Закон про захист персональних даних застарів, не враховує інтернет-реалії, — Віталій Мороз

В ефірі програми "Еспресо: капітал" на телеканалі Еспресо Віталій Мороз розповів, які банківські картки є найбільш безпечними і наскільки українські тех-гіганти дбають про персональні дані користувачів. Ведучий програми — економічний оглядач Андрій Яніцький.

Поговоримо про цифрові технології, про безпеку цифрових технологій і про те, як боротися з шахрайством в Інтернеті. Але розпочнемо з ДІЯ. Наша влада дуже популяризує застосунок ДІЯ. Чи є він повністю безпечним? Чи можна його встановлювати на свій смартфон і не боятися про витік якихось даних?

Серед фахівців цифрової безпеки є жарт, який стосуються відомого у 2016-му році вірусу "Петя". Кажуть, що одна з урядових інституцій повністю не постраждала, комп'ютери цієї установи не постраждали від цього вірусу. А виявляється, що у цій установі просто не було жодних комп'ютерів.

Тобто будь-які технології, якими ми користуємося, створені людьми, і тому вони вразливі. Тому все, що стосується будь-яких технологій, ми повинні розуміти, що в першу чергу від нас залежить, наскільки ми уважно ними користуємося, наскільки ми даємо доступ комусь до наших ресурсів. Сучасні продукти є більш-менш хорошими, однак і до них завжди може бути багато питань.

Що стосуються ДІЯ. Більшість додатків, якими ми користуємося, ми обираємо самостійно. Ми можемо завантажити їх на Play Market чи на Apple Store. Цей додаток пропонує уряд, і дуже багато сервісів уже зав'язані на ДІЮ. Тому багато українців навіть не хочуть користуватися, адже дуже часто це зручніше. Це сертифікат вакцинації і т.д.

Два ключових питання стосовно ДІЇ. По-перше, будь-які додатки повинні проходити незалежні аудити, які зможуть показати, чи є вразливості, чи ні. І друге, який є код: відкритий чи закритий. Код у ДІЇ є закритий. Це означає, що його не можуть подивитися зовнішні фахівці, з’ясувати, як все влаштовано, чи є якісь back door і так далі.

Back door — тобто такі таємні входи для хакерів.

Це можливість увійти у цей код і щось там змінити. Чим більш закрита інфраструктура, тим це більш непрозоро. Але в уряду є свої аргументи, що це продукт, яким користується велика кількість українців. Відповідно, у них був свій розробник, вони довіряють своєму розробнику, це одна з дуже відомих ІТ-компаній в Україні.

Однак фахівці у сфері безпеки все ще чекають, коли будуть відповіді на ці ключові питання.

Я пам'ятаю, що був скандал навколо ДІЇ. Жінка сказала, що хтось отримав кредит в мікрофінансовій організації, використовуючи нібито її паспорт в ДІЇ. Вона каже, що не встановлювала ДІЮ. Чи якось ця ситуація розв'язалася? Знайдена проблема, яка дозволила це зробити?

Щороку до кіберполіції звертаються тисячі українських громадян, які постраждали через афери в цифровому просторі. І насправді цей випадок був чи не єдиний, пов'язаний із ДІЄЮ.

Але в першу чергу це питання до користувача, тому що шахраї отримали доступ до e-mail скриньки цієї людини, потім вони отримали доступ до її мобільного телефону, який був в скриньці, а з допомогою телефона вони авторизуватися через BankID, вони отримали доступ до банківського рахунку. Потім вони створили аккаунт у ДІЇ, у неї його не було. І пробували взяти кредити у двох в українських банках, їм відмовили, і тоді вони пішли в мікрофінансову інституцію, і без її відома, без фізичної присутності цієї людини вони оформили кредит.

Це було порушення законодавства з боку мікрофінансових інституцій. Тобто зрештою це питання розв'язалися. І цей випадок не так говорить про вразливість ДІЇ, як про те, що українські користувачі доволі не уважні до своїх паролів — у них слабкі паролі. Або вони користуються сервісами, де немає двофакторної автентифікації.

Які прості рекомендації можна дати людям, щоб вони не постраждали від дій шахраїв? Які базові правила цифрової безпеки?

Є два рівня: перший рівень — це користування картками. Якщо ми користуємося банківськими картками, то є можливість фізичної втрати цієї картки. Наприклад, її можна загубити. А хтось, наприклад, на задній стороні цієї картки напише пін-код, тобто це буде доступ.

