Массовый слив: как персональные данные миллионов украинцев попали в сеть »

Народный депутат от пропрезидентской партии “Слуга народа” Александр Дубинский обвинил Министерство цифровой информации в утечке персональных данных. Согласно его заявлению в соцсетях, в Телеграм-боте UA Baza появилась онлайн-база данных о миллионах украинцев. Причем слив произошел из популярного приложения “Дія”, отметил парламентарий.

За сколько в Украине можно купить персональные данные

На новом “ресурсе” анонимные “бизнесмены” предложили за $20-200 навести справки о паспортных данных, водительских правах, банковских реквизитах и др.

Министр цифровой трансформации Михаил Федоров опроверг обвинения в том, что его ведомство причастно к утечке персональных данных. “Это невозможно даже теоретически!” – заявил он на своей Фейсбук-странице.

По его словам, “Дія” вообще не накапливает подобную информацию и не обладает базой данных. Министр отметил, что бот оперирует старыми базами данных, уже несколько лет доступными в “даркнете”. В частности, предварительный анализ установил, что неизвестные создатели бота использовали старую – “еще до национализации” – базу данных “Приватбанка”. А также информацию из негосударственных источников. Например, пароли от учетных записей в запрещенной в Украине социальной сети “ВКонтакте” и соцсети для профессионалов LinkedIn.

Тем не менее уже 12 мая стало известно, что Киберполиция начала расследование по поводу утечки персональных данных. А народный депутат Кира Рудик пообещала направить запросы на проведение следствий по данному поводу не только в Национальную полицию, но и в Службу безопасности Украины.

Вечером того же дня Минцифры сообщило, что бот уже не работает. А на странице UA BAZA BOT появилось следующее сообщение: “Добрый вечер, друзья. На бот слишком много жалоб поступило и его пришлось закрыть. Создали другого, но пока не афишируем, чтобы исключить возможность бана”.

Как нужно защищать конфиденциальную информацию

Советник секретаря СНБО на общественных началах Юрий Мелащенко в комментарии UBR.ua подтвердил, что “очень давно этими базами торговали в “даркнете”.

Он посетовал, что в Украине нет надлежащего контроля за утечками данных. И привел в пример европейский GDPR (General Data Protection Regulation – нормативный акт Европарламента и Совета ЕС, вступивший в силу в 2018 году, о защите прав физических лиц касательно их персональных данных).

“Там предусмотрена уголовная ответственность за преступления, связанные с кражей и торговлей персональными данными”, – подчеркнул Юрий Мелащенко.

Поскольку, отметил он, в Украине “нет никакой ответственности и контроля”, то такие данные будут вечно ходить по интернету. При этом для следственных органов достаточно информации, чтобы установить, кто именно является бенефициаром такой системы, как упомянутый Телеграм-бот.

На вопрос UBR.ua о том, как бороться с подобными утечками, народный депутат Александр Федиенко, тоже представляющий “Слугу народа”, заявил: “Нужны “посадки”! Если кто-то допустил халатное отношение при сборе и хранении данных в государственных реестрах, то он должен подвергаться уголовной ответственности. Такое же наказание надо применять и за торговлю конфиденциальными данными”.

Он подчеркнул, что действующее украинское законодательство вполне позволяет расследовать подобные преступления. Причем правоохранителям вполне по силам установить всех причастных, от руководителя до технического исполнителя “слива” либо кражи.

“Подобные судебные разбирательства уже были в истории Украины. Но, как правило, обвиняемые получали условные сроки. И в конечном счете избегали серьезного наказания”, – подытожил он.

В Украине есть закон “О защите персональных данных, но он не в полной мере соответствует GDPR, прокомментировал младший юрист практики безопасности бизнеса Juscutum Павел Демчук. Кабинет министров установил конечный срок для гармонизации отечественной нормативной базы в соответствии с европейской до 25 мая 2020 года.

Что не так с государственными реестрами в Украине

Сегодня в Украине существует несколько сотен реестров персональных данных, рассказал UBR.ua СЕО GigaCloud Артем Коханевич.

В 2017 году прошло исследование “Состояние и перспективы развития государственных информационных ресурсов”. По его результатам оказалось, что абсолютное большинство госреестров на то время хранилось в локальных дата-центрах (ЦОДах) или на таких же серверах. При этом использовалось устаревшее оборудование, которое нуждалось в комплексной технологической модернизации в течение последующих трех лет.

Их них частные “облака” у операторов ЦОД арендовали только 17%. Аттестаты на соответствие комплексным системам защиты информации были только у 60% государственных реестров. Без этого документа и сейчас не допускается использование любого государственного информационного ресурса. Так предписывает статья 8 Закона Украины “О защите информации в ИТС”. “На сегодня в этом вопросе мало что изменилось”, – отметил Артем Коханевич.

По его словам, фактически почти в каждом из реестров приходится иметь дело с устаревшим оборудованием, некомпетентным персоналом, отсутствием бэкапов. Не достает также адекватных мер по информационной безопасности. Эти и другие факторы с большой долей вероятности “делают каждую из этих баз данных целью хакерских атак или служебных нарушений”, констатировал CEO GigaCloud.

Как защитить свои персональные данные

Артем Коханевич дал несколько коротких советов по информационной безопасности, назвав их три “нет” и одно “да”:

1) Не открывайте ссылки и вложения в письмах, которые вы не просили. Даже если письмо приходит со знакомого адреса. Лучше переспросить.

2) Не вводите в интернет-сервисах и любых формах пароли и логины от других сервисов, или номера и пин-коды банковской карты.

3) Не авторизуйтесь в любых сервисах, в частности платежных, пользуясь общественным Wi-Fi. Подключайте для этого мобильный интернет.

4) Применяйте сложные пароли и настройте двухфакторную аутентификацию, например, с почтой и номером телефона. Для генерации и запоминания паролей можно пользоваться специальными менеджерами паролей.

Источник: www.vesti-ua.net