Кто размещает персональные данные украинцев в интернете?
На днях Офис уполномоченного Верховной Рады по правам человека сообщил, что в Сеть слили базу данных, которая может содержать личную информацию 53 млн украинцев. В ней указаны ФИО, даты рождения, номера телефонов и адреса. Омбудсмен Людмила Денисова попросила Национальную полицию принять меры, чтобы защитить право людей на приватность. И все бы ничего, вот только база данных, на которую наткнулись сотрудники Офиса омбудсмена, представляет собой устаревший телефонный справочник, который существует более десяти лет.
Впрочем, проблема слива персональных данных в интернет очень актуальна для Украины. Типичный пример: в 2020 году в Сеть выложили базу с 26 млн украинских водительских удостоверений, но правоохранители до сих пор не выяснили, кто именно обнародовал эти данные. Такие инциденты случаются часто.
Слив личных данных в интернет: кому это нужно
Офис уполномоченного Верховной Рады по правам человека постоянно мониторит интернет, чтобы выявить незаконное распространение персональных данных.
"В 2020 году по результатам принятия омбудсменом мер реагирования прекращено обнародование в Сети персональных данных около 500 участников боевых действий, в том числе тех, кто привлекался к проведению неотложных мер по преодолению террористической угрозы и сохранению территориальной целостности Украины", — рассказывает Фокусу Инна Берназюк, специалист Офиса омбудсмена в сфере защиты персональных данных.
Базы продаются на черном рынке, куда их сливают сами же чиновники
Помимо этого обнаружили канал в Telegram, который обнародовал таблицу с персональными данными 6907 военнослужащих. Несмотря на начатое досудебное расследование и требование омбудсмена заблокировать канал, файл с данными доступен до сих пор.
Вовлекаясь в любую онлайн-активность, будь то пользование социальными сетями, мессенджерами или онлайн-покупки, пользователи добровольно предоставляют массу своих персональных данных. В офлайне система та же: при подписании договора аренды или заключении декларации с семейным врачом обязательно нужно поставить отметку в графе "Соглашаюсь на обработку своих персональных данных". Насколько эти данные защищены, ни в одном договоре не сказано. Да и найти виновного после утечки сложно, ведь собираемая в Украине персональная информация дублируется во многих базах.
Как себя обезопасить от попадания в "левые" базы данных
Согласно аудиту, проведенному в 2017 году, в Украине существует более 130 госреестров. 80% из них хранятся локально — на сервере конкретного госоргана, и только 60% реестров имеют аттестованные комплексные системы защиты информации. Андрей Баранович, сооснователь общественной организации "Украинский Киберальянс", считает, что взлом и кража баз данных — редкое для Украины явление. Чаще всего их сливают в Сеть инсайдеры — люди, имеющие служебный доступ к информации.
"Базы продаются на черном рынке, куда их сливают сами же чиновники, — поясняет Фокусу Баранович. — Обычно цена составляет несколько сотен долларов за базу, зависит от того, что это за база и насколько она актуальна. Торговцы данными могут слить что-то старое, чтобы привлечь к себе внимание потенциальных покупателей, но продать им что-то новое — дороже". По его словам, чтобы защитить информацию, ответственность чиновников за утечку какого-то массива данных должна быть персональной.
"Но происходит все с точностью до наоборот: чиновники пытаются объединить реестры и размыть ответственность. Это может привести к еще более крупным утечкам информации", — уверен Андрей Баранович.
Алексей Кнут, эксперт по кибербезопасности, согласен с коллегой, но добавляет, что многие украинцы сами халатно относятся к своим персональным данным.
"Часто, регистрируясь в качестве физлица-предпринимателя, люди, не задумываясь, указывают свой номер телефона и электронный адрес, а то и фактическое место проживания. После начинают получать спам-рассылку и письма на домашний адрес. Такие данные открытые, это нужно понимать и быть готовым к тому, что в момент регистрации вы сразу появляетесь в базе, к которой может получить доступ любой желающий", — говорит Кнут.
В Украине существует более 130 госреестров, и только 60% из них имеют аттестованные комплексные системы защиты информации
Эксперт советует регистрировать ФЛП на отдельный номер телефона и указывать юридический адрес своего предприятия. Также Кнут рекомендует не забывать о правилах сетевой гигиены: подключаться к Сети только через безопасное соединение, избегать публичных Wi-Fi, не защищенных паролями.
"Не открывайте подозрительные сообщения и сайты, особенно те, которые обещают легкие деньги в два клика, — советует он. — Не используйте один пароль для нескольких учетных записей. Создайте длинные, уникальные пароли. Обеспечить защиту также поможет двухфакторная аутентификация".