Госреестры дали течь: кто "сливает" персональные данные украинцев и что с этим делать
11 мая в Telegram появился бот, который за деньги распространял персональные данные украинцев.
Те, кто воспользовались двумя бесплатными демо-запросами, написали в Facebook гневные посты, обвиняя Министерство цифровой трансформации в том, что их персональные данные были "слиты" через приложение "Дія".
В Минцифры обвинения опровергли.
ЭП попыталась разобраться, был ли "слив" персональных данных из приложения "Дія", нужно ли проверять свои данные через телеграмм-боты, чего стоит опасаться тем, кто нашел себя в "слитых" базах данных, и к каким последствиям должен привести данный инцидент.
Инцидент
Информация о появлении телеграмм-бота, торгующего персональными данными украинцев, разлетелась в Facebook в ночь на 12 мая. Авторы публикаций обвинили в "сливе" Минцифры, в частности, созданное им приложение "Дія".
Бот предлагал найти человека по ФИО, номеру телефона, ИНН, номеру автомобиля, адресу электронной почты и даже предоставить пароли от самой электронной почты. Проработал он недолго: уже после обеда телеграмм-бот был удален.
Однако через несколько часов в Telegram появилось несколько одноименных телеграмм-каналов и ботов, которые тут же начали обвинять друг друга в мошенничестве.
Тогда один из каналов опубликовал видеодоказательство выдачи персональных данных. Стоимость пакета из 50 запросов составляет 50 долл. Оплата биткоинами или через платежный сервис easypay.ua. Бесплатных демо-запросов у него нет.
В Минцифры еще утром поспешили опровергнуть причастность "Дії" к распространению персональных данных украинцев.
"Дія" вообще не хранит персональные данные, а только в (ответ на. – ЭП) разовый запрос идентифицированного гражданина отображает информацию из реестров, — сообщил представитель министерства в комментарии для ЭП. — Архитектура "Дії" построена таким образом, что на серверной части вообще не осуществляется хранение персональных данных пользователей.
При этом информация в каналах передачи данных передается в зашифрованном виде, а на некоторых этапах используется двойное шифрование.
Все серверы мобильного приложения "Дія" находятся в Украине. То есть никакая информация о пользователях не идет за границу. Серверная часть системы развернута в облачной инфраструктуре, которая имеет необходимые сертификаты безопасности, в том числе КСЗИ. "Дія" прошла ряд положительных аудитов – как частных, так и государственных (ГСССЗИ)".
Министр по вопросам цифровой трансформации Михаил Федоров озвучил свою версию причины появления телеграмм-бота и последовавшей информационной атаки на создателей приложения.
"На прошлой неделе я заявил, что к аудиту базовых реестров мы подключаем СБУ и госспецсвязь, начинаем процесс их централизации и создания современного государственного дата-центра, — сказал Федоров ЭП. — Мы также подготовили письмо, где предложили остановить все закупки "железа" во всех органах, где явно зарабатывают на закупках. И сегодня фейк про "Дію". Думаю, это начало.
Что будет, когда запустим новый строительный реестр, который готов на 80% и где логируется каждая активность? Там была исторически миллиардная коррупция".
Проблема Украины и опыт Эстонии
Судя по количеству инцидентов, торговля базами данных с персональной информацией украинцев поставлена на поток. В данном случае речь идет о персональной информации, которую накапливают и хранят госучреждения и частные компании.
В 2017 году налоговик из Сум торговал базой данных ГФС.
В 2017 году персональные данные клиентов Приватбанка скопировали на российские серверы сотрудники детективной компании Kroll, нанятой Нацбанком для поиска информации об инсайдерских займах экс-акционеров банка.
В 2018 году в даркнете продавалась база данных на 18 млн пользователей "Новой почты".
В 2018 году в Запорожье поймали продавцов данных таможни.
В 2019 году осудили харьковчанина за торговлю данными ГФС.
Вероятно, это лишь малая доля инцидентов, попавших в публичную плоскость.
Согласно первому в истории аудиту госреестров, проведенному в 2017 году, в Украине существует более 135 госреестров. Их точное количество до сих пор неизвестно. 80% госреестров хранятся локально, то есть на сервере в конкретном госоргане, и только 60% госреестров имеют аттестованные комплексные системы защиты информации.
Все это создает колоссальные риски в области защиты персональных данных граждан.
Реестры многих госорганов дублируют персональную информацию.
Например, Единый государственный демографический реестр и Государственный реестр актов гражданского состояния граждан дублируют более 80% полей: ФИО, дата рождения, место рождения.
Дублирование данных в реестрах — это легкий путь к коррупционным злоупотреблениям. Поэтому, к примеру, в Эстонии, госучреждения хранят в электронных реестрах только те данные гражданина, которые нужны для предоставления профильных услуг.
