«Документи у смартфоні» підвищують ризик крадіжки персональних даних українців

В Україні 2021 року набув чинності закон, згідно з яким електронний паспорт у додатку «Дія» прирівнюється до паперового. Також був підписаний Президентом закон про режим paperless (про цифровизацію документів). Це означає, що у банках та держустановах можна показати паспорт у «Діє» – і отримати на свій запит, припустимо, документи, довідки, виписки, будь-яку іншу інформацію. Які «підводні камені» можуть бути у цьому процесі цифровізації документів, з’ясовував кореспондент ГолосUA.

Чи захищені від злому «документи у смартфоні»?

Треба визнати, що цифровізація документів в Україні спрощує деякі процедури, пов’язані з отриманням документів: припустимо, у держустановах паперовий документ не є обов’язковим, якщо є документ електронний.

Але цифрові документи можуть бути доступні як їхньому господарю, так і шахраям. ЗМІ пишуть, що в деяких випадках шахраї зламують електронні акаунти громадян, отримують доступ до чужої цифрової персональної інформації та оформлюють на підставі цих даних кредити. Коли людина дізнається про кредит, гроші вже у шахраїв, а українцю доводиться або виплачувати кредит, який він не оформляв, або через суд доводити, що він став жертвою шахраїв.

ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ

Один із випадків крадіжки персональних даних стався у 2021 році: за даними прокуратури, у столиці викрили масштабну схему продажу особистих даних понад 32 мільйони українців. У продажу цієї інформації підозрюються двоє рідних братів із Києва. Слідство з’ясувало, що чоловіки з початку 2021 року вступили в змову з працівниками фінустанов, у тому числі банків, а також із працівниками держустанов. Від них вони отримували інформацію про українців, а згодом продавали її.

Цей випадок яскраво демонструє, що в державі немає дієвого та надійного захисту цифрової персональної інформації, повідомила у коментарі ГолосUA адвокат юридичної компанії «Тарасов та партнери» Тетяна Дуплій.

«При відсутності реального контролю за витоком такого роду інформації з баз персональних даних, з кожним днем ​​частішають випадки незаконного доступу та поширення останніх. У зв’язку з цим надання згоди на обробку персональних даних створює додаткові проблеми, надаючи вирішення невизначеному колу суб’єктів на збір та обробки персональних даних. Таким чином, на сьогодні персональні дані українців фактично не мають належного захисту», – каже вона.

Юрист додає, що за крадіжку персональних даних в Україні відносно слабке покарання: наприклад, за продаж персональних даних 32 мільйонів українців «найбільший захід, який може застосувати суд з урахуванням положень ст. 70 КК України, у цьому випадку є позбавлення волі строком на 6 років із призначенням додаткового покарання у вигляді позбавлення права обіймати певні посади або займатися певною діяльністю. За наявності пом’якшуючих обставин, а також у разі укладання між прокурором та підозрюваним угоди про визнання винності суд може звільнити особу від відбування покарання з випробуванням. Таким чином, з урахуванням судової практики, це буде найменшою мірою покарання за скоєння вищезгаданих кримінальних злочинів».

Керуючий партнер адвокат Андрій Тарасов вважає, що тепер українці, у яких через смартфон можна отримати доступ до тієї ж «Діє», повинні постаратися, щоб телефон не потрапив до рук шахраїв. «Саме додаток «Дія» не зберігає жодних персональних даних. Усі дані і без того вже оцифровані та завантажені до держреєстрів. Саме звідти за разовим запитом ідентифікованого користувача програма підтягує необхідну інформацію. При цьому інформація в каналах передачі передається в зашифрованому вигляді. Простіше кажучи, із самого додатка дістати чиїсь персональні дані складно (якщо не вкрасти телефон). Для шахраїв доцільніше зламати держреєстри, або підкупити того, хто там працює. До речі, якщо у вас на пристрої стоїть Дія, рекомендую подбати про надійні паролі,

Кому цікавий витік цифрової інформації

Припустимо, що доступ до електронних документів та персональних даних українців – це своєрідна спокуса взяти чуже для тих, хто може це зробити. І якщо чиновники отримують доступ до великого масиву персональної інформації, вони теж схильні до спокуси використовувати персональні дані в корисливих особистих цілях, вважає адвокат, старший партнер адвокатської компанії «Кравець і партнери» Ростислав Кравець.

«У всьому світі обережні з темою персональних даних, оскільки так званий режим paperless дозволяє чиновникам отримати у свої руки величезний масив інформації про громадян. І всі чудово розуміють, що це несе загрозу національній безпеці – не лише через продаж цих баз даних на «чорному ринку». Проблема в тому, що цю персональну інформацію можуть отримати і іноземні розвідслужби, які можуть підривати економіку нашої країни та будь-якої іншої країни. Тому у всіх країнах, на відміну від України, до теми цифровізації персональних даних громадян ставляться дуже акуратно», – повідомив він у коментарі ГолосUA.

Можна також припустити, що будь-яка держава хотіла б одним натисканням на кнопку отримувати електронну персональну інформацію на всіх своїх громадян, вважає аналітик М.Казаров.

Як приклад, він навів масштабний збій у Facebook та інших соцмережах у жовтні 2021 року та наслідки цього збою. На його думку, на керівництво соцмережі один із урядів чинить тиск, щоб отримати персональні дані користувачів. «Можна зробити таке припущення, якщо зіставити дані видання «Дойче Велле» та Privacy Affairs про нібито злив персональної інформації 1,5 млрд користувачів Facebook у Даркнеті (анонімна «внутрішня» платформа, популярна серед хакерів і криптоактивістів). І це був найбільший і значний злив даних із FB за всю історію існування компанії.

