Державні дані переміщують з України за кордон: чим це загрожує звичайним громадянам

База даних, інформація
Фото: unsplash.com

Під час війни ворог може знищити сервери з критично важливою інформацією українців. Мінцифри вирішило відправити резервні копії в іноземні "хмари", проте для цього поки немає юридичної бази та фахівців.

Державні бази із даними українців переміщують з України за кордон. Фокус розбирався, навіщо це потрібно і що загрожує звичайним громадянам.

Як пише The Wall Street Journal, з початку вторгнення РФ з України вже вивели близько 150 баз даних міністерств та інших державних органів, деякі українські реєстри розмістили на хмарних серверах у Польщі, а уряд домовляється про їхнє зберігання у Франції, Естонії та деяких інших країнах. Так влада сподівається захистити чутливі дані від хакерських та фізичних атак з боку Росії чи інших зловмисників.

"Це питання безпеки": як Мінцифри переносить дані за кордон

Заступник міністра цифрової трансформації Георгій Дубинський розповів виданню, що до війни більша частина інформаційної системи базувалася на застарілих центрах обробки даних на території самої України. Інформацію доводиться спочатку переносити в хмару, а потім копіювати про запас. Хмарне сховище є значно безпечнішим, адже дані збережуться навіть у разі руйнування фізичної інфраструктури.

"Про всяк випадок ми хочемо мати резервні копії за кордоном", — наголосив Дубинський.

Він додав, що в Польщі українські державні реєстри зберігаються на спеціально розробленому приватному хмарному сховищі, яке поляки та українці протестували разом. Наразі на ньому зберігається лише інформація, необхідна громадянам України. Насамперед у хмарі зберегли найважливіші дані, необхідні підтримки економіки.

"Ми несемо відповідальність за особисті дані наших громадян, ми несемо відповідальність за всі конфіденційні дані. Якою б не була ціна — це питання безпеки", — заявив Георгій Дубинський.

Заступник міністра визнав, що передача конфіденційних даних українців за кордон тягне за собою перегляд юридичних норм та стандартів безпеки, таких як шифрування. Деякі реєстри містять близько 1,5 петабайт даних, і в деяких випадках розробка, тестування та налаштування систем зберігання триває тижні.

Хмарні технології — запорука безпеки

Засновник компанії з виробництва безпілотників DroneUA Валерій Яковенко у коментарі Фокусу заявив, що в сучасному світі розуміння безпеки поширюється на якість та доступність даних державних органів та реєстрів, і Україна є частиною цього світу. Як наголосив експерт, зберігання даних має бути децентралізованим, а резервні копії баз необхідно розміщувати на обладнанні за кордоном через ризики фізичних пошкоджень або кібератак.

"Зараз ми бачимо, що навіть під час тимчасової окупації найкритичніша інфраструктура залишається під контролем України, попри спроби окупантів змінити це. Хмарні технології — це запорука безпеки та гарантованого доступу до даних для населення чи держави, яку ми, як країна, маємо використовувати. Деякі технології можна порівняти з флотом літаків, що працюють, надаючи допомогу українському населенню, але разом з тим злітають з аеродромів Польщі, США або Великобританії. Глобалізація дата-центрів і забезпечення держав хмарними технологіями зберігання даних — це можливість, доступна лише для цивілізованих країн, які мають високий степінь довіри й поваги до людства, і саме тому розглядаються варіанти позбавлення Росії такого права санкційними пакетами Євросоюзу", — заявив Валерій Яковенко.

В Україні немає юридичної бази для виведення даних за кордон

Експерт з інформаційної безпеки "EY Україна" Михайло Чайкін, коментуючи ситуацію Фокусу, підтримав ідею про перенесення даних до сховищ Microsoft, Amazon, дата-центрів у Європі, адже їхня інфраструктура добре захищена від злому. Проте поки що не готова юридична база для перенесення даних за кордон.

