Закон про захист персональних даних застарів, не враховує інтернет-реалії, — Віталій Мороз

Андрій Яніцький
10 грудня, 2021 п'ятниця
12:54

Віталій Мороз — консультант цифрових технологій. Працював в організації "Інтерньюз-Україна". Там займався розвитком Школи цифрової безпеки DSS380. Магістр політології, випускник Києво-Могилянської академії. Отримав диплом магістра журналістики в Емерсон коледжі в американському місті Бостон

Зміст

В ефірі програми "Еспресо: капітал" на телеканалі Еспресо Віталій Мороз розповів, які банківські картки є найбільш безпечними і наскільки українські тех-гіганти дбають про персональні дані користувачів. Ведучий програми — економічний оглядач Андрій Яніцький.

Поговоримо про цифрові технології, про безпеку цифрових технологій і про те, як боротися з шахрайством в Інтернеті. Але розпочнемо з ДІЯ. Наша влада дуже популяризує застосунок ДІЯ. Чи є він повністю безпечним? Чи можна його встановлювати на свій смартфон і не боятися про витік якихось даних?

Серед фахівців цифрової безпеки є жарт, який стосуються відомого у 2016-му році вірусу "Петя". Кажуть, що одна з урядових інституцій повністю не постраждала, комп'ютери цієї установи не постраждали від цього вірусу. А виявляється, що у цій установі просто не було жодних комп'ютерів.

Тобто будь-які технології, якими ми користуємося, створені людьми, і тому вони вразливі. Тому все, що стосується будь-яких технологій, ми повинні розуміти, що в першу чергу від нас залежить, наскільки ми уважно ними користуємося, наскільки ми даємо доступ комусь до наших ресурсів. Сучасні продукти є більш-менш хорошими, однак і до них завжди може бути багато питань.

Що стосуються ДІЯ. Більшість додатків, якими ми користуємося, ми обираємо самостійно. Ми можемо завантажити їх на Play Market чи на Apple Store. Цей додаток пропонує уряд, і дуже багато сервісів уже зав'язані на ДІЮ. Тому багато українців навіть не хочуть користуватися, адже дуже часто це зручніше. Це сертифікат вакцинації і т.д.

Два ключових питання стосовно ДІЇ. По-перше, будь-які додатки повинні проходити незалежні аудити, які зможуть показати, чи є вразливості, чи ні. І друге, який є код: відкритий чи закритий. Код у ДІЇ є закритий. Це означає, що його не можуть подивитися зовнішні фахівці, з’ясувати, як все влаштовано, чи є якісь back door і так далі.

Back door — тобто такі таємні входи для хакерів.

Це можливість увійти у цей код і щось там змінити. Чим більш закрита інфраструктура, тим це більш непрозоро. Але в уряду є свої аргументи, що це продукт, яким користується велика кількість українців. Відповідно, у них був свій розробник, вони довіряють своєму розробнику, це одна з дуже відомих ІТ-компаній в Україні.

Однак фахівці у сфері безпеки все ще чекають, коли будуть відповіді на ці ключові питання.

Я пам'ятаю, що був скандал навколо ДІЇ. Жінка сказала, що хтось отримав кредит в мікрофінансовій організації, використовуючи нібито її паспорт в ДІЇ. Вона каже, що не встановлювала ДІЮ. Чи якось ця ситуація розв'язалася? Знайдена проблема, яка дозволила це зробити?

Щороку до кіберполіції звертаються тисячі українських громадян, які постраждали через афери в цифровому просторі. І насправді цей випадок був чи не єдиний, пов'язаний із ДІЄЮ.

Але в першу чергу це питання до користувача, тому що шахраї отримали доступ до e-mail скриньки цієї людини, потім вони отримали доступ до її мобільного телефону, який був в скриньці, а з допомогою телефона вони авторизуватися через BankID, вони отримали доступ до банківського рахунку. Потім вони створили аккаунт у ДІЇ, у неї його не було. І пробували взяти кредити у двох в українських банках, їм відмовили, і тоді вони пішли в мікрофінансову інституцію, і без її відома, без фізичної присутності цієї людини вони оформили кредит.

