Сезон сливов: как персональные данные граждан попадают в публичный доступ

На днях приложение «Дія» стало главным героем скандала с утечкой данных пользователей. Так, телеграм-канал UA Baza Bot разместил объявление о продаже данных водительских удостоверений украинцев. 

При этом пользователи Facebook предполагали, что они могли попасть к мошенникам из базы данных приложения «Дія», в котором хранятся цифровые аналоги документов.

В то же время министр цифровой трансформации Михаил Федоров уверяет, что эта информация не связана с работой приложения и что канал использует базу данных ПриватБанка до национализации и другие частные базы данных.

Имеет ли отношение к данной утечке приложение «Дія» и что на самом деле необходимо исправлять и как это сделать, рассказал Mind ИТ-бизнесмен, глава Наблюдательного совета компании «Октава капитал», один из крупнейших инвесторов в сфере информационной и кибербезопасности страны Александр Кардаков.

Который день не утихают страсти по поводу утечки персональных данных украинцев, и скандал постоянно обрастает новыми вводными. Что я думаю по этому поводу?

Почему проблема не в приложении «Дія»

Первое. Приложение «Дія» является сугубо интерфейсом, то есть средством доступа. Другими словами, «Дія» не хранит персональные данные украинцев, а только отображает обработанную информацию из реестров (по запросу идентифицированного гражданина).

Второе. Данные граждан хранятся в созданных ранее реестрах и базах. Собственные агрегированные данные, по имеющейся информации, «Дія» не хранит. А они как раз и продаются в небезызвестном телеграм-канале. Судя по всему, эти данные – простая компиляция с информационных баз разных государственных ведомств за разные периоды предыдущих лет.

Третье. Уверен, что скандал со «сливом» – ложь и провокация. Но не спешите расходиться, потому что самое интересное впереди. Готовьтесь к тому, что таких атак на «Дію» и таких «сливов» будет еще много. На месте одного чат-бота (который заблокировали) вырастет еще сто таких же. И вот тут проблема уже на системном уровне.

В чем проблема

Помнится, глава Минцифры публично заявлял, что роль кибербезопасности в современном мире сильно преувеличена. Якобы о ней много говорят, но по факту привести примеры каких-то реальных кейсов киберугроз мало кто может. Скандал со «сливом» персональных данных ярко показал – за кейсами и примерами далеко ходить не надо.

При этом я неоднократно в личных постах и СМИ акцентировал внимание на том, что вопросами кибербезопасности в стране толком до сих пор никто не занимается – нет четкой стратегии ее реального (не на бумаге) обеспечения.

Из полезного: президент подписал указ, который закрепляет решение СНБО об усилении позиций Украины в сфере кибербезопасности. На базе Минцифры открылся офис, анализирующий состояние обеспечения кибербезопасности на государственном уровне (результаты работы которого, правда, пока неизвестны). Все.

К – коммуникация

При грамотном подходе к вопросу кибербезопасности история с приложением «Дія» развернулась бы по другому сценарию:

1. Появляется информация об утечке. Синхронно – делается проверка информационной системы, обеспечивающей работу приложения «Дія» (занимает не больше часа).
   
   Специалисты в киберсфере легко вычисляют, что это манипуляция уже существующими реестрами с информацией.
   
   Нужно доказать и показать, что «слитые» информация и фото с водительских удостоверений архивные. Потому что ведется постоянный мониторинг и учет реально обновленных данных, которые не будут соответствовать данным, которые появились в чат-боте.
2. Официальный орган, который отвечает за кибербезопасность, сразу комментирует инцидент в разрезе «реестры защищены таким-то образом, процессы по обеспечению кибербезопасности построены таким-то образом, подтверждения утечки нет».
3. Скандал утихает, все успокаиваются. Киберполиция ищет и успешно находит организаторов телеграм-канала.

Что можно и нужно делать сейчас

В действительности же мы имеем другую картину, хотя Нацполиция и подключилась к вопросу и начала уголовное производство по факту утечки персональных данных граждан.

Но здесь важна системность. Пока государство будет продолжать «тушить пожары» после их возникновения, а не обеспечивать соблюдение мер «противопожарной безопасности» и работать на упреждение, уровень обеспечения кибербезопасности будет всегда оставлять желать лучшего и у нас постоянно будут возникать проблемы.

Говорил много раз и повторюсь: необходимо на государственном уровне решить, как правильно реформировать Госспецсвязь, со всеми ее непрофильными подразделениями. Речь идет о разнообразных псевдоинститутах, микрогоспредприятиях, никому не известных теле- и радиоканалах, медицинском центре, строительных подразделениях и т. д.

Необходимо гарантировать консолидацию функций обеспечения киберзащиты, мониторинга и реагирования на киберинциденты. Именно эти функции и должны быть приоритетными для подобной службы.

В части реализации практических мер по защите от киберугроз необходимо в дальнейшем масштабировать Центр киберзащиты (профильное подразделение Госспецсвязи) – расширять его возможности, продолжить налаживание отношений CERT-UA с аналогичными международными структурами.

В области регулирования вопросов ТЗИ/криптографической защиты важной задачей является переход от устаревшей «уникальной» нормативной базы к использованию международных стандартов и демонополизации рынка сертификации.

В любом случае необходимо пытаться сохранить полезные наработки, взвешенно планировать изменения и не пытаться проводить реформы ради самих реформ.

Но лучший выход – создание отдельной профильной структуры по киберзащите на базе всех существующих или же вообще с нуля.