Персональні дані на продаж: хто винен і чи буде покараний?
03.07.2020 19:19
Укрінформ
Після заяви громадського активіста правоохоронці провели десятки затримань
У травні цього року Володимир Фльонц, керівник ГО "Електронна демократія" зробив сенсаційну заяву: в мережі з'явився telegram-бот, який оголосив про продаж персональних даних громадян України.
Цю заяву одразу пов’язали з даними 26 мільйонів українців, зареєстрованих у додатку "Дія". І за справу взялися політики. Депутати з “Голосу” надіслали запити до Служби безпеки України та Національної поліції з вимогою розпочати розслідування по цьому факту. У Нацполіції оперативно заявили про відкриття провадження, а трохи згодом оголосили: інформація щодо витоку персональних даних громадян із цифрового державного сервісу додатку "Дія" не підтвердилася.
ВСЕ, ЩО ЗАБАЖАЄТЕ: ФОТО З ДОКУМЕНТІВ, ІНТЕРНЕТ-ПАРОЛІ, КОДИ
Інформація про Telegram-бот з надзвичайно детальними даними про мільйони громадян була відома щонайменше за кілька тижнів до публічного розголосу, про це писали у соцмережах, – розповідає голова ГО “Електронна демократія” Володимир Фльонц.
"Бази з іменами, податковими кодами і навіть з паспортами “гуляють” інтернетом досить давно. Однак, історія зі згаданим ua baza bot (назва анонімного Telegram-каналу із персональними даними мільйонів українців – авт.) стала особливою саме через фотографії з документів. Одна справа, коли ми говоримо про фото з соцмереж, геть інша справа – коли ми говоримо про офіційні фото, які у вас знаходяться, приміром, на правах. І ці фото, очевидно, є лише у однієї сторони – тієї, яка ці фото зробила”, – розповідає він.
Володимира така інформація зацікавила, і він вирішив перевірити роботу чат-бота на собі, ввівши у пошук неприв’язаний контрактом неосновний свій номер телефону. На його здивування, у відповідь цей номер зв’язали з його особою: були надані усі старі й дійсні електронні адреси, паролі від соцмереж, інформація з державних реєстрів, ідентифікаційний код та навіть інформація з анкетних даних Фльонца, які він свого часу подавав до банківської установи.
"Вишенькою на торті стали фотографії моїх власних документів… Мене це настільки глибоко вразило, що я одразу вночі написав пост – про те, що держава в особі Мінцифри вже понад рік розказує, як вони будуть об'єднувати реєстри, а хакери взяли – і вже це все об'єднали", – поділився враженнями він.
Найбільшу тривогу, на думку Фльонца, викликає запитання – як змогли об'єднати і видати по запиту весь масив інформації. "А уявіть, скільки людей використовують один і той самий пароль як для соцмереж, так і для онлайн-банкінгу, наскільки це зручно. Уявіть, при такому об'єднанні цієї інформації – які виникають надзвичайні ризики", – додав він.
Після публікації, каже Фльонц, з ним доволі оперативно зв'язалась міграційна служба, аби перевірити походження фото з документів у телеграм-боті. А от у Міністерстві цифрової трансформації, вважає Володимир, його допис прийняли “різко на власний рахунок”.
На запитання ж, чи звертались згодом правоохоронні органи до нього офіційно, Фльонц відповів заперечно. "Ті дані, які я отримав, можуть свідчити про те, що вони зібрані як із державних реєстрів, так і з банків, поштових служб і соцмереж. І, відповідно, за це мають нести відповідальність у тому числі посадові особи, які цю інформацію отримали і зберігають. У першу чергу – саме вони", – додав він.
У Міністерстві цифрової трансформації на скандал відреагували одразу: очільник відомства Михайло Федоров спростував фейки щодо того, що дані з "Дії" були начебто продані. Перевірку на предмет безпечності додатку провели і в Офісі омбудсмена України, й заявили, що з ним усе гаразд.
ЯК “ЗБАГАЧУЮТЬ” ІНФОРМАЦІЮ
Минуло два тижні після відкриття Нацполіцією справи, і в правоохоронних органах повідомили: "Дію" ніхто не зламував. Дані "були скомпільовані” із різних сервісів. В тому числі, з Опендатабот.
В Опендатабот з такою трактовкою не погодилися, мало того — запропонували правоохоронцям “перепросити за такий допис”.
"Ця ситуація — не унікальний випадок зливу персональних даних. Скоріш за все, це один з яскравих прикладів загального тренду. Раніше персональні дані можна було придбати на "умовній Петрівці", зараз з‘являються інші можливості для розповсюдження. Якщо у зловмисників з‘являється кілька баз, вони їх можуть об‘єднувати», – розповідає пресменеджер компанії Дарина Даниленко. На її думку, у поліції, скоріш за все, мали на увазі інше: зловмисники до кількох злитих баз даних з персональною інформацією могли додати відкриті реєстри “задля їх збагачення”. "Але чомусь згадали в своїй комунікації саме наш продукт, – і, посміхаючись, доповнила. – Може, тому, що він є втіленням відкритих даних в Україні… До нас офіційно ніхто не звертався. Вибачень також не надходило. Фразу про наш сервіс просто прибрали тихо з релізу на сайті. І в коментарі журналістам сказали, що це була помилка. Але публічної заяви на офіційних ресурсах і комунікації з нами – не було", – висловила здивування пресменеджерка.
А ще Даниленко нагадала, що відкриті дані, перш за все, є знеособленими, безкоштовними, машинозчитувальними і з можливістю повторного використання. Це, як наголошують в Opendatabot, є "сировиною", за допомогою якої можна створити безліч сервісів для громадян, проводити розслідування, робити аналітику тощо.
