Чи справді ваші дані персональні

Чи справді ваші дані персональні

Чому в Україні недосконала політика захисту персональних даних та що з цим робити?
Четвер, 28 січня 2021, 17:35
експертка з цифрової трансформації державних послуг

Кожного разу, коли я ставлю "галочку" про надання згоди на обробку персональних даних при отриманні послуг, ловлю себе на думці: аби не стався витік. 

Причина в тому, що працюючи з державними реєстрами та базами, я постійно стикаюсь з трьома факторами, які так чи інакше призводять до витоку даних: 

  • Порушення при зборі та зберіганні персональних даних; 
  • Затребувані дані вже є у доступних для організації базах даних чи реєстрах;
  • Несанкціонована передача персональних даних третім особам.

Чим більше суспільство автоматизується, тим більше персональних даних витікає у відкритий доступ. Єдина держава, яка не втрачала дані – це та, в якої цих даних немає. 

Витік персональних даних може призвести не лише до "незручних" наслідків у вигляді спам-розсилок, а й до репутаційних та фінансових втрат як особи, чиї дані було викрадено, так і до організації, яка їх зберігала.

Реклама:

І навіть найрозвинутіші країни не захищені від помилок повністю. Наведу приклади подібних кейсів. 

Персональні дані 

У 2020 році стався масштабний витік персональних даних майже 6,5 млн громадян Ізраїлю. Джерелом витоку став додаток для голосування Elector. 

Практично весь реєстр виборців міз завантажити будь-хто. А причина була у звичайній недбалості розробників: у коді програми у відкритому вигляді було прописано АРІ, що дозволяло отримати перелік всіх користувачів системи з незашифрованими паролями. 

Оскільки розробниками додатку була партія прем’єр-міністра "Лікуд", витік завдав досить сильного репутаційного удару. 

Особисто я не люблю, коли мені нав’язують послуги компанії, яким я не залишала свій номер телефону та ім’я. Це незручно, але можна пробачити. 

Однак, коли в телеграм-каналі будь-хто за кілька сотень гривень може побачити мої персональні дані — ідентифікаційний номер, адресу, телефон (в тому числі стаціонарний), е-мейл, автівку та нерухомість – це вже пряма загроза для моєї безпеки, як людини та підприємця. 

Для повного комплекту не вистачало балансу за кредитними та депозитними картками. До речі, цей канал був героїчно "закритий" правоохоронними службами. Але ненадовго. Нещодавно він знов з’явився і оголосив про оновлення своєї бази.

Якщо ви песиміст та вважаєте, що гірше, ніж в Україні, не буває, хочу вас запевнити – буває. Наприклад, в кінці 2020 року в мережі з’явилися персональні дані 243 млн бразильців. 

Ця цифра особливо цікава з огляду на те, що на 2018 рік в Бразилії проживало всього 209,5 млн осіб. Пояснення просте: понад 30 млн записів – це персональні дані померлих осіб. 

Причина витоку не хакерська атака, а людська недбалість. На сайті Міністерства охорони здоров’я Бразилії у програмному коді інтернет-сторінки були збережені логін та пароль до бази даних. 

В результаті публічними стали імена, адреси, телефони, е-мейли, ідентифікаційні номери не лише осіб, зареєстрованих у державній системі страхування здоров’я, а й тих, хто був зареєстрований у приватних компаніях. До речі, доступ до цих даних був відкритий понад півроку. 

Чорний патерн 

В політиці захисту персональних даних можна виділити порушення, пов’язані з дизайн-концептом (dark patterns). 

Це хитрощі, на які йдуть розробники задля маніпуляції поведінкою користувача на сайті. Наприклад, спливаюча реклама з малесеньким прозорим хрестиком закриття вікна в кутку. 

На нього майже неможливо натиснути і як результат – користувач потрапляє на сторінку реклами. 

Або копка "Згоден" велика, яскрава і жирна, а кнопка поряд "відмовити" маленька, сіра та непомітна. В Україні така практика не є забороненою, однак в Європі за таке можна отримати непоганий штраф. 

Свого часу користувачі іспанського банку BBVA почали отримувати SMS-рекламу, на яку вони не давали згоду. 

При введені номеру телефона для банківської ідентифікації, користувача неявно погоджувались з розсиланням на їх номер реклами. Вистачило 5 скарг громадян для того, щоб банк оштрафували на 5 млн євро: 2 млн євро за непрозору політику приватності та 3 млн євро за не правильно отриману згоду. 

Чутливі дані 

Окремо хочеться торкнутися безпеки так званих "чутливих даних" (sensitive data). Це дані, які здебільшого зберігаються у недержавних організаціях і часто стосуються здоров’я особи, її релігійних чи політичних поглядів тощо. 

Ці дані не завжди потрапляють під визначення персональних, однак їх витік може нанести значної репутаційної, моральної, а іноді й фізичної шкоди особі. 

В грудні 2020 року хакерська група REvil викрала чутливі дані 11 приватних клінік пластичної хірургії косметологічної компанії Transform Hospital Group. 

У зловмисників опинилось понад 900 Гб фотокарток клієнтів клініки у форматі "до – після операції". Здебільшого це були фотокартки операцій по схудненню та корекції частин тіла. 

Хакери обіцяють оприлюднити ці фотокартки та пропонують компанії їх викупити. Тобто – звичайний інтернет-шантаж. Хоча голова мережі заявив, що на фото відсутні обличчя, цей інцидент негативно вплинув на репутацію закладу та змусив сильно понервувати клієнтів клінік. 

Чутливі дані медичних центрів цінують на чорному ринку даних значно більше, ніж номери кредитних рахунків. Саме тому медичні центри найчастіше стають об’єктами атак. 

До речі, на 2021 рік в планах уряду щодо цифровізації послуг вказано запуск електронного лікарняного. І особисто в мене буде багато питань до системи їх обробки та зберігання, враховуючи низький рівень захищеності персональних даних в Україні. 

Так що ж робити? 

Як би це банально не звучало – потрібно захищати дані. А це дуже дорого. Особливо якщо на початку проєктування інформаційних систем не було виділено достатньо ресурсів та часу на забезпечення захисту даних, що зберігаються чи обробляються в цих системах. 

І не кожний бізнес погодиться добровільно вкладати кошти на доопрацювання систем, допоки не зіштовхнеться з фактом витоку даних. 

Те ж саме стосується державних установ: здебільшого, бюджет на захист даних або взагалі не закладається, або закладається, але значно урізаний до вимог реальних потреб. 

А отже повертаємося до догми: "порятунок потопаючого — справа рук самого потопаючого". Потрібно брати приклад з громадян європейських країн та відстоювати свої права на захист персональних даних. 

Якщо ви зіткнулись з витоком даних, спам-розсилкою, sms та/або телефонним спамом, то негайно пишіть заяву до регіонального офісу уповноваженого з прав людини, кіберполіції України або зверніться у ГО "Електронна республіка" яка допоможе вам написати подібні заяви. Не чекайте змін, створюйте прецеденти.

Колонка є видом матеріалу, який відображає винятково точку зору автора. Вона не претендує на об'єктивність та всебічність висвітлення теми, про яку йдеться. Точка зору редакції «Економічної правди» та «Української правди» може не збігатися з точкою зору автора. Редакція не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія.
Реклама: