Кіберполіція знайшла торговців персональними даними українців
Правоохоронці вийшли на власника скандального телеграм-бота UA Baza
Міністерство цифрової інформації і правоохоронні органи відзвітували про розслідування скандалу, пов’язаного з витоком інформації нібито з порталу “Дія”.
Нагадаємо, минулого місяця стало відомо, що невідомі торгують персональними даними українців в телеграм-каналі UA Baza. Народний депутат Олександр Дубинський заявляв, що витік стався з порталу “Дія”.
“Мені здається, що такі інформаційні атаки, які відбулися, це певні заходи щодо дискредитації того, що взагалі відбувається хорошого в нашій державі. Стосовно тих проектів, які ми розробляємо, зі створення цифрового держави”, – заявив міністр цифрової трансформації Михайло Федоров на брифінгу, що відбувся 25 червня.
Як правоохоронці шукали витік персональних даних
Заступник міністра внутрішніх справ Сергій Гончаров розповів, що за останні півтора місяці МВС провела масштабну роботу із залученням понад 400 співробітників Національної поліції, кіберполіції та Служби безпеки (СБУ). В результаті правоохоронці вилучили копії близько 30 баз даних державних, банківських і комерційних установ. За його словами, на них містилася інформація про понад 20 млн фізичних та юридичних осіб.
Кіберполіція знайшла торговців персональними даними українців
Він зазначив, що далеко не завжди витоки даних відбувалися в результаті хакерських атак. Найчастіше причинами подібних інцидентів була службова халатність чи бажання заробити. Наприклад, який-небудь адміністратор ухвалював рішення виставити на продаж бази даних, до яких по роботі мав доступ.
Кіберполіція знайшла торговців персональними даними українців
Правоохоронці знайшли власників UA BAZA (Official Bot). Саме цей Телеграм-ресурс спровокував скандал навколо порталу “Дія” в минулому місяці. Про це повідомив перший заступник начальника Департаменту кіберполіції Сергій Кропива. За його словами, персональні дані там продавалися за ціною $ 8-10 тис.
Кіберполіція знайшла торговців персональними даними українців
Як уряд буде захищати дані
Михайло Федоров зазначив, що найближчим часом Мінціфри планує провести хакатон. Його мета – надати “білим хакерам” можливість зламати портал “Дія”. Це широко використовувана в IT практика bug bounty – пошук вразливостей за винагороду, пояснив він.
За його словами, Мінцифри має намір боротися і превентивно, а “не тільки боротися з симптомами”.
“Тому сьогодні ми працюємо над захистом реєстрів, де зберігаються персональні дані українців. Ми працюємо над тим, щоб централізувати ці реєстри, оновити і зробити так, щоб у нас не було жодної можливості до появи таких ситуацій”, – підкреслив Михайло Федоров.
Він зазначив, що проблеми з витоками персональних даних в Україні “існують вже десятки років”. Більш того, з подібними проблемами стикаються і Facebook, і Google, і Telegram. “Це виклик 21-го століття”, – констатував глава Мінцифри.
Зберегти персональні дані допоможе невідворотність покарання
Опитані UBR.ua експерти налаштовані не так оптимістично. За словами радника секретаря РНБО на громадських засадах Юрія Мелащенко, “потрібно міняти законодавство”. Наприклад, ввести штрафи і кримінальну відповідальність для посадових осіб і керівників комерційних підприємств.
“Якщо люди будуть розуміти, що вони сядуть у в’язницю, якщо буде витік, вони будуть вкладати самі гроші в найкращих фахівців і найкращі технології по захисту цих даних”, – переконаний він. Крім цього, потрібно регулярно проводити навчання з кібербезпеки і стрес-тести: “Щоб люди, які займаються захистом персональних даних, не розслаблялися”.
З приводу централізації реєстрів Юрій Мелащенко дотримується іншої думки. Спочатку треба провести їх аудит і не об’єднувати в одне ціле, переконаний він. Оскільки централізовану базу даних всіх громадян України буде легше атакувати – у зловмисників буде тільки одна мета, пояснив він.
“На жаль, сьогодні в Україні культура захисту персональних даних знаходиться на досить низькому рівні”, – зазначив в коментарі для UBR.ua технічний директор GigaCloud Кирило Науменко.
За його словами, в корпоративному сегменті вже почали розуміти важливість впливу цього питання на бізнес-процеси. Це не в останню чергу відбулося завдяки прийняттю європейського стандарту захисту даних GDPR. А ось в державному секторі фактично немає розуміння того, як і навіщо захищати персональні дані, підкреслив техдиректор GigaCloud.
“На цю ситуацію можна і потрібно впливати, проводячи постійні навчальні заходи для держчиновників, пояснювати, що таке інформація з обмеженим доступом і конфіденційна інформація, в чому її відмінність від персональних даних і т.д.”, – переконаний він.