні дані українців, а тільки відображає оброблену інформацію з реєстрів (на вимогу ідентифікованого громадянина).

Друге. Дані громадян зберігаються в створених раніше реєстрах і базах. Власні агреговані дані, за наявною інформацією, «Дія» не зберігає. А саме вони і продаються у відомому телеграм-каналі. Судячи з усього, ці дані – проста компіляція з інформаційних баз різних державних відомств за різні періоди попередніх років.

Третє. Упевнений, що скандал зі «зливом» – брехня і провокація. Але не поспішайте розходитися, бо найцікавіше попереду. Готуйтеся до того, що таких атак на «Дію» і таких «зливів» буде ще багато. На місці одного чат-бота (який заблокували) виросте ще сто таких самих. І ось тут проблема вже на системному рівні.

У чому проблема

Пам'ятається, глава Мінцифри публічно заявляв, що роль кібербезпеки в сучасному світі сильно перебільшена. Нібито про неї багато говорять, але за фактом навести приклади якихось реальних кейсів кіберзагроз мало хто може. Скандал зі «зливом» персональних даних яскраво показав – за кейсами і прикладами далеко ходити не треба.

При цьому я неодноразово в особистих постах і ЗМІ акцентував увагу на тому, що питаннями кібербезпеки в країні до пуття досі ніхто не займається – немає чіткої стратегії її реального (не на папері) забезпечення.

З корисного: президент підписав указ, який закріплює рішення РНБО про посилення позицій України у сфері кібербезпеки. На базі Мінцифри відкрився офіс, що аналізує стан забезпечення кібербезпеки на державному рівні (результати роботи якого, щоправда, поки невідомі). Усе.

К – комунікація

Якщо б до питання кібербезпеки підходили грамотно, історія з застосунком «Дія» розгорнулася б за іншим сценарієм:

1. 1. З'являється інформація про витік. Синхронно – робиться перевірка інформаційної системи, що забезпечує роботу програми «Дія» (забирає не більше години).
   
   Фахівці в кіберсфері легко з’ясовують, що це маніпуляція вже існуючими реєстрами з інформацією.
   
   Потрібно довести і показати, що «злиті» інформація і фото з водійських посвідчень архівні. Тому що ведеться постійний моніторинг і облік реально оновлених даних, що не відповідатимуть даним, які з'явилися в чат-боті.
2. Офіційний орган, що відповідає за кібербезпеку, відразу коментує інцидент у розрізі «реєстри захищені таким-то чином, процеси із забезпечення кібербезпеки побудовані таким-то чином, підтвердження витоку немає».
3. Скандал вщухає, всі заспокоюються. Кіберполіція шукає і успішно знаходить організаторів телеграм-каналу.

Що можна і потрібно робити зараз

Насправді ж ми маємо іншу картину, хоча Нацполіція і підключилася до питання і почала кримінальне провадження за фактом витоку персональних даних громадян.

Але тут важлива системність. Поки держава буде продовжувати «гасити пожежі» після їх виникнення, а не забезпечувати дотримання заходів «протипожежної безпеки» і працювати на випередження, рівень забезпечення кібербезпеки завжди буде не таким, як слід, і у нас постійно виникатимуть проблеми.

Говорив багато разів і повторюся: необхідно на державному рівні вирішити, як правильно реформувати Держспецзв'язок, з усіма його непрофільними підрозділами. Йдеться про різноманітні псевдоінститути, мікродержпідприємства, нікому не відомі теле- і радіоканали, медичні центри, будівельні підрозділи і т. д.

Необхідно гарантувати консолідацію функцій забезпечення кіберзахисту, моніторингу та реагування на кіберінциденти. Саме ці функції і повинні бути пріоритетними для подібної служби.

У частині реалізації практичних заходів щодо захисту від кіберзагроз необхідно надалі масштабувати Центр кіберзахисту (профільний підрозділ Держспецзв'язку) – розширювати його можливості, продовжити налагодження відносин CERT-UA з аналогічними міжнародними структурами.

В області регулювання питань ТЗІ/криптографічного захисту важливим завданням є перехід від застарілої «унікальної» нормативної бази до використання міжнародних стандартів і демонополізації ринку сертифікації.

У будь-якому випадку необхідно намагатися зберегти корисні напрацювання, виважено планувати зміни і не намагатися проводити реформи заради самих реформ.

Але найкращий вихід – створення окремої профільної структури із кіберзахисту на базі всіх існуючих або ж взагалі з нуля.