Що робити, якщо ваші персональні дані продають в інтернеті?
15 травня 2020 р.Останній кіберскандал, коли злочинці отримали доступ до персональних даних 26 мільйонів українців і торгували ними завдяки анонімних ботів у месенджері Telegram, оголив "дірки" в українській системі захисту персональної інформації. Хоча подібні "витоки" були й раніше, однак зараз звинувачення лунають на адресу державного застосунку "Дія", який останнім часом активно популяризує міністерство цифрових трансформацій України. На анонімних Telegram-каналах дехто з українських громадян знайшов інформацію про свої "свіжі" водійські посвідчення, які реєструвалися в "Дії".
Шпарина в "Дії"?
Голова громадської організації "Електронна демократія" Володимир Фльонц одним з перших забив на сполох. Перевіряючи свої дані через анонімного бота в Telegram, виявив там інформацію про свій внутрішній і закордонний паспорти, водійське посвідчення і навіть паролі від своєї електронної пошти. "Бази даних українців давно гуляють в інтернеті. Але вперше у відкритому доступі з'явилися свіжі фото з документів, які вважалися захищеними. Здивувало, як ця інформація була об'єднана з різних джерел. Якщо раніше бази були доступні окремо, то зараз бот надавав всю інформацію об'єднано, і банківську, і фото, номери телефонів, і паролі з соцмереж по людині", - розповів DW Володимир Фльонц. Він не виключає, що масовий "витік" стався безпосередньо з державних реєстрів, а мобільним додатком "Дія", який є верхівкою інфраструктури цих реєстрів, зловмисники скористалися як шпариною.
Усі звинувачення на адресу державного застосунку "Дія" міністр цифрової трансформації Михайло Федоров відкидає. "Це неможливо навіть теоретично! По-перше і головне, "Дія" не має бази даних і не накопичує таку інформацію. По-друге, кількість інформації, яка доступна у зазначеному боті, набагато, в десятки, а то й сотні разів, перебільшує ту, з якою працює "Дія", - написав Федоров на своїй сторінці у соціальній мережі Facebook.
Кіберполіція України оперативно заблокувала анонімний Telegram-бот, а головне слідче управління Нацполіції України відкрило кримінальне провадження за ознаками кримінального правопорушення, передбаченого 361 Кримінального кодексу України (несанкціоноване втручання в роботу електронно-обчислювальних машин, комп'ютерних мереж чи мереж електрозв'язку). Після проведення слідчих дій поліція не виявила фактів кібератак на державний мобільний застосунок "Дія".
"Інформація, поширена у соціальних мережах, зокрема і в Telegram-каналах, має ознаки фрагментарних наборів даних, скомпільованих з різних джерел і ресурсів, включаючи відкриту інформацію із реєстрів", - йдеться у повідомленні на сайті Нацполіції.
Читайте також: Мобільні додатки для знайомств: шпигуни у ліжку й не тільки
Захисту немає
Експертів дивує таке швидке розслідування витоку даних. Вони вказують на те, що міністерство цифрових трансформацій має оприлюднити принципи роботи, алгоритми застосунку "Дія", аби переконати українців, що їхні дані в цьому додатку справді захищені. "Хоча важко говорити про захищеність персональних даних українських громадян, оскільки в Україні досі відсутній регуляторний орган, який би наглядав за дотриманням законодавства з захисту персональних даних", - каже керівниця юридичного відділу Лабораторії цифрової безпеки Віта Володовська. За її словами, сам закон "Про персональні дані" від 2010 року досить прогресивний, однак через відсутність того, хто контролює його виконання, його ефективність низька і притягнути до відповідальності того, хто "зливає" бази персональних даних дуже важко.
Зараз в Україні захистом персональних даних опікується Уповноважений Верховної ради з прав людини та кіберполіція. Уповноважений може скласти адміністративний протокол на державний орган чи установу, якщо вони порушують право людини на захист персональних даних, а кіберполіція розслідує кримінальні правопорушення, зокрема пов'язані з "витоком" даних з держреєстрів. "Відповідно до інформації з Єдиного порталу судових рішень, у 2019 році реальних вироків за такими справами є лише п'ятнадцять. Це мало, оскільки "витоків" даних набагато більше", - зазначає Володовська.
Що робити, аби убезпечити дані?
Але як убезпечитись від крадіжки своїх персональних даних? Володимир Фльонц радить передусім переглянути своє відношення до персональних даних. "Треба змиритись з тим, що приватності в 21 сторіччі практично не існує. І не залишилося практично даних, які є виключно вашими", - вважає експерт. Але зважаючи на це, він пропонує сегментувати найкритичніші персональні дані, які людина використовує. Зокрема, банківські паролі та акаунти мають бути прив’язані до окремого непублічного телефону та мейлу, а також раз на рік оновлювати паролі на важливих для вас ресурсах, фінансових чи державних.
Окрім цього, варто також застосовувати двофакторну автентифікацію скрізь, де це можливо, також застосовувати активацію пристроїв і додатків через біометричні дані, наприклад - через відбиток пальця й не перевіряти, чи почали "гуляти" в інтернеті ваші персональні дані, на сумнівних ресурсах, оскільки саме там можуть їх "чіпляти". "Так ви не вирішите проблему повністю, але принаймні зменшите ризики втрат, коли наступний великий "злив" даних відбудеться. А він нажаль відбудеться, бо проблема є", - зауважує Володимир Фльонц.
Якщо ж ви побачили, що ваші дані вже продають в інтернеті, то негайно зверніться до кіберполіції, радить заступник директора департаменту комунікації міністерства внутрішніх справ України Ярослав Тракало. "Насамперед не треба панікувати, а, розповісти правоохоронцям про всі обставини та ймовірні припущення: коли, де і як могла потрапити особиста інформація в мережу", - каже Тракало. До кіберполіції можна звернутися безпосередньо на сайті відомства, заповнивши електронну форму заяви. Однак перед тим, до неї треба внести ледь чи не всі свої персональні дані, аби правоохоронці її зареєстрували.