Злив баз персональних даних в Україні: не захищений ніхто

Автор: Віталій Булаш

І якщо вам раптом  почали регулярно надзвонювати з пропозиціями взяти кредит в сумнівному закладі, спробувати косметичні процедури по акції та інше, то  майже напевне, ваші дані вже продані в треті руки.

Як це відбувається

На спеціалізованих форумах і просто при звичайному пошуку в інтернеті можна наштовхнутися на масу оголошень з купівлі та продажу баз даних клієнтів різних організацій –найчастіше це банки і держустанови, зустрічаються також бази телефонних та інтернет-компаній, фінансових установ і невеликих приватних фірм.

Найчастіше в такі бази включені ПІБ клієнта, його номер телефону і e-mail. Іноді туди може входити якась більш детальна інформація, наприклад дані про те, на які цілі людина брала кредит в банку, на яку суму, ким вона працює і таке інше. Якщо в руки зловмисників потрапляють дані держустанови, вони можуть містити й більш серйозні відомості: фрагменти серії і номерів документів, дані про водійські права і т. д.

Фахівці з кіберзахисту відзначають, що дуже часто бази даних клієнтів зловмисники отримують як побічний продукт. Наприклад, кіберзлочинці намагаються вкрасти гроші або зламати будь-яку систему, і отримують при цьому ще й інформацію з персональними даними, які потім виставляють на продаж.

Бази даних потрапляють в руки злочинців різними шляхами. Це може бути використання шкідливого програмного забезпечення або цільова атака на компанію, помилка або умисел співробітників, помилки при конфігуруванні систем захисту, налаштування серверів, що призводять витоку даних у вільний доступ. Буває, що після закриття інтернет-магазину, база даних його клієнтів також переходить у треті руки.

Такі новини, на жаль, вже стали звичними в загальному потоці зломів і компрометації призначеної для користувача інформації.

Зокрема в позаминулому році співробітники столичного департаменту кіберполіції затримали чоловіка, який виставив на продаж базу даних клієнтів фінустанови.

Інформацію намагався продати колишній співробітник компанії, яка надавала послуги з видачі кредитів. Чоловік отримав доступ до списку клієнтів фірми, коли займав посаду ризик-аналітика. Звільнившись, він розмістив в інтернеті оголошення про продаж бази, оцінивши її в $4000… До речі, покарання за такі несанкціоновані дії з інформацією за українськими законами – штраф 10,2-17 тис. грн або виправні роботи на строк до двох років (максимум – до шести років в’язниці).

Ще резонанснішим став випадок з харків’янином, який через соцмережі продавав клієнтську базу “Нової пошти”.

Як з’ясувалося, 38-річний чоловік раніше працював на цьому підприємстві. Після звільнення доступ до даних клієнтів йому закрили, але він прихитрився проникати в базу, використовуючи логін і пароль іншого співробітника.

Оголошення про продаж даних спритник розміщував в одній із соціальних мереж. Таким чином зловмиснику вдалося 23 рази продати клієнтську базу поштового підприємства.

За статтею «розповсюдження інформації з обмеженим доступом» Харківський райсуд призначив йому покарання у вигляді позбавлення волі на три роки з випробувальним терміном у вигляді двох років.

Звідси вже виникає питання, чи не занадто м’яко оцінює такі протиправні дії українське законодавство, зважаючи на те, що засуджений у цій справі мав можливість оперувати величезними базами даних клієнтів Нової пошти, перша з яких містить інформацію про близько півмільйона чоловік з персональними даними в розбивці ПІБ / телефон / місто / серія та номер паспорта / email. Друга – 18 мільйонів записів, але з меншою деталізацією (тільки ПІБ і телефон).

Загроза нацбезпеці

У зоні ризику вже опинилися не тільки бази персональних даних звичайних громадян, а й співробітників правоохоронних та силових органів.

Зокрема , навесні минулого року під час  брифінгу тодішній головний військовий прокурор Анатолій Матіос заявив, що в Україні за невеликі гроші можна купити будь-яку інформацію з баз відомчих органів України.

– Злочинці здатні аналізувати пересування осіб, місця проживання сімей, близьких родичів, що значно полегшує їм здійснення терористичних актів, – повідомив він.

– Через такий механізм було відстежено і встановлено терористами місце перебування українського військового розвідника генерала Максима Шаповала, який загинув від вибуху під час пересування у Києві на власному авто, – констатував прокурор.

Як виявилося у підриві автомобіля офіцера українських розвідслужб у столиці диверсантам допоміг співробітник податкової, який надав на прохання кума пароль і доступ до бази даних “Безпечне місто”.

При цьому військовий прокурор назвав й чинні розцінки на інформацію з державних реєстрів.

За його даними, доступ до баз відеоспостереження міста Києва складала тоді  200-250 грн за одне авто, доступ до бази МВС, Нацполіції – 250-700 грн, перетину кордону – 600-800 грн за особу, доступ до бази автотранспорту (пересування у місті, паркування, адмінпротоколи) – 500 грн, деталізація дзвінків – 4-7 тисяч грн за півроку, інформація щодо отриманих доходів з бази Пенсійного фонду, служб соцстрахування або податкової адміністрації – 500 грн.