Каждого гражданина госорган идентифицирует по уникальному идентификационному коду, который присваивается после рождения. Код также предотвращает копирование персональных данных гражданина каждой госструктурой.
Кроме того, в Эстонии работает независимая от правительства Инспекция по защите персональных данных. Она наделена особыми полномочиями. Сотрудники инспекции имеют право проверять все госорганы на предмет соблюдения правил защиты персональных данных.
Если персональные данные уже хранятся в одном реестре, госорган не имеет права их затребовать у гражданина. Госорган также не имеет права создавать реестры с данными, которые уже хранятся в других реестрах. Инспекция за этим строго следит.
Был ли "слив" из приложения "Дія"
Трое опрошенных ЭП экспертов в сфере телекоммуникаций и информационной безопасности не видят оснований утверждать, что телеграмм-бот использует данные из приложения "Дія".
"Думаю, база данных бота чуть более старая, чем та, то есть в "Дії", — говорит эксперт в сфере информационной безопасности Никита Кныш. — Более того, "Дія" не хранит базы данных и обращается к серверам данных через API. Тут же видно, что у владельца телеграмм-бота есть готовая база данных и он просто выдает запись".
По мнению сооснователя "Украинского киберальянса" Шона Таунсенда, пока ничего не указывает на то, что данные были "слиты" из "Дії": "Потечь" могло и из "Дії", так как ее серверная часть подключена к реестрам напрямую, и из реестров. Пока точно определить источник утечки нельзя".
Нужно ли проверять свои данные через телеграмм-боты
Таунсенд не рекомендует это делать, так как мошенники тут же привяжут ТГ-аккаунт человека к той самой базе.
Кныш считает, что нужно обязательно, чтобы знать спектр возможных угроз. По его словам, многие компании практикуют регулярный мониторинг данных на предмет утечки.
"Нормальный "безопасник" любого банка, финансовой организации, IT-компании мониторит данные всех сотрудников, пробивает их на предмет утечек и регулярно заставляет их обновлять. Это нормальная практика", – говорит он.
Чего стоит опасаться тем, кто нашел себя в "слитых" базах
Способ доставки вирусов с использованием персональных данных становится намного более эффективным.
"Персональные данные помогут мошенникам убедить вас в том, что вы общаетесь со специалистом службы технической поддержки вашего банка, сервиса Google или Facebook. Эти данные будут использованы для совершения мошеннических действий", — объясняет Кныш.
Таунсенд советует опасаться кражи личности.
Почему продажа данных вышла в публичный интернет
По словам Кныша, раньше для продажи таких баз данных нужно было создавать сайт, размещать его на каком-то хостинге, открывать определенным людям доступ к нему в даркнете. Людям нужно было использовать программу Tor для анонимного посещения сайта.
Сейчас телеграмм-бот объединили с сервисом анонимных платежей Bitcoin, что позволяет владельцам баз спокойно принимать деньги. Приватность позволяет быстро развиваться киберпреступности, но при этом является большим плюсом для расследователей и журналистов.
Можно ли установить источник "слива" баз данных
Это возможно при условии, что в исходной базе данных работала система логирования доступа. В таком случае теоретически возможно установить дату "слива" базы данных и ответственное лицо. Однако успех расследования зависит от Нацполиции и СБУ.
Кто отвечает за утечку и что делать
"В любом случае имеет место проблема утечки данных из органов власти, — говорит эксперт рынка телекоммуникаций и рабочей группы по вопросам безопасности и доверия в цифровой среде Роман Химич. — Из IT-систем, которые единолично создало и обслуживает государство.
Минцифры является центральным органом исполнительной власти, который уполномочен заниматься этой проблематикой и несет за это ответственность. Все эти вопросы можно и нужно задавать Федорову.
Идея цифровизации, идея тотальной прозрачности государственных реестров друг для друга приводит к размытию вплоть до исчезновения ответственности.
Мое мнение: результатом должно быть увольнение прямо сейчас. Должен случиться прецедент как минимум административной ответственности в виде увольнения людей, которые теоретически за это должны отвечать.
Слово "ответственность" обесценилось полностью. Зеленскому нужно восстанавливать смысл ответственности должностного лица за вверенный ему "колхозик".
Сооснователь "Украинского киберальянса" высказывает подобную точку зрения.
"Решение проблемы только одно: чиновник, который отвечает за определенный набор данных, должен нести личную ответственность за их сохранность.
Течь, конечно, не перестанет, но риски попасться возрастут. Минцифры же пытается объединить реестры, что повышает их ценность, и размыть ответственность. Подобный подход приведет к еще более крупным утечкам".
Фото на головній ua.depositphotos.com