13 мая 2020 12:22

Госреестры дали течь: кто "сливает" персональные данные украинцев и что с этим делать

Был ли "слив" персональных данных из приложения "Дія" и чего стоит опасаться тем, кто нашел себя в "слитых" базах данных?

Госреестры дали течь: кто "сливает" персональные данные украинцев и что с этим делать

11 мая в Telegram появился бот, который за деньги распространял персональные данные украинцев. Те, кто воспользовались двумя бесплатными демо-запросами, написали в Facebook гневные посты, обвиняя Министерство цифровой трансформации в том, что их персональные данные были "слиты" через приложение "Дія". В Минцифры опровергли обвинения.

Редакция попыталась разобраться, был ли "слив" персональных данных из приложения "Дія", нужно ли проверять свои данные через телеграм-ботов, чего стоит опасаться тем, кто нашел себя в "слитых" базах данных, и к каким последствиям должен привести данный инцидент.

Инцидент

Информация о появлении телеграм-бота, торгующего персональными данными украинцев, разлетелась в Facebook в ночь на 12 мая. Авторы публикаций обвинили в "сливе" Минцифры, в частности, созданное им приложение "Дія".

Бот предлагал найти человека по ФИО, номеру телефону, ИНН, номеру автомобиля, адресу электронной почты и даже предоставить пароли от самой электронной почты. Проработал он недолго: уже после обеда телеграмм-бот был удален.

Однако через несколько часов в Telegram появилось сразу несколько практически одноименных телеграм-каналов и ботов, которые тут же начали обвинять друг друга в мошенничестве. Тогда один из каналов опубликовал видео-доказательство выдачи персональных данных. Стоимость пакета из 50 запросов составляет 50 дол. Оплата биткоинами или через платежный сервис easypay.ua. Бесплатных демо-запросов у него нет.

В Минцифры еще утром поспешили опровергнуть причастность "Дія" к распространению персональных данных украинцев.

"Дія" вообще не хранит персональные данные, а только в разовый запрос идентифицированного гражданина отображает информацию из реестров, — сообщил представитель министерства в комментарии — Архитектура "Дія" построена таким образом, что на серверной части вообще не осуществляется хранение персональных данных пользователей.

При этом информация в каналах передачи данных передается в зашифрованном виде, а на некоторых этапах используется двойное шифрование.

Все серверы мобильного приложения "Дія" находятся в Украине. То есть никакая информация о пользователях не идет за границу. Серверная часть системы развернута в облачной инфраструктуре, которая имеет необходимые сертификаты безопасности, в том числе КСЗИ. "Дія" прошла ряд положительных аудитов как частных, так и государственных (ГСССЗИ)".

В свою очередь министр по вопросам цифровой трансформации Михаил Федоров озвучил свою версию причины появления телеграм-бота и последовавшей информационной атаки на создателей приложения.

"На прошлой неделе я заявил, что к аудиту базовых реестров мы подключаем СБУ и госспецсвязь, начинаем процесс их централизации и создания современного государственного дата-центра, — сказал Федоров в комментарии — А также, подготовили письмо, где предложили остановить все закупки железа во всех органах, где явно зарабатывают на закупках. И сегодня фейк про "Дія". Думаю начало.

Что будет когда запустим новый строительный реестр, который готов на 80% и где логируется каждая активность? Там была исторически миллиардная коррупция".

Проблема Украины и опыт Эстонии

Судя по количеству инцидентов, торговля базами данных с персональной информацией украинцев поставлена на поток. И в данном случае речь идет о персональной информации, которую накапливают и хранят государственные учреждения и частные компании.

— в 2017 налоговик из Сум торговал базой данных ГФС;

— в 2017 персональные данные частных клиентов ПриватБанка были скопированы на российские сервера сотрудниками детективной компании Kroll, нанятой Нацбанком для поиска информации об инсайдерских кредитах бывших акционеров банка;

— в 2018 в даркнете продавалась база данных на 500 тысяч и на 18 миллионов пользователей "Новой почты";

— в 2018 в Запорожье поймали продавцов данных таможни;

— в 2019 осудили харьковчанина за торговлю данными ГФС.

Вероятно это лишь малая доля инцидентов, попавших в публичную плоскость.

Согласно первому в истории аудиту госреестров, проведенному в 2017 году, в Украине существует более 135 госреестров и точное количество до сих пор неизвестно. 80% госреестров хранятся локально, т.е. на сервере в конкретном госоргане и только 60% госреестров имеют аттестованные комплексные системы защиты информации.

Все это создает колоссальные риски в области защиты персональных данных граждан.

Реестры многих госорганов дублируют персональную информацию граждан. Например, "Единый государственный демографический реестр" и "Государственный реестр актов гражданского состояния граждан" дублируют более 80% полей: ФИО, дата рождения, место рождения.