І вже зовсім нещодавно з’явилася скандальна новина про масштабний злив даних з Єдиного порталу вакансій державної служби, про що заявили 16 січня в Офісі омбудсмена, уповноваженого через Департамент з питань захисту персональних даних контролювати додержання законодавства про захист особистої інформації.

Як виявилося персональні дані, які українці завантажували на цей портал, раптом з’явилися у вільному доступі в інтернеті.

Ситуація зі вразливістю Єдиного порталу вакансій Нацагентства з питань державної служби призвела навіть до скликання екстреного засідання Ради Нацбезпеки.

Між іншим за інформацією поінформованого джерела днями керівництво Нацагентства змусило написати заяви про звільнення за власним бажання майже усіх співробітників відділу, що опікується захистом інформації у відомстві. Те ж джерело повідомило, що під час створення системи інформаційного захисту фахівці цього відділу наполягали на закупці більш надійного і відповідно дорожчого програмного забезпечення. Та керівники Нацагентства від цього відмовилися, вирішивши, напевне, зекономити. Ось і результат.

На думку незалежних експертів є проблеми із захистом особистих даних українців і у новоствореному електронному реєстрі пацієнтів E-Health. Зрозуміло, що медична інформація про пацієнта має бути захищена, як банківські дані. Без багаторівневого захисту, з ризиками витоку інформації реєстр пацієнтів є небезпечним.

Однак законодавці і профільне міністерство не розробили навіть вимог щодо зберігання комп’ютерної техніки, серверів, каналів зв’язку в закладах охорони здоров’я. Тобто хтось може викрасти такий комп’ютер чи сервер з інформацією на тисячі пацієнтів, а відповідатиме як за звичайне викрадення майна.

Насторожує й те, що в п. 6.3.5.2. Типового положення зазначено, що ідентифікаційні дані для входу в автоматизовану систему можуть бути відомі іншим особам, тобто це є не електронний ключ, а лише пароль (який, до речі, досить легко отримати, скориставшись відповідною програмою зчитування). Це ненадійна система захисту.

Ще одна проблема проглядається в п. 6.3.6. Типового положення, де зазначено, що у разі звільнення з роботи або переведення на іншу посаду працівник закладу охорони здоров’я повинен своєчасно передати керівнику (або іншому працівнику, визначеному керівником закладу) носії інформації, що містять відомості про персональні дані пацієнтів. Ця норма означає можливість медичного працівника скопіювати інформацію з ЕРП на диск чи флешку, що створює величезний ризик з точки зору інформаційної безпеки пацієнта, а, отже, і відповідальності лікаря.

Низька відповідальність

Поглиблює проблему зливу баз даних і те, що в Україні поки  немає чітко прописаної відповідальності за витік персональних даних для тих, хто їх зберігає. “В Європі ввели стандарт GDPR. Кожна європейська компанія повинна зберігати дані відповідним чином. У випадку витоку інформації штраф компанії може досягати 4% від обороту”, – кажуть фахівці компанії Hacken, яка займається захистом даних.

Отже системно ця проблема вирішується тільки в країнах, де є законодавча база з точки зору штрафів, якщо стався злам.

До того ж питання, яку саме інформацію мають право вимагати від користувачів, а яку – ні, законодавством наразі не врегульоване. Відтак про клієнтів спочатку збирають дані, які не потрібні для надання послуг, а потім не можуть їх адекватно охороняти.

Правила самозахисту

Враховуючи таку сумну тенденцію, фахівці з кіберзахисту зокрема радять громадянам: перше ніж заповнити онлайн-анкету, в якій потрібні паспортні дані і код, або вислати комусь фотокопії ідентифікаційних документів електронною поштою, як мінімум, переконайтеся в тому, що запит – НЕ пастка. І точно не слід нікому диктувати ці номери в телефонному режимі. В іншому випадку з часом може виявитися, що ви винні значну суму за товари, яких не купували.

Експерти також пропонують уникати надмірної деталізації даних про себе у різноманітних анкетах, а також уважно ознайомлюватись з умовами використання даних клієнтів, які пропонують компанії та фірми.

Ще обережніше треба надавати правовстановлюючі документи, які, на жаль, нескладно підробити, особливо коли відомі їх реєстрові номери. Хитрі ділки, скопіювавши дані з акту права власності на вашу квартиру, авто або земельну ділянку, навряд чи зможуть їх продати – занадто велика ймовірність викриття під час передпродажної перевірки. А ось зробити заставою за борговими зобов’язаннями, які не збираються погашати, – цілком. Що трапляється нерідко.

Щоб уникнути неприємностей, нікому ніколи не надсилайте скани правовстановлюючих документів. Запит, зроблений електронною поштою, в смс або в телефонному режимі, може виявитися фальшивим.

Шахраї зазвичай звертаються до людей від імені солідних контор, просять надати їм копії документів. Насправді, якщо потрібні копії, передавати їх слід виключно особисто, попередньо переконавшись в тому, що приймаючи документи, людина несе відповідальність за їх подальше використання.

Джерело: https://khreschatyk.news/zlyv-baz-personalnyh-danyh-v-ukrayini-ne-zahyshhenyj-nihto/