А заодно і залишок на рахунку, щоб спростити все.

Відповідно, є різні рівні надійності карток. Картки з магнітною стрічкою найменш надійні, тому що можна взяти відсканувати магнітну стрічку, скопіювати цю картку і, відповідно, скористатися нею.

Найбільш надійні — це коли є чіпи.

Також ми говоримо про користування електронними грошима. Найбільш надійно, коли ви користуєтеся Apple Pay чи Google Pay. Це коли ви картку прив’язуєте до свого смартфона. Тому що через смартфон ідентифікація може бути через розпізнавання обличчя, щоб мати доступ. Але ж таки завжди є ризики.

Може бути через відбиток пальця.

Так, може бути відбиток пальця. Але найгірше, коли, наприклад, є лінія, яку ви проводите і яку можна подивитися. Тому що телефон — це також вхід до вашого цифрового, фінансового світу. І втрата цього телефону теж може бути загрозою доступу до всіх ваших акаунтів. Тому на рівні користування електронними грошима дуже важливо захистити самі пристрої, які ви користуєтеся.

Якщо у вас є можливість обрати між Face ID, розпізнаванням обличчя чи лінією, — краще Face ID. Шестизначний код — це теж трошки краще, ніж просто лінію, яку дуже легко відтворити.

Люди бояться передавати свої відбитки пальців або обличчя великим корпораціям.

Насправді особливих загроз немає, тому що все ж таки корпорації не будуть красти гроші з банківських карток. Тобто ви захищаєте від зовнішніх ризиків. Найпростіше — це, звісно, не користуватися нічим. Наприклад, можна користуватися тільки готівкою і купувати тільки готівкою. Але з іншого боку, ця практика відходить.

Хоча будь-які транзакції, які ви робите в цифровому світі розказують багато про вас. Це є, по суті, збір ваших персональних даних.

Цифровий слід.

Цифровий слід може бути не тільки в соціальних мережах, а й у якому магазині якою карткою ви розрахувалися, що ви купили, на яку суму тощо.

У нас з дружиною спільний рахунок, і вона завжди знає, що я купую. Ми запитали людей на вулицях Києва, чи вони стикалися з шахраями в інтернеті. Не всі стикалися. Це, звісно, не соціологічне опитування, а випадкові люди на вулицях. Але були люди, які стикалися. Із відповідей я зрозумів, що справа не стільки в технологіях, скільки в соціальних технологіях.

Є поведінкові форми людини. І людина дуже часто клікає, наприклад, на фішингові листи. Фішингові листи — це листи, які приходять вам на скриньку із терміновим проханням: у вас нібито заблокована картка, відновіть; хтось із респонденток говорила, що вона ввела якийсь певний код. Насправді це може бути введення своїх даних, своєї банківської картки, на сторонньому сайті, який мімікрує під офіційний банківський сайт.

Нещодавно ПриватБанк попереджав, що від його імені розсилають sms з посиланнями, ніби отримайте 7 тис. грн за те, що ви вакцинувалися.

Так, люди клюють, тому що для них це гаряча тематика. Вони думають, що справді щось таке. Але див не буває насправді. Хоча шахраї йдуть далі, вони навіть створюють шахрайські мобільні застосунки. Наприклад, був створений універсальний мобільний застосунок, який нібито об'єднав сім ключових банків. Тобто якщо ти його встановлюєш, ти можеш користуватися одразу кількома банками. І кілька тисяч людей завантажили цей застосунок — а він виявився повністю шахрайським. Але це була проблема ще на рівні платформ. Тех-гігнати…

Пропустили.

Вони пропустили, і протягом деякого часу його можна було завантажити. Його видалили через кілька днів, але хтось, можливо, постраждав.

Ви нещодавно поводили дослідження, наскільки українські компанії соціально відповідально ставляться до персональних даних українців. І результати цього дослідження, наскільки я розумію, були не дуже оптимістичні.

Загалом вважається, що Україна є цифровим офшором. Це означає, що дані користувачів мільйонів українців впродовж останніх 30 років гуляли де завгодно, їх бачив хто завгодно, і не було особливих правил, як їх зберігати.

Ну у нас же є закон про захист персональних даних! Ми там галочку постійно ставимо десь або підпис, що я дозволяю все що завгодно.