Цікаво, що за місяць, на брифінгу в Укрінформі, й представники поліції заявили, що, власне, звинувачень у бік Opendatabot не було, а навпаки – вони вдячні за користь, яку приносить суспільству робота подібних сервісів.
"Частина інформації є відкритою, вона не міститься в Opendatabot, вони беруть її з відкритих ресурсів держави. І це свідома й послідовна політика уряду України щодо відкриття інформації, яка не містить персональних даних. І компанії, які організовують відповідні агрегатори або сервіси по структуруванню відкритої інформації, роблять надзвичайно правильну і корисну роботу для держави й для бізнесу, оскільки вони допомагають розвиватись іншим сферам господарства", – роз’яснив ситуацію заступник міністра внутрішніх справ Сергій Гончаров.
СТРОК – ДО ТРЬОХ РОКІВ
Чи можуть покарати “зливачів” персональної інформації?
За порушення законодавства у сфері захисту персональних даних може бути як адміністративна, так і кримінальна відповідальність, пояснює адвокат ЮК "Альянс Правових Сил" Христина Людкевич. "Закон України “Про захист персональних даних” був ухвалений ще у 2010 році. У законі це виражено в одній фразі: “Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом”, – роз’яснила вона. Адміністративна відповідальність настане в разі неповідомлення або несвоєчасного повідомлення про обробку персональних даних або про зміну відомостей, недодержання встановленого законодавством порядку захисту персональних даних, що призвело до незаконного доступу до них. Або ж за порушення прав суб’єкта персональних даних, або ж за невиконання законних вимог Уповноваженого Верховної Ради України з прав людини. Кримінальна ж відповідальність настає за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу – це карається штрафом від 500 до 1000 неоподатковуваних мінімумів або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
"Як бачимо, відповідальність відрізняється в залежності від того, чи ви є громадянином, посадовою особою, чи громадянином-суб'єктом підприємницької діяльності", – додала адвокат.
“ДАТА”: ДЕСЯТКИ ОБШУКІВ, ДЕСЯТКИ ПІДОЗРЮВАНИХ
У червні в справі про витік персональних даних головною новиною стало проведення десятків обшуків. Спецоперація проходила під умовною назвою “Дата”. Про це повідомив перший заступник начальника Департаменту кіберполіції Нацполіції Сергій Кропива на брифінгу в Укрінформі.
“За час проведення спецоперації ми порушили 34 кримінальні провадження, а протягом десяти днів її реалізації провели 36 обшуків. У результаті встановили та підтвердили злочинну діяльність 25 осіб. Вісьмом особам було повідомлено про підозру, одну особу затримали", – сказав він.
Загалом правоохоронці виявили понад 30 копій баз даних з інформацією про понад 20 млн фізичних та юридичних осіб. Кропива уточнив, що спецоперацію під умовною назвою "Дата" провів Департамент кіберполіції спільно зі Службою безпеки. Як запевнили у поліції, встановили і коло осіб, які придбали незаконні бази даних з персональною інформацією громадян України.
“Є особи, які купують бази даних і на підставі отриманої інформації або вимагають у громадян кошти, або таким чином намагаються отримати доступ до їхніх фінансових інституцій. Або намагаються таким чином створити якісь підробні документи", – наголосив представник Департаменту кіберполіції.
Утім, пильними мають бути всі. А керівники підприємств насамперед мусять забезпечувати збереження особистих даних громадян. “Ми вже встановили ряд приватних компаній, які допустили даний витік. Є статті Кримінального кодексу, які говорять про те, що до керівництва, яке належним чином не забезпечило захист персональних даних, можуть бути та будуть вжиті відповідні заходи реагування", – наголосив Кропива.
Утім, цим справа не обмежилася. Власне розслідування розпочало ДБР. Там повідомили, що перевіряють інформацію про причетність до "зливу" посадовців МВС та ДМС.
У Міністерстві внутрішніх справ не зуміли відповісти, чи серед затриманих дійсно були посадовці МВС та ДМС, і порадили звернутися за інформацією до ДБР. Однак заступник міністра внутрішніх справ Сергій Гончаров у розмові з журналістом Укрінформу запевнив: "У разі, якщо буде підтверджено, незалежно від того, це був працівник сервісного центру МВС, ДМС чи працівник органу Соцстраху або, умовно кажучи, податкового – будь-який державний службовець, який порушив відповідне законодавство, має нести відповідальність. Незалежно від того, де він працює, хто він такий і які в нього були функції й компетенції".
ОЧІКУЄМО “КАСКАД ОПЕРАЦІЙ”
Найближчим часом, повідомили в Нацполіції, буде проведено «відповідний каскад операцій» по викриттю учасників цього злочину. І пообіцяли: серед затриманих будуть і ті, хто купляв інформацію з незаконних баз та в подальшому використовував їх "зі злочинною метою". Більше того, правоохоронцям вдалося виявити безпосередніх осіб, які здійснювали незаконний збір інформації з першоджерел. Це – працівники фінансових, страхових установ, представники органів державної влади.
Чи лишився задоволеним після всіх цих повідомлень Володимир Фльонц, чий допис і послугував подальшому публічному розголосу проблеми. В інтерв’ю Укрінформу він висловився так: “На пресконференції було описано величезну кількість процесуальних дій. Але, зверніть увагу, майже нічого не було про те, звідки ці дані й хто відповідальний за це з боку держави".
У поліції запевняють – досудове слідство ще триває, а тому розголошувати деталі заборонено. Що ж, почекаємо.
Источник: www.ukrinform.ua
