Персональные данные на продажу: кто виноват и будет ли наказан?
03.07.2020 20:33
Укринформ
После заявления общественного активиста правоохранители провели десятки задержаний
В мае этого года Владимир Фленц, руководитель ОО "Электронная демократия", сделал сенсационное заявление: в сети появился telegram-бот, который объявил о продаже персональных данных граждан Украины.
Это заявление сразу связали с данным 26 миллионов украинцев, зарегистрированных в приложении "Дия". И за дело взялись политики. Депутаты из “Голоса” направили запросы в Службу безопасности Украины и Национальную полицию с требованием начать расследование по этому факту. В Нацполиции оперативно заявили об открытии производства, а чуть позже объявили: информация относительно утечки персональных данных граждан из государственного цифрового сервиса приложения "Дия" не подтвердилась.
ВСЕ, ЧТО ПОЖЕЛАЕТЕ: ФОТО С ДОКУМЕНТОВ, ИНТЕРНЕТ-ПАРОЛИ, КОДЫ
Информация о Telegram-боте с очень подробными данными о миллионах граждан была известна как минимум за несколько недель до публичной огласки, об этом писали в соцсетях, – рассказывает председатель ОО “Электронная демократия” Владимир Фленц.
"Базы с именами, налоговыми кодами и даже с паспортами “гуляют” по интернету достаточно давно. Однако история с упомянутым ua baza bot (название анонимного Telegram-канала с персональными данными миллионов украинцев – авт.) стала особенной именно из-за фотографий с документов. Одно дело, когда мы говорим о фото из соцсетей, совсем другое дело – когда мы говорим об официальных фото, которые у вас находятся, к примеру, на правах. И эти фото, очевидно, есть только у одной стороны – той, которая эти фото сделала”, – рассказывает он.
Владимира такая информация заинтересовала, и он решил проверить работу чат-бота на себе, введя в поиск непривязанный к контракту неосновной свой номер телефона. На его удивление, в ответ этот номер связали с его личностью: были предоставлены все старые и действительные электронные адреса, пароли от соцсетей, информация из государственных реестров, идентификационный код и даже информация из анкетных данных Фленца, которые он в свое время подавал в банковское учреждение.
"Вишенкой на торте стали фотографии моих личных документов… Меня это настолько глубоко поразило, что я сразу ночью написал пост – о том, что государство в лице Минцифры уже больше года рассказывает, как они будут объединять реестры, а хакеры взяли – и уже это все объединили", – поделился впечатлениями он.
Наибольшую тревогу, по мнению Фленца, вызывает вопрос – как смогли объединить и выдать по запросу весь массив информации. "А представьте, сколько людей используют один и тот же пароль как для соцсетей, так и для онлайн-банкинга, насколько это удобно. Представьте, при таком объединении этой информации – какие возникают чрезвычайные риски", – добавил он.
После публикации, говорит Фленц, с ним довольно оперативно связалась миграционная служба, чтобы проверить происхождение фото с документов в телеграмм-боте. А вот в Министерстве цифровой трансформации, считает Владимир, его сообщение восприняли “резко на свой счет”.
На вопрос же, обращались ли впоследствии правоохранительные органы к нему официально, Фленц ответил отрицательно. "Те данные, которые я получил, могут свидетельствовать о том, что они собраны как из государственных реестров, так и с банков, почтовых служб и соцсетей. И, соответственно, за это должны нести ответственность в том числе должностные лица, которые эту информацию получили и хранят. В первую очередь – именно они", – добавил он.
В Министерстве цифровой трансформации на скандал отреагировали сразу: глава ведомства Михаил Федоров опроверг фейки относительно того, что данные "Дии" были якобы проданы. Проверку на предмет безопасности приложения провели и в Офисе омбудсмена Украины, и заявили, что с ним все в порядке.
КАК “ОБОГАЩАЮТ” ИНФОРМАЦИЮ
Прошло две недели после открытия Нацполицией дела, и в правоохранительных органах сообщили: "Дию" никто не взламывал. Данные "были скомпилированы” из разных сервисов. В том числе, из Опендатабот.
В Опендатабот с такой трактовкой не согласились, мало того — предложили правоохранителям “извиниться за такое сообщение”.
"Эта ситуация — не уникальный случай слива персональных данных. Скорее всего, это один из ярких примеров общего тренда. Раньше персональные данные можно было приобрести на "условной Петровке", сейчас появляются другие возможности для распространения. Если у злоумышленников появляется несколько баз, они их могут объединять», – рассказывает пресс-менеджер компании Дарья Даниленко. По ее мнению, в полиции, скорее всего, имели в виду другое: злоумышленники к нескольким слитым базам данных с персональной информацией могли добавить открытые реестры “ради их обогащения”. "Но почему-то упомянули в своей коммуникации именно наш продукт, – и, улыбаясь, дополнила. – Может, потому, что он является воплощением открытых данных в Украине… К нам официально никто не обращался. Извинений также не поступало. Фразу о нашем сервисе просто тихо убрали из релиза на сайте. И в комментарии журналистам сказали, что это была ошибка. Но публичного заявления на официальных ресурсах и коммуникации с нами – не было", – выразила недоумение пресс-менеджер.
А еще Даниленко напомнила, что открытые данные, прежде всего, обезличены, бесплатны, машиносчитываемы и с возможностью повторного использования. Это, как отмечают в Opendatabot, "сырье", с помощью которого можно создать множество сервисов для граждан, проводить расследования, делать аналитику и тому подобное.