Дублирование данных в реестрах — это легкий путь к коррупционным злоупотреблениям. Поэтому, к примеру, в Эстонии, государственные учреждения хранят в электронных реестрах только те данные гражданина, которые нужны для предоставления профильных услуг. А каждого гражданина госорган идентифицирует по уникальному идентификационному коду, который присваивается после рождения.

Код также предотвращает копирование персональных данных гражданина каждой госструктурой.

Кроме того, в Эстонии работает Инспекция по защите персональных данных. Инспекция независима от правительства. Она наделена особыми полномочиями. Сотрудники инспекции имеют право проверять все органы государственной власти на предмет соблюдения правил защиты персональных данных.

Если персональные данные уже хранятся в одном реестре, госорган не имеет права их затребовать у гражданина. Госорган также не имеет права создавать реестры с данными, которые уже хранятся в других реестрах. Инспекция за этим строго следит.

Был ли "слив" из приложения "Дія"

Трое опрошенных экспертов в сфере телекоммуникаций и информационной безопасности не видят оснований утверждать, что телеграм-бот использует данные из приложения "Дія".

"Думаю, база данных бота чуть более старая, чем та, то есть в "Дія", — говорит эксперт в сфере информационной безопасности Никита Кныш. — Более того, "Дія" не хранит базы данных и обращается к серверам данных через API. Тут же видно, что у владельца телеграм-бота есть уже готовая база данных и он просто выдаёт запись".

По мнению сооснователя "Украинского киберальянса" Шона Таунсенда, пока ничего не указывает на то, что данные были "слиты" из "Дія": "Потечь могло как из "Дии" (так как её серверная часть подключена к реестрам напрямую), так из собственно реестров, пока точно определить источник утечки нельзя".

Нужно ли проверять свои данные через телеграм-ботов

Шон Таунсенд не рекомендует это делать, так как мошенники тут же привяжут ваш ТГ-аккаунт к той же самой базе.

Никита Кныш считает, что нужно обязательно, чтобы знать о спектре возможных угроз. Он говорит, что многие компании практикуют регулярный мониторинг данных на предмет утечки.

"Нормальный безопасник любого банка, финансовой организации, IT-компании мониторит данные всех сотрудников, пробивает их на предмет утечек и регулярно заставляет их обновлять. Это нормальная практика".

Чего стоит опасаться тем, кто нашел себя в "слитых" базах

Способ доставки вирусов с использованием персональных данных становится намного более эффективным.

"Персональные данные помогут мошенникам убедить вас в том, что вы общаетесь со специалистом службы технической поддержки вашего банка, сервиса Google или Facebook. Эти данные будут использованы для совершения мошеннических  действий", — объясняет Кныш.

Шон Таунсенд советует опасаться кражи личности.

Почему продажа данных вышла в публичный интернет

По словам Кныша, раньше для того, чтобы продавать такие базы данных, нужно было создавать сайт, размещать его на каком-то хостинге, открывать определенным людям доступ к нему в даркнете, людям нужно было использовать программу Tor для анонимного посещения сайта.

А сейчас телеграм-бот объединили с сервисом анонимных платежей Bitcoin и это позволяет владельцам баз данных спокойно принимать деньги. Приватность позволяет быстро развиваться киберпреступности, но при этом является большим плюсом для расследователи и журналистов.

Можно ли установить источник слива баз данных

Это возможно при условии, что в исходной базе данных работала система логирования доступа. В таком случае теоретически возможно установить дату "слива" базы данных и ответственное лицо. Однако успех расследования зависит от нацполиции и СБУ.

Кто несет ответственность за утечку и что делать

"В любом случае можно утверждать, что имеет место проблема утечки данных из органов власти, — говорит эксперт рынка телекоммуникаций и рабочей группы по вопросам безопасности и доверия в цифровой среде Роман Химич. — Из IT-систем, которые единолично создало и обслуживает государство.

В любом случае Минцифры является центральным органом исполнительной власти, который уполномочен заниматься всей этой проблематикой и несет за это ответственность. То есть Федорову все эти вопросы можно и нужно задавать.

Идея цифровизации, идея что все взаимодействуют со всем, идея тотальной прозрачности государственных реестров друг для друга приводит к размытию вплоть до исчезновения ответственности.

Поэтому моё однозначное мнение: результатом должно быть увольнение прямо сейчас. Должен случиться прецедент как минимум административной ответственности предельно конкретной в виде увольнения людей, которые теоретически за это должны отвечать.

Слово ответственность обесценилось полностью. Зеленскому нужно восстанавливать смысл слова ответственность должностного лица за вверенный ему "колхозик".

Сооснователь "Украинского киберальянса" высказывает подобную точку зрения.

"Решение проблемы только одно — чиновник, который отвечает за определенный набор данных, должен нести личную ответственность за их сохранность.

Течь, конечно, не перестанет, но риски попасться возрастут. А Минцифра наоборот пытается объединить реестры (что повышает их ценность) и размыть ответственность, так что крайних потом будет не найти. Подобный подход в будущем приведёт к еще более крупным утечкам".

Автор
Українська Правда