Так, у нас є закон з 2011-го року, який не врахував реалії онлайну, Інтернету. Він застарілий. І зараз в парламенті схвалюють новий законопроєкт, який буде регулювати всі речі.

Ми робили дослідження, аби подивитися, як українські технологічні компанії, яка в них культура зберігання і управління даними мільйонів користувачів. Я абсолютно переконаний, що в Україні зароджуються свої тех-гіганти. Це Rozetka.ua, це OLX, це Нова пошта, це Київстар, Lifecell. Це всі компанії, які оперують даними мільйонів українських користувачів. І ми поставили питання у цьому дослідженні, наскільки ці компанії ставляться з повагою до приватності.

Тому що є українське законодавство, є європейські норми. І також є речі, які вимагають від компанії, наприклад, мінімізувати змінювати збір персональних даних. Наприклад, для того, щоб почати користуватися якимось сервісом можна наприклад вести свій номер телефону і своє ім'я і прізвище. А деякі компанії, наприклад, вимагають: чи є у вас діти; а який у вас рівень доходу; а які вас інтереси? Вони збирають всі ці дані для того, щоб потім їх аналізувати.

Відповідно, за результатами цього дослідження результати не зовсім втішні. Середня температура по палаті — це політики захисту персональних даних є приблизно на рівні 50%. У нас тільки три компанії отримали 70 зі 100 відсотків/балів.

Тобто чим більше — тим краще, так?

Так.

Тобто 100% ніхто не набрав?

У нас було 20 запитань, за якими вимірювали, як захищають персональні дані. У нас є три лідери — компанія OLX, ukr.net, а також Фокстрот. Вони отримали від 77 до 70 відсотків/балів.

В середньому ж вісім компаній не набрали навіть 50%. Тобто це доволі погано і їм потрібно буде багато чого змінювати. 

Тобто коли ми в супермаркеті заповнюємо квиточок на отримання бонусної картки, або коли ми реєструємося на якомусь сайті, ми передаємо свої персональні дані. І ці дані ця компанія має зберігати в якомусь надійному захищеному сховищі. І жодним іншим чином не використовувати наш телефон тощо. І якщо ви раптом після отримання бонусної картки почали отримувати sms-рекламу від сервісів таксі, то, мабуть, щось пішло не так.

Ну, в першу чергу треба зрозуміти, що коли ми погоджуємося на умови використанням, там може бути прописано дуже багато того, чого ми не розуміємо або, наприклад, не читаємо. Дуже часто ця згода на передачу персональних даних не є усвідомленою. Справді, закон вимагає, щоб ми ставили галочку. Але дуже багато компаній пишуть дрібним шрифтом: "Реєструючись на нашому сайті, ви приймаєте умови використання нашого сайту" і т.д. І це вже є порушення, тому що це не усвідомлена згода.

Тому що користувач міг не побачити цей дрібненький напис.

Також, наприклад, є питання, чи компанія описує способи передачі персональних даних третім особам. Практично усі передають якимось третім компаніям. Але про це треба чесно заявити. І дуже часто компанії не дають повний перелік, кому саме і з якою метою вони передають персональні дані.

Наприклад, якщо це сервіс доставки їжі, то, справді, це може бути передача вашого мобільного телефону кур'єру з іншої компанії, аби просто він доставив їжу за вашою адресою. Але дуже часто ці дані передаються в банки, або в інші компанії, які просто купують великі масиви даних.

Є також таке поняття, як європейські стандарти захисту персональних даних. Наприклад, політики конфіденційності дуже часто прописані на десять сторінок дуже дрібненьким шрифтом і незрозумілою мовою. Європейські регуляції кажуть: мова має бути зрозуміла навіть для дитини; об'єм не повинен перевищувати якісь обсяги. Тобто все має бути наскільки зрозуміло, щоб ви чітко усвідомили, на що ви погоджуєтеся, коли починати користуватися сервісами компанії.

Також важливо, наприклад, де зберігаються дані. Наприклад, очевидно, ніхто з наших глядачів не захотів би користуватися сервісом, який зберігає свої дані на серверах, наприклад, у Північній Кореї, в Росії чи в Білорусі.

О, 100%.

Компанії зазвичай мають прописати, що наші дані, сервери розташовані або на території України, або на території західних країн.