Интересно, что через месяц, на брифинге в Укринформе, и представители полиции заявили, что, собственно, обвинений в сторону Opendatabot не было, а наоборот – они благодарны за пользу, которую приносит обществу работа подобных сервисов.
"Часть информации открыта, она не содержится в Opendatabot, они берут ее из открытых ресурсов государства. И это сознательная и последовательная политика правительства Украины относительно открытия информации, которая не содержит персональных данных. И компании, которые организовывают соответствующие агрегаторы или сервисы по структурированию открытой информации, делают очень правильную и полезную работу для государства и для бизнеса, поскольку они помогают развиваться другим сферам хозяйства", – разъяснил ситуацию заместитель министра внутренних дел Сергей Гончаров.
СРОК – ДО ТРЕХ ЛЕТ
Могут ли наказать “сливачей” персональной информации?
За нарушение законодательства в сфере защиты персональных данных может быть как административная, так и уголовная ответственность, — объясняет адвокат ЮК "Союз Правовых Сил" Кристина Людкевич. "Закон Украины “О защите персональных данных” был принят еще в 2010 году. В законе это выражено в одной фразе: “Нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом”, – разъяснила она. Административная ответственность наступит в случае неуведомления или несвоевременного уведомления об обработке персональных данных или об изменении сведений, несоблюдении установленного законодательством порядка защиты персональных данных, что привело к незаконному доступу к ним. Или же за нарушение прав субъекта персональных данных, или же за невыполнение законных требований Уполномоченного Верховной Рады Украины по правам человека. Уголовная же ответственность наступает за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о человеке – это карается штрафом от 500 до 1000 необлагаемых минимумов или исправительными работами на срок до двух лет, или арестом на срок до шести месяцев, или ограничением свободы на срок до трех лет.
"Как видим, ответственность отличается в зависимости от того, являетесь ли вы гражданином, должностным лицом или гражданином-субъектом предпринимательской деятельности", – добавила адвокат.
“ДАТА”: ДЕСЯТКИ ОБЫСКОВ, ДЕСЯТКИ ПОДОЗРЕВАЕМЫХ
В июне в деле об утечке персональных данных главной новостью стало проведение десятков обысков. Спецоперация проходила под условным названием “Дата”. Об этом сообщил первый заместитель начальника Департамента киберполиции Нацполиции Сергей Кропива на брифинге в Укринформе.
“За время проведения спецоперации мы возбудили 34 уголовных производства, а в течение десяти дней ее реализации провели 36 обысков. В результате установили и подтвердили преступную деятельность 25 человек. Восьмерым было сообщено о подозрении, одного человека задержали", – сказал он.
Всего правоохранители выявили более 30 копий баз данных с информацией о более чем 20 млн физических и юридических лиц. Кропива уточнил, что спецоперацию под условным названием "Дата" провел Департамент киберполиции совместно со Службой безопасности. Как заверили в полиции, установили и круг лиц, которые приобрели незаконные базы данных с персональной информацией граждан Украины.
“Есть лица, которые покупают базы данных и на основании полученной информации или вымогают у граждан деньги, или таким образом пытаются получить доступ к их финансовым институтам. Или пытаются таким образом создать какие-то поддельные документы", – подчеркнул представитель Департамента киберполиции.
Впрочем, бдительными должны быть все. А руководители предприятий в первую очередь должны обеспечивать сохранность личных данных граждан. “Мы уже установили ряд частных компаний, которые допустили данную утечку. Есть статьи Уголовного кодекса, которые говорят о том, что к руководству, которое должным образом не обеспечило защиту персональных данных, могут быть и будут приняты соответствующие меры реагирования", – подчеркнул Кропива.
Впрочем, этим дело не ограничилось. Собственное расследование начало ГБР. Там сообщили, что проверяют информацию о причастности к "сливу" должностных лиц МВД и ГМС.
В Министерстве внутренних дел не сумели ответить, действительно ли среди задержанных были чиновники МВД и ГМС, и посоветовали обратиться за информацией в ГБР. Однако заместитель министра внутренних дел Сергей Гончаров в разговоре с журналистом Укринформа заверил: "В случае, если будет подтверждено, независимо от того, был ли это работник сервисного центра МВД, ГМС или работник органа Соцстраха или, условно говоря, налогового – любой государственный служащий, который нарушил соответствующее законодательство, должен нести ответственность. Независимо от того, где он работает, кто он такой и какие у него были функции и компетенции".
ОЖИДАЕМ “КАСКАД ОПЕРАЦИЙ”
В ближайшее время, сообщили в Нацполиции, будет проведен «соответствующий каскад операций» по разоблачению участников этого преступления. И пообещали: среди задержанных будут и те, кто приобретал информацию из незаконных баз и в дальнейшем использовал ее "с преступной целью". Более того, правоохранителям удалось выявить непосредственных лиц, которые осуществляли незаконный сбор информации из первоисточников. Это – работники финансовых, страховых учреждений, представители органов государственной власти.
Остался ли доволен после всех этих сообщений Владимир Фленц, чей пост и послужил дальнейшей публичной огласке проблемы. В интервью Укринформу он высказался так: “На пресс-конференции было описано огромное количество процессуальных действий. Но, обратите внимание, почти ничего не было о том, откуда эти данные и кто ответственен за это со стороны государства".
В полиции уверяют – досудебное следствие еще продолжается, поэтому разглашать детали запрещено. Что же, подождем.
Александра Жаркова, Киев
По материалам: ukrinform.ru