Це було порушення законодавства з боку мікрофінансових інституцій. Тобто зрештою це питання розв'язалися. І цей випадок не так говорить про вразливість ДІЇ, як про те, що українські користувачі доволі не уважні до своїх паролів — у них слабкі паролі. Або вони користуються сервісами, де немає двофакторної автентифікації.

Які прості рекомендації можна дати людям, щоб вони не постраждали від дій шахраїв? Які базові правила цифрової безпеки?

Є два рівня: перший рівень — це користування картками. Якщо ми користуємося банківськими картками, то є можливість фізичної втрати цієї картки. Наприклад, її можна загубити. А хтось, наприклад, на задній стороні цієї картки напише пін-код, тобто це буде доступ.

А заодно і залишок на рахунку, щоб спростити все.

Відповідно, є різні рівні надійності карток. Картки з магнітною стрічкою найменш надійні, тому що можна взяти відсканувати магнітну стрічку, скопіювати цю картку і, відповідно, скористатися нею.

Найбільш надійні — це коли є чіпи.

Також ми говоримо про користування електронними грошима. Найбільш надійно, коли ви користуєтеся Apple Pay чи Google Pay. Це коли ви картку прив’язуєте до свого смартфона. Тому що через смартфон ідентифікація може бути через розпізнавання обличчя, щоб мати доступ. Але ж таки завжди є ризики.

Може бути через відбиток пальця.

Так, може бути відбиток пальця. Але найгірше, коли, наприклад, є лінія, яку ви проводите і яку можна подивитися. Тому що телефон — це також вхід до вашого цифрового, фінансового світу. І втрата цього телефону теж може бути загрозою доступу до всіх ваших акаунтів. Тому на рівні користування електронними грошима дуже важливо захистити самі пристрої, які ви користуєтеся.

Якщо у вас є можливість обрати між Face ID, розпізнаванням обличчя чи лінією, — краще Face ID. Шестизначний код — це теж трошки краще, ніж просто лінію, яку дуже легко відтворити.

Люди бояться передавати свої відбитки пальців або обличчя великим корпораціям.

Насправді особливих загроз немає, тому що все ж таки корпорації не будуть красти гроші з банківських карток. Тобто ви захищаєте від зовнішніх ризиків. Найпростіше — це, звісно, не користуватися нічим. Наприклад, можна користуватися тільки готівкою і купувати тільки готівкою. Але з іншого боку, ця практика відходить.

Хоча будь-які транзакції, які ви робите в цифровому світі розказують багато про вас. Це є, по суті, збір ваших персональних даних.

Цифровий слід.

Цифровий слід може бути не тільки в соціальних мережах, а й у якому магазині якою карткою ви розрахувалися, що ви купили, на яку суму тощо.

У нас з дружиною спільний рахунок, і вона завжди знає, що я купую. Ми запитали людей на вулицях Києва, чи вони стикалися з шахраями в інтернеті. Не всі стикалися. Це, звісно, не соціологічне опитування, а випадкові люди на вулицях. Але були люди, які стикалися. Із відповідей я зрозумів, що справа не стільки в технологіях, скільки в соціальних технологіях.

Є поведінкові форми людини. І людина дуже часто клікає, наприклад, на фішингові листи. Фішингові листи — це листи, які приходять вам на скриньку із терміновим проханням: у вас нібито заблокована картка, відновіть; хтось із респонденток говорила, що вона ввела якийсь певний код. Насправді це може бути введення своїх даних, своєї банківської картки, на сторонньому сайті, який мімікрує під офіційний банківський сайт.

Нещодавно ПриватБанк попереджав, що від його імені розсилають sms з посиланнями, ніби отримайте 7 тис. грн за те, що ви вакцинувалися.

Так, люди клюють, тому що для них це гаряча тематика. Вони думають, що справді щось таке. Але див не буває насправді. Хоча шахраї йдуть далі, вони навіть створюють шахрайські мобільні застосунки. Наприклад, був створений універсальний мобільний застосунок, який нібито об'єднав сім ключових банків. Тобто якщо ти його встановлюєш, ти можеш користуватися одразу кількома банками. І кілька тисяч людей завантажили цей застосунок — а він виявився повністю шахрайським. Але це була проблема ще на рівні платформ. Тех-гігнати…

Пропустили.

