"Дія" діє. Как защититься от утечек персональных данных

  • Ярослав Золотников

В Сети прогремел скандал вокруг Telegram-бота, продававшего данные водительских удостоверений, якобы попавших туда из приложения государственных услуг "Дія". Причастность "Дії" к утечке была опровергнута, но инцидент породил ряд вопросов. Безопасно ли приложение, в котором могут храниться права и загранпаспорт, насколько часто масштабные утечки данных происходят в мире и можно ли защититься от них, рассказывает Фокус

Садясь за руль автомобиля, каждый человек принимает многочисленные риски, связанные с управлением металлической машиной, которая весит больше тонны и передвигается со скоростью в десятки километров в час. Примерно то же самое происходит и при входе в Сеть. Ежедневно во всемирной паутине оседают имена, пароли, сообщения, фотографии и другие личные данные, которые генерирует более чем 4-миллиардная популяция интернет-пользователей.

Не всегда эта информация хранится достаточно надежно, из-за чего то и дело появляются сообщения об утечках различных пользовательских данных. В начале месяца в Украине в подобной ситуации оказалось приложение госуслуг "Дія", предназначенное для весьма деликатной информации, вплоть до электронных ID-карт и загранпаспортов граждан.

Чисто теоретически

11 мая анонимный Telegram-канал "UA Baza Bot" разместил объявление о том, что располагает базой водительских удостоверений украинцев. После этого в Сети поползли слухи, что информация просочилась из приложения "Дія", в котором можно хранить цифровые копии различных документов, в том числе и водительских прав.

Ответ со стороны Минцифры, запустившей приложение ранее в этом году, и министра цифровой трансформации Михаила Федорова не заставил себя ждать. Причастность "Дії" была опровергнута. В подтверждение тому приводилось три аргумента. Во-первых, приложение не имеет собственной базы данных и не накапливает подобную информацию. Во-вторых, бот располагал в разы большим количеством удостоверений, чем есть в Украине, и тем более, чем отображается в "Дії". В-третьих, злоумышленники, стоящие за ботом, ранее распространяли другие негосударственные базы данных.

"Действительно, "Дія" позиционирует себя как посредник между пользователями и реестрами, — рассказал Фокусу директор компании по кибербезопасности "Инфосейф ИТ" Виктор Жора. — Даже если допустить, что данные могут временно храниться в промежуточных технологических базах подобных систем, то вряд ли речь может идти о таком объеме данных".

На официальной страничке "Дії" в Facebook в ответах на комментарии пользователей неоднократно указывалось на принципиальную невозможность утечки со стороны приложения, поскольку оно "не хранит персональные данные", а только "отображает информацию из других реестров".

На Facebook-страничке "Дії" пользователи приложения делились своими наблюдениями, подтверждающими его непричастность к утечке информации, а затем там появился и видеоролик, в котором руководитель проекта Мстислав Баник рассказал о принципах работы приложения, подтвердив, что оно не хранит персональные данные

Однако эксперт по кибербезопасности Константин Корсун полагает, что теоретическая возможность возникновения утечки все же есть. "Они называют это шлюзом, но по факту серверная часть "Дії" имеет прямой доступ к базе данных, где содержатся все демографические записи про граждан Украины, — рассказал он в беседе с Фокусом. — То, что это не сохраняется постоянной основе – правда. Но то, что через "Дію" проходит весь поток данных – это другая сторона правды. Если вклиниться в этот шлюз, то можно получать все, что через него пролетает".

При этом эксперт отнюдь не верит в безопасность приложения, поскольку она не подтверждается доказательствами. "Могут ли хакеры взломать "Дію" со стороны, мы не знаем", – говорит он, поясняя, что отчетов по исследованиям безопасности, найденным уязвимостям и их исправлению нет в публичном доступе, равно как и кода приложения, который можно проверить и убедиться, что в нем нет скрытых функций (доступа к микрофону, камере, передаче информации на сторонние сервера), а запросы на эту информацию игнорируются. – Нет в мире безопасных приложений. Есть более безопасные и менее безопасные". По его мнению, "Дія" относится как раз к последним.

Глобальное решето

Каким бы ни был источник утечки базы водительских прав, не стоит полагать, что лишь украинцы страдают от прорех в защите деликатных личных данных, способных привести к их утечке. Бреши, порой колоссальных масштабов, обнаруживаются в разных источниках по всему миру, стоит только внимательно поискать. Как раз этим занимается дуэт израильских экспертов по кибербезопасности Ноам Ротем и Ран Лока.

В прошлом году израильские эксперты по кибербезопасности обнаружили незащищенную базу данных с записями почти всего населения Эквадора

В прошлом году они обнаружили незащищенное облачное хранилище, на котором хранились личные данные (индивидуальные идентификационные и телефонные номера, некоторые финансовые сведения и т.д.) почти всего населения Эквадора. Одна часть сведений изначально была собрана правительством страны, другая – частными компаниями, но источником утечки послужила местная консалтинговая фирма Novaestrat.

