Держреєстри потекли: хто "зливає" персональні дані українців і що з цим робити
11 травня в Telegram з'явився бот, який за гроші поширював персональні дані українців.
Ті, хто скористалися двома безкоштовними демо-запитами, написали у Facebook гнівні пости, звинувачуючи Міністерство цифрової трансформації в тому, що їх персональні дані були "злиті" через додаток "Дія".
У Мінцифри звинувачення спростували.
ЕП спробувала розібратися, чи було "зливання" персональних даних з додатку "Дія", чи потрібно перевіряти свої дані через телеграм-боти, чого варто боятися тим, хто знайшов себе в "злитих" базах, і до яких наслідків може призвести цей інцидент.
Інцидент
Інформація про появу телеграм-бота, який торгує персональними даними українців, розлетілася у Facebook в ніч на 12 травня. Автори публікацій звинуватили в "зливі" Мінцифри, зокрема, створений ним додаток "Дія".
Бот пропонував знайти людину за ПІБ, номером телефону, ІПН, номером автомобіля, адресою електронної пошти і навіть надати паролі від самої електронної пошти. Працював він недовго: уже після обіду телеграм-бот був видалений.
Однак через кілька годин в Telegram з'явилося кілька однойменних телеграм-каналів і ботів, які тут же почали звинувачувати один одного в шахрайстві.
Тоді один з каналів опублікував відеодоказ видачі персональних даних. Вартість пакета з 50 запитів становить 50 дол. Оплата біткоїнами або через платіжний сервіс easypay.ua. Безкоштовних демо-запитів у нього немає.
У Мінцифри ще вранці поспішили спростувати причетність "Дії" до поширення персональних даних українців.
"Дія" взагалі не зберігає персональні дані, а тільки у (відповідь на. – ЕП) разовий запит ідентифікованого громадянина відображає інформацію з реєстрів, – повідомив представник міністерства в коментарі для ЕП. – Архітектура "Дії" побудована таким чином, що на серверній частині взагалі не здійснюється зберігання персональних даних користувачів.
При цьому інформація в каналах передавання даних міститься в зашифрованому вигляді, а на деяких етапах використовується подвійне шифрування.
Усі сервери додатку "Дія" розташовані в Україні. Тобто ніяка інформація про користувачів не йде за кордон. Серверна частина системи розгорнута в хмарній інфраструктурі, яка має необхідні сертифікати безпеки, у тому числі КСЗІ (комплексна система захисту інформації. – ЕП). "Дія" пройшла низку позитивних аудитів – приватних та державних (ДССЗЗІ)".
Міністр з питань цифрової трансформації Михайло Федоров озвучив свою версію причини появи телеграм-бота та інформаційної атаки на творців програми.
"Минулого тижня я заявив, що до аудиту базових реєстрів ми підключаємо СБУ і Держспецзв'язку, починаємо процес їх централізації і створення сучасного державного дата-центру, – сказав Федоров ЕП. – Ми підготували лист, де запропонували зупинити всі закупівлі "заліза" у всіх органах, які явно заробляють на закупівлі. І от – фейк про "Дію". Думаю, це початок.
Що буде, коли запустимо новий будівельний реєстр (готовий на 80%), де логується кожна активність? Там була історично мільярдна корупція".
Проблема України і досвід Естонії
Судячи з кількості інцидентів, торгівля базами даних з персональною інформацією українців поставлена на потік. У даному випадку мова йде про персональну інформацію, яку накопичують і зберігають держустанови і приватні компанії.
У 2017 році податківець із Сум торгував базою даних ДФС.
У 2017 році персональні дані клієнтів Приватбанку скопіювали на російські сервери співробітники детективної компанії Kroll, найнятої Нацбанком для пошуку інформації про інсайдерські позики ексакціонерів банку.
У 2018 році в даркнеті продавалася база даних на 18 млн користувачів "Нової пошти".
У 2018 році в Запоріжжі впіймали продавців даних митниці.
У 2019 році засудили харків'янина за торгівлю даними ДФС.
Ймовірно, це лише мала частка інцидентів, які потрапили в публічну площину.
Відповідно до першого в історії аудиту держреєстрів, проведеного у 2017 році, в Україні існує понад 135 держреєстрів. Їх точна кількість досі невідома. 80% держреєстрів зберігаються локально, тобто на сервері в конкретному держоргані, і тільки 60% держреєстрів мають атестовані комплексні системи захисту інформації.
Усе це створює колосальні ризики у сфері захисту персональних даних громадян.
Реєстри багатьох держорганів дублюють персональну інформацію.
Наприклад, Єдиний державний демографічний реєстр та Державний реєстр актів цивільного стану громадян дублюють понад 80% полів: ПІБ, дата народження, місце народження.
Дублювання даних в реєстрах – це легкий шлях до корупційних зловживань. Тому, наприклад, в Естонії, держустанови зберігають в електронних реєстрах тільки ті дані громадянина, які потрібні для надання профільних послуг.