Вони пропустили, і протягом деякого часу його можна було завантажити. Його видалили через кілька днів, але хтось, можливо, постраждав.

Ви нещодавно поводили дослідження, наскільки українські компанії соціально відповідально ставляться до персональних даних українців. І результати цього дослідження, наскільки я розумію, були не дуже оптимістичні.

Загалом вважається, що Україна є цифровим офшором. Це означає, що дані користувачів мільйонів українців впродовж останніх 30 років гуляли де завгодно, їх бачив хто завгодно, і не було особливих правил, як їх зберігати.

Ну у нас же є закон про захист персональних даних! Ми там галочку постійно ставимо десь або підпис, що я дозволяю все що завгодно.

Так, у нас є закон з 2011-го року, який не врахував реалії онлайну, Інтернету. Він застарілий. І зараз в парламенті схвалюють новий законопроєкт, який буде регулювати всі речі.

Ми робили дослідження, аби подивитися, як українські технологічні компанії, яка в них культура зберігання і управління даними мільйонів користувачів. Я абсолютно переконаний, що в Україні зароджуються свої тех-гіганти. Це Rozetka.ua, це OLX, це Нова пошта, це Київстар, Lifecell. Це всі компанії, які оперують даними мільйонів українських користувачів. І ми поставили питання у цьому дослідженні, наскільки ці компанії ставляться з повагою до приватності.

Тому що є українське законодавство, є європейські норми. І також є речі, які вимагають від компанії, наприклад, мінімізувати змінювати збір персональних даних. Наприклад, для того, щоб почати користуватися якимось сервісом можна наприклад вести свій номер телефону і своє ім'я і прізвище. А деякі компанії, наприклад, вимагають: чи є у вас діти; а який у вас рівень доходу; а які вас інтереси? Вони збирають всі ці дані для того, щоб потім їх аналізувати.

Відповідно, за результатами цього дослідження результати не зовсім втішні. Середня температура по палаті — це політики захисту персональних даних є приблизно на рівні 50%. У нас тільки три компанії отримали 70 зі 100 відсотків/балів.

Тобто чим більше — тим краще, так?

Так.

Тобто 100% ніхто не набрав?

У нас було 20 запитань, за якими вимірювали, як захищають персональні дані. У нас є три лідери — компанія OLX, ukr.net, а також Фокстрот. Вони отримали від 77 до 70 відсотків/балів.

В середньому ж вісім компаній не набрали навіть 50%. Тобто це доволі погано і їм потрібно буде багато чого змінювати. 

Тобто коли ми в супермаркеті заповнюємо квиточок на отримання бонусної картки, або коли ми реєструємося на якомусь сайті, ми передаємо свої персональні дані. І ці дані ця компанія має зберігати в якомусь надійному захищеному сховищі. І жодним іншим чином не використовувати наш телефон тощо. І якщо ви раптом після отримання бонусної картки почали отримувати sms-рекламу від сервісів таксі, то, мабуть, щось пішло не так.

Ну, в першу чергу треба зрозуміти, що коли ми погоджуємося на умови використанням, там може бути прописано дуже багато того, чого ми не розуміємо або, наприклад, не читаємо. Дуже часто ця згода на передачу персональних даних не є усвідомленою. Справді, закон вимагає, щоб ми ставили галочку. Але дуже багато компаній пишуть дрібним шрифтом: "Реєструючись на нашому сайті, ви приймаєте умови використання нашого сайту" і т.д. І це вже є порушення, тому що це не усвідомлена згода.

Тому що користувач міг не побачити цей дрібненький напис.

Також, наприклад, є питання, чи компанія описує способи передачі персональних даних третім особам. Практично усі передають якимось третім компаніям. Але про це треба чесно заявити. І дуже часто компанії не дають повний перелік, кому саме і з якою метою вони передають персональні дані.