В этом году израильским исследователям удалось найти незащищенный кладезь информации о британских подданных. Скан-копии паспортов и трудовых договоров с подписями, номера телефонов и национального страхования и другие важные данные тысяч британцев, чьи личности могли быть украдены злоумышленниками, просто хранились в "облаке" Amazon. Этих сведений вполне бы хватило злоумышленникам для кражи личностей. Источником информации послужил ряд HR-компаний Соединенного королевства, многие из которых уже и не работали к моменту обнаружения бреши.

Некоторым записям было почти 10 лет, но успел ли кто-либо воспользоваться данными из незащищенного источника Ротем и Лока не узнали. Однако исследователи отметили, что для доступа к ценной информации злоумышленникам хватило бы обычного веб-браузера.

Ошибки допускают не только "частники". Ранее в этом году сотрудники исполнительного органа Министерства здравоохранения, социального обеспечения и спорта Нидерландов принялись избавляться от бумажных архивов. А в процессе обнаружили, что в защищенном и охраняемом хранилище не хватает двух жестких дисков. Вместе с ними исчезло почти 7 миллионов записей с именами, датами рождения, индивидуальными идентификационными номерами и другими данными голландских доноров. Когда произошла пропажа и воспользовался ли кто-либо информацией с дисков, местные власти пока выясняют.

Это одна из крупнейших брешей в государственных хранилищах данных граждан, обнаруженных в этом году, но не единственная. По данным исследования специалистов Atlas VPN, только в первом квартале 17 миллионов записей, находящихся на хранении у властей разных стран, были украдены или оказались беззащитными перед подобной перспективой. Это на 278% больше, чем за аналогичный период минувшего года.

Самозащита данных

Так что бреши в хранилищах данных – головная боль всего мира, и об инцидентах, похожих на случай с "UA Baza Bot", мы, скорее всего, еще услышим. "Если государство не начнет действенным образом заботиться о кибербезопасности на законодательном и практическом уровнях, то подобные утечки, к сожалению, будут случаться, – полагает Виктор Жора. – Усовершенствования требует законодательная база как в сфере кибербезопасности, так и в сфере защиты персональных данных".

"Если государство не начнет действенным образом заботиться о кибербезопасности на законодательном и практическом уровнях, то подобные утечки, к сожалению, будут случаться", – Виктор Жора

На несовершенство последней обращает внимание и юрист компании Stron Алена Перепеличная. По ее словам, законодательная база в Украине насчитывает более 10 нормативно-правовых актов, регулирующих вопросы в сфере защиты персональных данных, но нет четкого действующего механизма контроля несанкционированного и нецелевого распространения персональных данных. "Отсутствие практики неотвратимой ответственности также влияет на возникновение новых случаев незаконного распоряжения персональными данными (слив, продажа баз персональных данных и т.п.)", – говорит она.

Уберечь себя от утечек не получится, полагает Константин Корсун. По крайней мере, если говорить о сведеньях, которые подлежат государственной регистрации, будь то получение паспорта, водительского удостоверения или рождение ребенка. Все они содержатся в определенных базах данных и повлиять на то, насколько безопасно они хранятся, можно разве что путем общественных движений, выдвижения жалоб и требований. Однако это долгий и тяжелый путь, который напоминает борьбу Дон Кихота с ветряными мельницами, отмечает эксперт.

Впрочем, своими персональными данными мы делимся не только с государством. И специалисты в области кибербезопасности, и юристы сходятся во мнении, что украинцам стоит сознавать ценность такой информации и бережно относиться к ней. Чаще задумываться о том, кому предоставлять ее, и стоит ли вообще это делать.

"Прежде всего, нужно давать согласие на обработку своих персональных данных только проверенным организациям, которые имеют доверие и соответствующую репутацию. Давать такое согласие где-то на сомнительном сайте не является хорошей идеей", – сообщил Фокусу Игорь Ясько, управляющий партнер юридической компании Winner.

Кроме того, перед тем, как делиться персональными данными в интернете, например, при регистрации на сайте или в приложении, стоит внимательно ознакомиться с политикой этих ресурсов в отношении защиты такой информации. Это рекомендует Алена Перепеличная. Она также советует изучать текст заявления о предоставлении согласия на обработку персональных данных. В нем должна содержаться информация о названии и местонахождении компании, собирающей эту информацию, или имя и адрес сотрудника, ответственного за ее защиту.

"В таком случае, при возникновении какой-либо негативной для вас ситуации, связанной с незаконной обработкой, потерей персональных данных и т.п., вы будете знать к кому можно будет обратиться в первую очередь с конкретной жалобой", – отмечает юрист, добавляя, что с жалобами также можно обращаться к Государственному регулятору по вопросам защиты персональных данных.

Сегодня данные называют новой нефтью, и каждый из нас обладает долей этого богатства. Увы, как и в случае с обычной нефтью, с ними тоже порой случаются утечки. Как из частных, так и государственных хранилищ по всему миру. И беречь их стоит так же, как любые другие ценности. Возможно, это и не гарантирует безопасность данных, но профилактика в таких вопросах не бывает лишней.