Скільки в Україні реєстрів із персональними даними громадян? Вони захищені? Їх вже зламали? Відповідає Мстислав Банік, керівник «Дії»
Скільки в Україні реєстрів із персональними даними громадян? Вони захищені? Їх вже зламали? Відповідає Мстислав Банік, керівник «Дії»
Сьогодні стало відомо, що один із декількох телеграм-ботів, які продають персональні дані українців, додав до вже пропонованої їм інформації нову базу даних. Серед іншого там з’явилися дані про водійські посвідчення. Десятки користувачів соцмереж, серед яких народний депутат Олександр Дубинський, написали пости, в яких цей витік пов’язували зі зламом додатка «Дія». Згодом Дубинський видалив пост, а міністр цифрової трансформації Федоров назвав цю інформацію фейком та написав, що відомство звернулося до СБУ.
«Медіасапієнс» звернувся до Мстислава Баніка, керівника проекту «Дія», з проханням прокоментувати ситуацію. Відповіді на свої запитання, поставлені зранку, редакція отримала тільки зараз.
- Міністр цифрової трансформації у своєму пості написав, що інформація про злам бази даних «Дія» – це фейк. Чи можна стверджувати стовідсотково, що телеграм-бот, який продає дані українців, не використовує бази даних «Дія»?
- Справа в тому, що в телеграм-боті є інформація, яку «Дія» ніколи не використовувала і ніколи не мала до неї доступу. Наприклад, інформація про паролі до соціальних мереж Вконтакті і Linked in, люди пишуть, що знаходять у цьому боті інформацію з «Нової пошти», з Приватбанку до його націоналізації тощо. Також пишуть, що бот відображає 26 мільйонів водійських посвідчень, але в реєстрі транспорту є тільки 9,5 мільйонів посвідчень - в Україні стільки існує водіїв. Для нас загадка, звідки взялася така кількість водіїв. Можливо, йдеться про декілька баз за десятки років – але ми цього напевне не знаємо. Це перший момент.
Другий – із повідомлень користувачів, які нам надходять, відомо, що люди, які отримували права після 2017 року, і ці права, наприклад, відображаються в «Дії», не можуть знайти цю інформацію в боті. І навпаки, люди, які отримували документи до 2013 року, що не відображаються в «Дії», знаходять ці документи в боті. У нас є ряд підтверджених звернень громадян із описом саме отакої ситуації.
- Чому громадяни звертаються до Мінцифри, якщо вони не можуть знайти в цьому боті свої права, наприклад, чи інші документи?
- Вони не звертаються до нас, а діляться своїми думками з цього приводу. У нас є фейсбук-спільнота «Дієві», де люди постійно обмінюються своїм досвідом користування додатком. Відповідно, вони писали нам і про цю ситуацію.
- Саме міністерство проводило якусь перевірку щодо цієї ситуації? Чому ви звернулися саме в СБУ, а не в Кіберполіцію, наприклад?
- До СБУ ми звернулися тому, що йдеться про персональні дані громадян, а це питання національної безпеки. Ми також проінформували Міністерство внутрішніх справ. Нацполіція розпочала кримінальне провадження за фактом витоку інформації про персональні дані громадян. Розслідування здійснює Департамент кіберполіції Нацполіції України. Попереднім аналізом встановлено, що обсяг протиправно оприлюдених персональних даних є компіляцією з інформаційних баз різних державних відомств і недержавних установ за різні періоди попередніх років і не має відношення до початку роботи державного мобільного застосунку «Дія».
- Можлива ситуація, що бот працює на основі декількох баз – і державних, і приватних?
- Ми не знаємо цього, тому ми звернулися в СБУ, щоб вони з’ясували, що саме відбувається. Але те, що документи, завантажені в «Дію», не відображаються в цьому боті, може свідчити, що це дані з давнішніх баз, до 2018 року, наприклад. Ми робимо таке припущення, але не можемо цього стверджувати – у цьому повинні розібратися відповідні органи.
- Ви самі заходили в цей бот?
- Так, і так само як у багатьох, у мене не відображаються документи, які були отримані в «Дії». Але наголошую, що ми не радимо шукати інформацію про себе в цьому ботові, бо він так само запитує персональну інформацію, наприклад, повне ім’я, прізвище та по батькові – і ви добровільно надаєте йому цю інформацію.
- Але державні реєстри також містять багато персональних даних у відкритому доступі. Наприклад, у реєстрах можна дізнатися телефон, адресу реєстрації та іншу інформацію про ФОПів. Також відомо, що в Україні взагалі є проблема з безпекою державних баз даних. Чи є небезпека у тому, що виникає додаток, який об’єднує всі ці бази даних в одному застосунку?
- По-перше, «Дія» не об’єднує бази даних – це цифрове підтвердження даних, які містяться про громадян у відповідних реєстрах, цей додаток підтягує цю інформацію в реальному часі. Вона також не зберігає персональних даних громадян – вони зберігаються в реєстрах, і кожне відомство є відповідальним за свої реєстри. Наприклад, якщо йдеться про транспортний реєстр, то це зона відповідальності МВС, і так далі.
По-друге, наш застосунок має відповідний сертифікат безпеки, який надає Держспцзв’язок, який називається КСЗІ. Ми переконані в тому, що «Дія» має всі рівні захисту, яких потребує такий застосунок – і відповідно до нашого, і міжнародного законодавства. Наприклад, інформацію з «Дії» не можна ні скачати, ні згрупувати, ні зробити принтскрін, - це заборонено. Також ви не можете надіслати зворотню інформацію – тобто це шлях односторонній. Ви навіть не можете автоматично оновити цей додаток, тому що це також заборонено. Це все – певні міжнародні вимоги до застосунків такого типу.
На жаль, і ми постійно про це говоримо, в Україні дуже недосконалі реєстри. Всього їх понад триста, понад двісті з них містять персональні дані громадян. Кожне відомство створювало їх як хотіло, запитувало інформацію, яку воно вважало за потрібне, і це ніяк не регулювалося. Більш того, далеко не всі реєстри мають сертифікат КСЗІ. Тому восени минулого року, фактично одразу ж після створення міністерства, ми почали аудит реєстрів. З’ясувалося, що на деякі реєстри навіть невідомо де знаходяться права - наприклад, реєстр Державний архітектурно-будівельної інспекції (ДАБІ) фізично знаходився в Європі, і доступу до користування ним держава не мала. Ми ініціювали відповідне впровадження, і взимку державі повернули реєстр. Більш того, ми в тому реєстрі знайшли цікаву закладку під назвою «Не світити», тобто це така корупційна схема – людина подає дані щодо об'єкта будівництва, наприклад, аби ввести будинок в експлуатацію. Ці дані гальмувалися, натомість людині пропонували пришвидшити процес за винагороду. Відповідно, ми припинили цю практику, повністю переписали реєстр, зробили його захищеним та відповідним до міжнародних правил.
- Це тільки один реєстр з більше трьохсот?
- Ми зараз працюємо над аудитом всіх реєстрів – і так, це не робиться швидко, але ми йдемо до того, щоб кількість реєстрів було скорочено, щоб наповнення реєстрів жорстко контролювалося. Більш того, ми працюємо над тим, щоб всі дані, які вносить у реєстр чиновник, залишали так званий цифровий слід – щоб держава в будь-який момент могла перевірити, хто, коли наповнював цей реєстр, і які саме дані вносилися. Щоб можна було перевірити, чи це було санкціоноване втручання в реєстр, чи ні.
- Яке саме законодавство дозволяє відстежувати електронний слід чиновника?
- Прямої норми законодавства нема. Робота кожного реєстру наразі регламентується окремо. За роботу реєстру та захист інформації, що він містить, відповідає держатель реєстру. У листопаді минулого року в першому читанні прийнято ініційований нами проект закону “Про публічні електронні послуги”, який власне запроваджує єдину для всіх державних реєстрів термінологію, обов’язкову державну реєстрацію та заборону фінансувати незареєстровані реєстри та запроваджує єдині вимоги до створення та функціонування реєстрів. Наразі в Україні 350 реєстрів, 78% розміщені на власних серверах і лише 28% реєстрів мають відповідний сертифікат захисту інформації, тобто КСЗІ. Ми наполягаємо на тому, що чиновники, які мають доступ до таких даних, повинні мати цифровий підпис, ці дані повинні вноситися виключно санкціоновано.
«МедіаСапіенс» також звернувся СБУ та Кіберполції по коментар, але не отримав жодної відповіді на свої запити протягом дня: СБУ не відповіла на запитання, пресслужба кіберполіції відповіла, що не володіє інформацією про розслідування, і порекомендувала звертатися до СБУ. Згодом з’явилося повідомлення, що МВС таки почало розслідування і саме кіберполція буде супроводжувати розслідування. Проте за годину до цього повідомлення пресслужба кібреполіціі про це не знала.
У повідомленні поліції йдеться, що «обсяг протиправно оприлюднених персональних даних є компіляцією з інформаційних баз різних державних відомств і недержавних організацій за різні періоди попередніх років і не має відношення до початку роботи державного мобільного застосунку «Дія».
Фото: youtube.com