Государственные данные перемещают из Украины за границу: чем это грозит обычным гражданам

База данных, информация
Фото: unsplash.com

Во время войны враг может уничтожить серверы с критически важной информацией украинцев. Минцифры решило отправить резервные копии в иностранные "облака", однако для этого пока нет юридической базы и специалистов.

Государственные базы с данными украинцев перемещают из Украины за границу. Фокус разбирался, что для чего это необходимо и что грозит обычным гражданам.

Как пишет The Wall Street Journal, с начала вторжения РФ из Украины уже вывели около 150 баз данных министерств и других государственных органов, некоторые украинские реестры разместили на облачных серверах в Польше, а правительство договаривается об их хранении во Франции, Эстонии и некоторых других странах. Таким образом власти надеются защитить чувствительные данные от хакерских и физических атак со стороны России или других злоумышленников.

"Это вопрос безопасности": как Минцифры переносит данные за границу

Заместитель министра цифровой трансформации Георгий Дубинский рассказал изданию, что до войны большая часть информационной системы базировалась в устаревших центрах обработки данных на территории самой Украины. Информацию приходится сначала переносить в облако, а затем копировать про запас. Облачное хранилище значительно безопаснее, ведь данные сохранятся даже в случае разрушения физической инфраструктуры.

"На всякий случай мы хотим иметь резервные копии за границей", — подчеркнул Дубинский.

Он добавил, что в Польше украинские государственные реестры хранятся на специально разработанном частном облачном хранилище, которое поляки и украинцы протестировали вместе. Сейчас на нем хранится только информация, необходимая гражданам Украины. В первую очередь в облаке сохранили самые важные данные, необходимые для поддержки экономики.

"Мы несем ответственность за личные данные наших граждан, мы несем ответственность за все конфиденциальные данные. Какой бы ни была цена — это вопрос безопасности", — заявил Георгий Дубинский.

Замминистра признал, что передача конфиденциальных данных украинцев за границу влечет за собой пересмотр юридических норм и стандартов безопасности, таких как шифрование. Некоторые реестры содержат около 1,5 петабайт данных, и в некоторых случаях разработка, тестирование и настройка систем хранения занимает недели.

Облачные технологии — залог безопасности

Основатель компании по производству беспилотников DroneUA Валерий Яковенко в комментарии Фокусу заявил, что в современном мире понимание безопасности распространяется на качество и доступность данных государственных органов и реестров, и Украина является частью этого мира. Как подчеркнул эксперт, хранение данных должно быть децентрализованным, а резервные копии баз необходимо размещать на оборудовании за границей из-за рисков физических повреждений или кибератак.

"Сейчас мы видим, что даже во время временной оккупации наиболее критическая инфраструктура остается под контролем Украины, несмотря на попытки оккупантов изменить это. Облачные технологии – это залог безопасности и гарантированного доступа к данным для населения или государства, которую мы, как страна, должны использовать. Некоторые технологии сравнимы с флотом самолетов, работающих, оказывая помощь украинскому населению, но при этом взлетают с аэродромов Польши, США или Великобритании. Глобализация датацентров и обеспечения государств облачными технологиями хранения данных – это возможность, доступная только для цивилизованных стран, имеющих высокую степень доверия и уважения к человечеству, и именно поэтому рассматриваются варианты лишение России такого права, в качестве санкционных пакетов Евросоюза", — заявил Валерий Яковенко.

В Украине нет юридической базы для вывода данных за границу

Эксперт по информационной безопасности "EY Україна" Михаил Чайкин, комментируя ситуацию Фокусу, поддержал идею о переносе данных в хранилища Microsoft, Amazon, дата-центры в Европе, ведь их инфраструктура хорошо защищена от взлома. Однако пока не готова юридическая база для переноса данных за границу.