Наприклад, якщо це сервіс доставки їжі, то, справді, це може бути передача вашого мобільного телефону кур'єру з іншої компанії, аби просто він доставив їжу за вашою адресою. Але дуже часто ці дані передаються в банки, або в інші компанії, які просто купують великі масиви даних.

Є також таке поняття, як європейські стандарти захисту персональних даних. Наприклад, політики конфіденційності дуже часто прописані на десять сторінок дуже дрібненьким шрифтом і незрозумілою мовою. Європейські регуляції кажуть: мова має бути зрозуміла навіть для дитини; об'єм не повинен перевищувати якісь обсяги. Тобто все має бути наскільки зрозуміло, щоб ви чітко усвідомили, на що ви погоджуєтеся, коли починати користуватися сервісами компанії.

Також важливо, наприклад, де зберігаються дані. Наприклад, очевидно, ніхто з наших глядачів не захотів би користуватися сервісом, який зберігає свої дані на серверах, наприклад, у Північній Кореї, в Росії чи в Білорусі.

О, 100%.

Компанії зазвичай мають прописати, що наші дані, сервери розташовані або на території України, або на території західних країн.
 



 
Теги:
Читайте також:
Київ
+18.1°C
  • Київ
  • Львів
  • Вінниця
  • Дніпро
  • Донецьк
  • Житомир
  • Запоріжжя
  • Івано-Франківськ
  • Кропивницкий
  • Луганськ
  • Луцьк
  • Миколаїв
  • Одеса
  • Полтава
  • Рівне
  • Суми
  • Сімферополь
  • Тернопіль
  • Ужгород
  • Харків
  • Херсон
  • Хмельницький
  • Черкаси
  • Чернівці
  • Чернигів
  • Біла Церква
  • Актуальне
  • Важливе
2026, середа
8 липня
07:23
РФ атакувала вночі Київ, Харків і Запоріжжя: є постраждалі
2026, вiвторок
7 липня
23:04
Оновлено
обшуки 7 липня у справі про ймовірне завищення цін на дрони
ДБР провело обшуки у Vyriy Industries у справі про можливе завищення ціни БПЛА. Що каже власник компанії Бабенко
22:59
Другий день блекауту в Криму: електропостачання вдалося відновити тільки в одному місті
22:58
пальне росія
Росіяни масово шукають в інтернеті рецепти саморобного бензину на тлі паливної кризи в РФ
22:30
Оновлено
Реактивний перехоплювач Griffen вперше в Україні збив ворожий "шахед" у бойових умовах
Реактивний перехоплювач Griffen вперше в Україні збив ворожий "шахед" у бойових умовах, а на фронті — 219 зіткнень. Підсумки роботи СОУ на вечір 7 липня
22:27
Естонія втратила право на проведення чемпіонату Європи зі стрільби через відмову допустити спортсменів із РФ та Білорусі
22:20
Система ППО Patriot
"Перехоплювачів ніколи не буде достатньо": у НАТО назвали головний спосіб боротьби з балістикою РФ
22:08
Росія світ Володимир Путін нафта
Ціна російської нафти впала до $40 за барель
22:03
Дмитро Пєсков
Пєсков: Росія готова застосувати ядерну зброю, якщо буде загроза існуванню держави
21:51
Оновлено
Міжнародний олімпійський комітет
МОК призупинив дискваліфікацію Олімпійського комітету РФ. Україна назвала рішення кроком до легітимізації агресора
21:50
рубль
Apple прибирає з App Store платіжний застосунок "Яндекса"
21:31
РФ ударила по Одещині балістикою, а Запоріжжя атакувала безпілотником: є постраждалі, спалахнули пожежі
21:27
Ексклюзив
дощь, гроза, парасоля, негода
Сильні зливи об'єднаються зі штормовим вітром: синоптикиня Діденко про погоду 8 липня
21:20
Ексклюзив
Віталій Портников
Вся ідея національного пантеону буде розбиватися об одну просту річ, бо це буде "недопантеон", - Портников
21:19
Ліонель Мессі