У той же час, після збою в соцмережі колишня продакт-менеджер Facebook міс Френсіс Хауген, як фахівець з питань методології боротьби з дезінформацією в соцмережі, дала свідчення в Конгресі США та дозволила авторитетному виданню Wall Street Journal опублікувати внутрішні документи компанії, які вона скопіювала. роблячи акцент на тезах у них: компанія регулярно ставить прибуток вище за інтереси користувачів та громадськості; Facebook використовує алгоритми своїх соцмереж для розпалювання ненависті; Instagram шкідливий для психічного здоров’я дітей та підлітків; керівництву компанії було відомо про негативні наслідки.

Я вважаю, що ці документи потрапили у ЗМІ та у відкритий доступ як результат тиску уряду на власників соцмереж з метою отримання персональних даних користувачів», – каже аналітик.

Водночас адвокат Р.Кравець каже, що цифрова інформація про судові процеси, включаючи персональні дані українців, вже доступна американським чиновникам і може становити для них інтерес. Це стало можливо після появи в Україні держоргану – Національного антикорупційного бюро (НАБУ). «Національне антикорупційне бюро НАБУ фактично підпорядковане посольству США. ФБР, американська правоохоронна структура, має доступ до українських реєстрів судових розслідувань там, де вони встановлювали програмне забезпечення та обладнання. З режимом paperless так само. Під виглядом технічної допомоги нам встановлять свої підсистеми та зможуть контролювати кожного українця», – вважає адвокат.

Цифрові підписи на електронних документах

Думки, що електронні персональні дані українці та їхні документи в електронному вигляді можуть бути викрадені, дотримується і аналітик, голова громадської організації «Палата Апеляційних Уповноважених» Михайло Казаров. Він нагадав, що у 2021 році Кабмін дозволив використати електронний підпис для підписання податкових декларацій українців.

У коментарі ГолосUA М.Казаров сказав, що якщо є електронна база чи кілька електронних баз даних із персональною інформацією українців, то цей масив даних можна зламати. Тому будь-які дії у цифрових документах – реєстрація у додатку «Дія», генерування цифрових підписів від чужого імені також доступні шахраям або зацікавленим особам, які мають технічні навички зламування електронної інформації.

«Мій песимізм у цьому питанні пояснюється таким: електронний цифровий підпис генерується в кількох інформаційних системах. В Україні близько 20 суб’єктів, структур, які забезпечують послугу із генерування такого підпису. Здебільшого це одержувальні структури. Їхня робота підпорядкована законодавству та протоколам дій, але ті, хто знає, як працює система, знають і як цю систему обійти. Ці протоколи передбачають, що електронний підпис є частиною цифрового коду. Якщо узагальнити роботу, яку здійснюють ці структури, я порівняв би це, спрощуючи, до виробництва килима, який тчуть з великої кількості ниток. Один електронний підпис це «нитка», і ці двадцять структур, які ці «нитки» збирають і реєструють, чудово обізнані, як одну «нитку» замінити на інший або як замінити один елемент «килима» на інший. Вже одне це породжує загрозу того, що цю «ниточку» хтось може по-своєму «смикнути». Тут підходить приказка «у семи няньок дитини без ока». І чим більше точок доступу до цієї системи, тим більший ризик її злому», – розповів експерт.

Навіщо державі «документи у смартфоні»

На думку адвоката Р. Кравця, запроваджуючи цифровізацію документів, чиновники «набивають свої кишені». «На практиці виходить, що нечисті на руку чиновники, які перебувають при владі, намагаються нажитися на комп’ютерних послугах, різних системах обробки даних; придбання різного програмного забезпечення. Наприклад, це закупівля програмного забезпечення. Україна його не виробляє, до слова. Населення не знає, де і за якими цінами це ПЗ купується, як вибирається постачальник; як вибирається вартість послуги з регулярного оновлення ПЗ та виконавець цієї послуги. Населення також не показує, де і як зберігають ці бази даних, скільки це коштує і хто виконує послугу з технічного супроводу. Хто обслуговує ці сервери? За інформацією, яка у мене є,

Аналітик М.Казаров вважає, що документи в «Діє» та цифрові підписи на податкових деклараціях – це підготовка населення до загального податкового декларування доходів населення.

«На мій погляд, ця ініціатива, зокрема, щодо впровадження електронного цифрового підпису під електронними деклараціями, веде до того, що в Україні запроваджуватиметься обов’язкове декларування доходів населення – для всіх без винятку. Пізніше ці дані на рівні держави синхронізують із банківськими даними. І держава, володіючи таким масивом даних на кожного громадянина, про його доходи та витрати, як мені здається, згодом може відкривати частину цих даних приватним структурам. Згодом, як результат цих нововведень, банківська картка стане своєрідною перепусткою для людей з певним доходом у ті чи інші будівлі, супермаркети, магазини, медичні центри. Це може стати початком сегрегації – набуття можливостей залежно від рівня доходу», – розповів експерт.

Так що, підсумовують сказане аналітики та експерти, якщо ви можете через інтернет використовувати свої електронні документи – запитувати їх, друкувати, і генерувати цифрові підписи, те саме з ними можуть зробити шахраї, зламавши доступ до аккаунтів і викравши вашу персональну інформацію.