"Принятый в феврале 2022 года закон "Об облачных услугах" четко определеяет порядок хранения информации, которая должна быть защищена на частных "облаках", согласно законодательству Украины — это государственная информация, государственные реестры и другая указанная там информация. Обработка информации за пределами Украины вообще запрещена, особенно информации которая представляет государственную тайну, например, тайну судебного следствия, тайну судебной комнаты и так далее. Ее нельзя обрабатывать — изменений в законах Украины "Об информации", "О защите информации в информационно-коммуникационных системах" нет", — заявил специалист.

По закону можно обрабатывать персональные данные, поскольку Украина подписала соответствующие договара, в том числе в рамках Конвенции Евросоюза "О защите прав физических лиц при автоматизированной обработке персональных данных" от 28 января 1981 года. Кроме того, Нацбанк Украины временно позволил переносить в "облако" данные банков на период действия военного положения и еще в течение двух лет после его завершения. Однако для других секторов экономики и государственных структур правительство такого разрешения не давало.

Закон Украины "О защите информации в информационно-коммуникационных системах" обязывает обрабатывать данные только в системах, которые получили международный сертификат соответствия для ISO 27001 (управление информационной безопасностью) от компетентного органа в Украине или в другом государстве, с которым Украина подписала соответствующий договор. По словам Михаила Чайкина, пока таких договоров украинское правительство не подписывало, поэтому юридически иностранные центры обработки данных не могут иметь таких сертификатов. Все, что касается государственной тайны, должно иметь отдельный, чисто украинский аттестат, который никак нельзя получить за границей.

"Нужно понимать, что наши государственные структуры как не были защищены, так чаще всего и не являются защищенными. В большинстве случаев нет какой бы то ни было резервной базы данных, знаю конкретные примеры таких учреждений, но не буду их называть. Возможно на какой-то момент создана резервная база данных, но для того, чтобы они зеркалились в режиме реального времени, надо написать определенную стратегию перехода инфраструктуры в облако, что позволит вывести данные куда-то за границу", — обратил внимание айтишник.

Михаил Чайкин рассказал, что сейчас вместе с коллегами в компании "EY Україна" занимаются подобными разработками, и это весьма сложный проект. Эксперт не слышал, чтобы подобные проекты заказывали в Украине. В государственном секторе IT-специалисты получают в лучшем случае от 15 до 30 тысяч гривен, и Михаил Чайкин сомневается, что во время войны найдутся люди, готовые массово писать стратегии для перевода данных в облако.

Данные постоянно меняются, поэтому для их регулярного обновления на "облаке" необходим защищенный канал связи. Без него информация будет либо устаревать со временем, либо подвергаться риску взлома. Современного стандарта защищенности таких каналов в Украине нет.

"Резюмирая, могу сказать, что сама идея очень хорошая в условиях ведения боевых действий. Особенно учитывая, что рисков для граждан больше, если будут уничтожены какие-то реестры. Но в государственном секторе для этого нет специалистов, бизнес готов помогать, но не всегда его помощь принимают. Нет стратегического подхода, нет плана реагирования, нет технического задания, как переходить в облака, а если это делать аврально — то результат будет плачевным. Мероприятие рисковое, нужно разработать нормативную базу или хотя бы единую стратегию перехода", — подытожил Михаил Чайкин.

США предупреждают: РФ может украсть данные

Специалист по кибератакам из Института Ближнего Востока (аналитический центр в Вашингтоне) Крис Кубецкая объяснила WSJ, что при наличии только одной копиии власти рискуют полностью потерять данные в случае взлома злоумышленниками. Россия может захватить и использовать данные украинцев в оккупированных районах, например, для отслеживания людей и выявления их контактов.

По словам Крис Кубецкой, чиновники должны тщательно проверять телекоммуникационные сети и убедиться в их безопасности перед тем, как загрузить критически важную информацию. Следует также уточнить у принимающей страны, будут ли ее специалисты по кибербезопасности защищать хранилища в случае хакерских атак. Этот процесс может быть дорогостоящим и потребует дополнительного вспомогательного персонала для наблюдения за экспортируемыми данными.

Ранее писали, что китайские хакеры атаковали Украину в разгар войны. Эксперты опасаются, что злоумышленники получили чувствительные данные об украинских чиновниках и беженцах.