Кожного громадянина держорган ідентифікує за унікальним ідентифікаційним кодом, який присвоюється після народження. Код також запобігає копіюванню персональних даних громадянина кожною держструктурою.
Крім того, в Естонії працює незалежна від уряду Інспекція з питань захисту персональних даних. Вона наділена особливими повноваженнями. Співробітники інспекції мають право перевіряти всі держоргани на предмет дотримання правил захисту персональних даних.
Якщо персональні дані зберігаються в одному реєстрі, держорган не має права вимагати їх від громадянина. Держорган також не має права створювати реєстри з даними, які зберігаються в інших реєстрах. За цим пильно стежить інспекція.
Чи було "зливання" з додатку "Дія"
Троє опитаних ЕП експертів у сфері телекомунікацій та інформаційної безпеки не бачать підстав стверджувати, що телеграм-бот використовує дані з програми "Дія".
"Думаю, база даних боту трохи старіша, ніж та, що в "Дії", – говорить експерт у сфері інформаційної безпеки Микита Книш. – До того ж, "Дія" не зберігає бази даних і звертається до серверів даних через API. Тут же видно, що у власника телеграм-боту є готова база даних і він просто видає запис".
На думку співзасновника "Українського кіберальянсу" Шона Таунсенда, поки ніщо не вказує на те, що дані були "злиті" з "Дії": "Потекти" могло і з "Дії", оскільки її серверна частина підключена до реєстрів безпосередньо, і з реєстрів. Поки точно визначити джерело витоку неможливо".
Чи потрібно перевіряти свої дані через телеграм-боти
Таунсенд не рекомендує це робити, бо шахраї тут же прив'яжуть ТГ-акаунт людини до бази.
Книш вважає, що потрібно обов'язково, щоб знати спектр можливих загроз. За його словами, багато компаній практикують регулярний моніторинг даних на предмет витоку.
"Нормальний "безпечник" будь-якого банку, фінансової організації, IT-компанії моніторить дані всіх співробітників, пробиває їх на предмет витоків і регулярно змушує їх оновлювати. Це нормальна практика", – говорить він.
Чого варто побоюватися тим, хто знайшов себе в "злитих" базах
Спосіб доставки вірусів з використанням персональних даних стає набагато ефективнішим.
"Персональні дані допоможуть шахраям переконати вас, що ви спілкуєтеся із службою технічної підтримки вашого банку, сервісу Google або Facebook. Ці дані будуть використані для здійснення шахрайських дій", – пояснює Книш.
Таунсенд радить побоюватися крадіжки особистих даних.
Чому продаж даних вийшов у публічний інтернет
За словами Книша, раніше для продажу таких баз даних потрібно було створювати сайт, розміщувати його на якомусь хостингу, відкривати певним людям доступ до нього в даркнеті. Людям потрібно було використовувати програму Tor для анонімного відвідування сайту.
Зараз телеграм-бот об'єднали із сервісом анонімних платежів Bitcoin, що дозволяє власникам баз спокійно приймати гроші. Приватність дозволяє швидко розвиватися кіберзлочинності, але є великим плюсом для розслідувачів та журналістів.
Чи можна встановити джерело "зливу" баз даних
Це можливо за умови, що у вихідній базі працювала система логування доступу. У такому випадку теоретично можливо встановити дату "зливу" бази даних та відповідальну особу. Однак успіх розслідування залежить від Нацполіції та СБУ.
Хто відповідає за витік і що робити
"У будь-якому випадку це проблема витоку даних з органів влади, – говорить експерт ринку телекомунікацій та робочої групи з питань безпеки і довіри в цифровому середовищі Роман Хіміч. – З IT-систем, які створила й обслуговує держава.
Мінцифри є центральним органом виконавчої влади, який уповноважений займатися цією проблематикою і за це відповідає. Усі ці питання можна і потрібно ставити Федорову.
Ідея цифровізації, ідея тотальної прозорості державних реєстрів один для одного призводить до розмиття аж до зникнення відповідальності.
Моя думка: результатом має бути звільнення прямо зараз. Має статися прецедент як мінімум адміністративної відповідальності у вигляді звільнення людей, які теоретично за це повинні відповідати.
Слово "відповідальність" знецінилося повністю. Зеленському потрібно відновлювати сенс відповідальності посадової особи за ввірений йому "колгоспик".
Співзасновник "Українського кіберальянсу" висловлює подібну точку зору.
"Є лише одне вирішення проблеми: чиновник, який відповідає за певний набір даних, повинен особисто відповідати за їх збереження.
Текти, звичайно, не перестане, але ризики попастися зростуть. Мінцифри ж намагається об'єднати реєстри, що підвищує їх цінність, і розмити відповідальність. Такий підхід призведе до ще більших витоків".
Фото на головній ua.depositphotos.com