"Прийнятий у лютому 2022 року закон "Про хмарні послуги" чітко визначає порядок зберігання інформації, яка має бути захищена на приватних "хмарах", згідно із законодавством України — це державна інформація, державні реєстри та інша зазначена там інформація. Обробка інформації за межами України взагалі заборонена, особливо інформації, яка представляє державну таємницю, наприклад, таємницю судового слідства, таємницю судової кімнати тощо. Її не можна обробляти — змін у законах України "Про інформацію", "Про захист інформації в інформаційно-комунікаційних системах" немає", — заявив фахівець.

За законом можна опрацьовувати персональні дані, оскільки Україна підписала відповідні договори, зокрема в межах Конвенції Євросоюзу "Про захист прав фізичних осіб при автоматизованій обробці персональних даних" від 28 січня 1981 року. Крім того, Нацбанк України тимчасово дозволив переносити в "хмару" дані банків на період дії воєнного стану та ще протягом двох років після його завершення. Однак для інших секторів економіки та державних структур уряд такого дозволу не давав.

Закон України "Про захист інформації в інформаційно-комунікаційних системах" зобов'язує обробляти дані лише у системах, які отримали міжнародний сертифікат відповідності ISO 27001 (управління інформаційною безпекою) від компетентного органу в Україні або в іншій державі, з якою Україна підписала відповідний договір. За словами Михайла Чайкіна, поки таких договорів український уряд не підписував, тому юридично іноземні центри обробки даних не можуть мати таких сертифікатів. Все, що стосується державної таємниці, має мати окремий, чисто український атестат, якого ніяк не можна отримати за кордоном.

"Потрібно розуміти, що наші державні структури як не були захищені, так найчастіше і не є захищеними. У більшості випадків немає якоїсь резервної бази даних, знаю конкретні приклади таких установ, але не буду їх називати. Можливо на якийсь момент створено резервну базу даних, але для того, щоб вони відзеркалилися в режимі реального часу, треба написати певну стратегію переходу інфраструктури в хмару, що дозволить вивести дані кудись за кордон", — звернув увагу айтішник.

Михайло Чайкін розповів, що зараз разом із колегами в компанії "EY Україна" займаються такими розробками, і це дуже складний проєкт. Експерт не чув, щоби такі проєкти замовляли в Україні. У державному секторі IT-фахівці отримують у кращому разі від 15 до 30 тисяч гривень, і Михайло Чайкін сумнівається, що під час війни знайдуться люди, які готові масово писати стратегії для переведення даних у хмару.

Дані постійно змінюються, тому для їхнього регулярного оновлення на "хмарі" необхідний захищений канал зв'язку. Без нього інформація старітиме з часом, або наражатиметься на ризик зламу. Сучасного стандарту безпеки таких каналів в Україні немає.

"Резюмуючи, можу сказати, що сама ідея дуже хороша в умовах ведення бойових дій. Особливо з огляду на те, що ризиків для громадян більше, якщо захистять якісь реєстри. Але в державному секторі для цього немає фахівців, бізнес готовий допомагати, але не завжди його допомогу приймають. Немає стратегічного підходу, немає плану реагування, немає технічного завдання, як переходити в хмари, а якщо це робити аврально — результат буде плачевним. Захід ризиковий, потрібно розробити нормативну базу або хоча б єдину стратегію переходу", — підсумував Михайло. Чайкін.

США попереджають: РФ може вкрасти дані

Фахівчиня з кібератак з Інституту Близького Сходу (аналітичний центр у Вашингтоні) Кріс Кубецька пояснила WSJ, що за наявності лише однієї копії влада ризикує повністю втратити дані в разі зламування зловмисниками. Росія може захопити та використати дані українців в окупованих районах, наприклад, для відстеження людей та виявлення їх контактів.

За словами Кріс Кубецької, чиновники повинні ретельно перевіряти телекомунікаційні мережі та переконатися в їхній безпеці перед тим, як завантажити критично важливу інформацію. Слід також уточнити у приймальної країни, чи її фахівці з кібербезпеки захищатимуть сховища у разі атак хакерів. Цей процес може бути дорогим і вимагатиме додаткового допоміжного персоналу для спостереження за експортованими даними.

Раніше писали, що китайські хакери атакували Україну у розпал війни. Експерти побоюються, що зловмисники отримали чутливі дані про українських чиновників та біженців.