Мессі, як Мюнхаузен, витягнув Аргентину у матчі з Єгиптом і тепер чекає на результат матчу Швейцарії з Колумбією, де європейці спробують здолати своє прокляття: розклад матчів 1/8 фіналу ЧС-2026
21:16
Ексклюзив
ракетний комплекс "Іскандер-М"
Росія може мати на зберіганні сотні ракет балістичного типу, - авіаексперт Долінце
20:54
НАТО прапор у Києві
"Росія навчається так само швидко, як і ми": у НАТО оцінили вікно можливостей для України у 6-9 місяців
20:53
Ексклюзив
У Вишневому працюють близько 1000 працівників ДСНС та поліції, - Київська ОВА
20:35
Місто Вишневе Бучанського району Київської області
У Генштабі заявили, що об'єкт у Вишневому, де сталася детонація після удару РФ, не підпорядковується ЗСУ
20:01
OPINION
Саме поляки навчили українців тероризму та інтегральному націоналізму
19:52
Оновлено
Зеленський під час візиту до Швеції
Саміт НАТО в Анкарі: 900 млн доларів від Канади, дронові угоди з Естонією і Нідерландами та перемовини з Рютте про ракети для ППО
19:48
Оновлено
Убивство ймовірної виконавиці замаху на Єрмолаєва в Монако: двом затриманим вручили підозри
19:39
у Омську горять нафтопродукти
Найбільший завод РФ, Омський НПЗ, зупинив переробку нафти після удару українських дронів, — Reuters
19:30
Віталій Портников
"Санкції перетворюються на зручний інструмент і національну ганьбу": Портников прокоментував обмеження щодо Берези
19:17
Ексклюзив
Всередині комплексу багато чого є, цей успіх треба закріпити: Гончар про удар по Омському НПЗ у РФ
18:43
Оновлено
Борислав Береза
Екснардеп Береза відреагував на своє включення до санкційного списку, куди Зеленський також вніс компанії ВПК РФ і пропагандистів
18:09
Оновлено
війна з Росією Белгородська область безпілотники ППО
Сили оборони уразили 10 танкерів тіньового флоту РФ і 5 електропідстанцій у Криму, в Білгороді "масована ракетна атака", а на Москву летіло 400 дронів
17:59
Федоров розкрив деталі двоетапної операції "Ашан": уражено 1180 цілей, наступ ворога зупинили на пів року
Федоров розкрив деталі двоетапної операції "Ашан": уражено 1180 цілей, наступ ворога зупинили на пів року
17:54
OPINION
Санкції проти Берези: очевидна перешкода на нашому шляху до євроінтеграції
17:52
У Варшаві розгромили галерею, власниця якої продемонструвала жест незгоди з антиукраїнськими гаслами
17:34
ЄС ППО
Дев'ять країн ЄС закликали закупити для України американські ракети ППО за кошти оборонного фонду
17:27
Ексклюзив
Печерський суд
Такого не було навіть за Януковича: Дарія Каленюк про заборону Печерського суду публікувати розслідування про нерухомість брата директора ДБР
17:27
Італія заарештувала ексагентів розвідки за підозрою у продажі секретів Москві
17:26
Дональд Трамп
"Це справжня різанина, і вона має зупинитися": Трамп на саміті НАТО заявив, що Путін і Зеленський хочуть завершити війну
17:05
У Німеччині спецслужби затримали двох імовірних агентів РФ, які готували диверсію, - Bild
17:01
OPINION
Фото, соплі і ракети. Про що б я запитала німецького євродепутата
16:36
ППО Москва
Навколо Москви на МКАДі розгортають нові системи ППО
16:30
Огляд
Марін Ле Пен
Суд відкрив ультраправій Марін Ле Пен шлях до виборів: як рішення апеляції може змінити політичне майбутнє Франції та ЄС
16:25
Володимир Зеленський
Європі потрібна протиракетна оборона вже сьогодні, а НАТО без України — це Альянс не для сучасних викликів, — Зеленський
16:17
Російський літак, який розбирають на запчастини через санкції
Росія намагалася домовитися про імпорт авіапального з Японії, у Токіо дали відповідь
Більше новин