Думка експерта
Чи справді ваші дані персональні? Чому в Україні недосконала політика захисту персональних даних та що з цим робити?
Кожного разу, коли я ставлю «галочку» про надання згоди на обробку своїх персональних даних при отриманні послуг, ловлю себе на думці: а якщо станеться витік?
Уся причина в тому, що працюючи з державними реєстрами та базами, я постійно стикаюся з трьома факторами, які так чи інакше призводять до витоку даних: порушення при зборі та зберіганні персональних даних; затребувані дані вже є в доступних для організації базах даних чи реєстрах; несанкціонована передача персональних даних третім особам. При тому, чим більше суспільство автоматизується, тим більше персональних даних витікає у відкритий доступ. Єдина держава, яка не втрачала дані — це та, в якої цих даних немає.
Витік персональних даних може призвести не лише до «незручних» наслідків у вигляді спам-розсилок, а й до репутаційних та фінансових втрат як особи, чиї дані було викрадено, так і організації, яка їх зберігала. Й навіть найрозвинутіші країни не захищені від помилок повністю. Наведу приклади подібних кейсів.
Персональні дані
У 2020 році стався масштабний витік персональних даних майже 6,5 млн громадян Ізраїлю. Джерелом витоку став додаток для голосування Elector. Тоді практично весь реєстр виборців міг завантажити будьхто. А причина полягала в звичайній недбалості розробників: у коді програми у відкритому вигляді було прописано АРІ, що дозволяло отримати перелік всіх користувачів системи з незашифрованими паролями. Оскільки розробником додатку була партія прем’єр-міністра «Лікуд», витік завдав їй досить сильного репутаційного удару.
Із паперу в цифру: що дає водіям цифровий ринок автоцивілок?
Особисто я не люблю, коли мені нав’язують послуги компанії, яким я не залишала свій номер телефону та особисті дані. Це — незручно, але можна пробачити. Однак, коли в телеграм-каналі будь-хто за кілька сотень гривень може побачити мої персональні дані — ідентифікаційний номер, адресу, телефон (в тому числі стаціонарний), е-мейл, автівку та нерухомість — це вже пряма загроза для моєї безпеки, як людини та підприємця. Для повного комплекту не вистачало балансу за кредитними та депозитними картками. До речі, цей канал був героїчно «закритий» правоохоронними службами, але ненадовго. Нещодавно він знову з’явився й оголосив про оновлення своєї бази. Якщо ви песиміст і вважаєте, що гірше, ніж в Україні, не буває, хочу вас запевнити — буває. Наприклад, в кінці 2020 року в мережі з’явилися персональні дані 243 млн бразильців. Ця цифра особливо цікава з огляду на те, що на 2018 рік в Бразилії проживало всього 209,5 млн осіб. Пояснення просте: понад 30 млн записів — це персональні дані померлих осіб.
Причина витоку не хакерська атака, а людська недбалість. На сайті Міністерства охорони здоров’я Бразилії в програмному коді інтернет-сторінки були збережені логін та пароль до бази даних. В результаті публічними стали імена, адреси, телефони, е-мейли, ідентифікаційні номери не лише осіб, зареєстрованих у державній системі страхування здоров’я, а й тих, хто був зареєстрований у приватних компаніях. До речі, доступ до цих даних був відкритий понад півроку.
Чорний патерн
У політиці захисту персональних даних можна виділити порушення, пов’язані з дизайн-концептом (dark patterns). Це хитрощі, на які йдуть розробники задля маніпуляції поведінкою користувача на сайті. Наприклад, спливаюча реклама з малесеньким прозорим хрестиком закриття вікна в кутку. На нього майже неможливо натиснути і як результат — користувач потрапляє на сторінку реклами.
Або кнопка «Згоден» велика, яскрава й жирна, а кнопка поряд «Відмовити» маленька, сіра та непомітна. В Україні така практика не є заборонена, однак в Європі за таке можна отримати чималий штраф.
Свого часу користувачі іспанського банку BBVA почали отримувати SMS-рекламу, на яку вони не давали згоду. При введенні номера телефона для банківської ідентифікації, користувачі неявно погоджувались із розсиланням на їх номер реклами. Вистачило 5 скарг громадян для того, щоб банк оштрафували на 5 млн євро — 2 млн євро за непрозору політику приватності та 3 млн євро за не правильно отриману згоду.
Чутливі дані
Окремо хочеться торкнутися безпеки так званих «чутливих даних» (sensitive data). Це дані, які здебільшого зберігаються в недержавних організаціях і часто стосуються здоров’я особи, її релігійних чи політичних поглядів тощо. Ці дані не завжди потрапляють під визначення персональних, однак їх витік може нанести значної репутаційної, моральної, а іноді й фізичної шкоди особі. В грудні 2020 року хакерська група REvil викрала чутливі дані 11 приватних клінік пластичної хірургії косметологічної компанії Transform Hospital Group у Великобританії. У зловмисників опинилося понад 900 Гб фотокарток клієнтів клініки у форматі «до — після операції». Здебільшого це були фотокартки операцій по схудненню та корекції частин тіла.
Хакери обіцяють оприлюднити ці фотокартки та пропонують компанії їх викупити. Тобто — звичайний інтернет-шантаж. Хоча глава мережі заявив, що на фото відсутні обличчя, цей інцидент негативно вплинув на репутацію закладу та змусив сильно понервувати клієнтів клінік.
Чутливі дані медичних центрів цінують на чорному ринку даних значно більше, ніж номери кредитних рахунків. Саме тому медичні центри найчастіше стають об’єктами атак. До речі, на 2021 рік в планах уряду щодо цифровізації послуг вказано запуск електронного лікарняного. І особисто в мене буде багато питань до системи їх обробки та зберігання, враховуючи низький рівень захищеності персональних даних в Україні.
Так що ж робити?
Як би це банально не звучало — потрібно захищати дані. А це дуже дорого. Особливо якщо на початку проектування інформаційних систем не було виділено достатньо ресурсів та часу на забезпечення захисту даних, що зберігаються чи обробляються в цих системах. До того ж, не кожний бізнес погодиться добровільно вкладати кошти на доопрацювання систем, допоки не зіштовхнеться з фактом витоку даних. Те ж саме стосується державних установ: здебільшого, бюджет на захист даних або взагалі не закладається, або закладається, але значно урізаний до вимог реальних потреб.
А отже повертаємося до догми: «порятунок потопаючого — справа рук самого потопаючого». Потрібно брати приклад з громадян європейських країн та відстоювати свої права на захист персональних даних. Якщо ви зіткнулися з витоком даних, спам-розсилкою, sms та/або телефонним спамом, то негайно пишіть заяву до регіонального офісу уповноваженого з прав людини, кіберполіції України або зверніться у ГО «Електронна республіка» яка допоможе вам написати подібні заяви. Не чекайте змін, створюйте прецеденти.
Джерело: Юридичний вісник України