Напередодні стало відомо, що у відкритому доступі з’явилися документи та персональні дані понад 26 мільйонів українців. Їх видавав бот у месенджері Telegram.
У Мінцифри пояснили сайту 24 каналу, чому так сталося і як відомство збирається боротися з неофіційними реєстрами та витоками надалі.
Про який витік даних ідеться?
12 травня з’явилася інформація про Telegram-бот, який видає персональні дані та документи українців. Зокрема, у відкритому доступі опинилися 26 млн посвідчень водія.
Очільник громадської організації "Електронна демократія" Володимир Фльонц зазначив, що бот має дані держреєстру, а також бази "Нової пошти" та паролі з соцмереж Вконтакте і LinkedIn.
Розробники "Дії" одразу пояснили: додаток не зберігає дані користувачів, і, відповідно, не має бази даних. Тому і передавати їх не може. Наразі справою займається СБУ та МВС, а сам бот видалено.
Деякі користувачі підтверджують: ці бази "гуляють" у мережі вже давно і в них, подекуди, даних більше, ніж у самій "Дії".
Як це пояснюють у Мінцифри?
У Міністерстві цифрової трансформації розповіли, що спостерігають таку ситуацію: даних людей, які нещодавно оновлювали документи (наприклад,після 2018 року), або отримали нові, у боті не було. Натомість є дані тих, хто робив це давно – ще до 2013 року. Їхні дані не відображаються в "Дії", а в цьому боті вони були. Як і втрачені документи, які люди нещодавно відновлювали.
Коментарі з соцмереж / скріншот Мінцифри
Це може говорити про те, що, умовно кажучи, сучасний реєстр їм зламати не вдалося. Хоча, швидше за все, були такі спроби. Тому вони просто зміксували реєстри, які так чи інакше блукали інтернетом, і створили бота, який усю цю інформацію підтягує,
– зазначили у Мінцифри.
Однак, Telegram-бот – це лише програма. Ця інформація зібрана на сервері і от його пошуком зараз займаються. Крім того, важливо розкрити, чиїх це рук справа.
Наразі у відомстві з’ясували, що все, що було злито по банківських даних – це стара база "Приватбанку" (ще до націоналізації).
База даних "Фінанси" – це застаріла інформація "Приватбанку" / скріншот із соцмережі
Є дані й, наприклад, зі старої бази клієнтів "Нової пошти" – все це було вказано у самому боті.
Бот показував, звідки дані / скріншот Мінцифри
Крім того, бот "підтягував" паролі соцмереж ВКонтакте і LinkedIn – цими даними, як стверджують у Мінцифри, точно ніколи не володіла держава.
Як держава планує боротися з неофіційними базами?
Сам очільник міністерства Михайло Федоров підтвердив, що ці дані роками "блукали" Даркнетом. І у відомстві пояснили: з цим почали боротися ще задовго до інциденту.
Наприклад, запровадили аудит усіх державних реєстрів. Зокрема, їх перевірку на безпечність. Сьогодні, за інформацією Мінцифри, в Україні – понад 350 реєстрів. Більше 200 з них містять дані про громадян – тривалий час так було, що ледь не кожне відомство створювало свою власну базу і це ніяк не контролювалося.
Минулого року прийняли ініційований Мінцифри закон, який регламентує ведення реєстрів. Там чітко зазначається, що кожен запис у реєстрі має залишати цифровий слід. Тобто залишається запис, який чиновник, коли цікавився якими даними у реєстрі і що саме він з ними робив. Таким чином можна перевірити, чи це було санкціоновано, чи ні. "Це суттєво підвищує відповідальність чиновників щодо ведення реєстрів", – зазначили у відомстві.
Тут наводять приклад реєстру ДАБІ (Державна архітектурно-будівельна інспекція України), який знаходився на території ЄС і країна по суті ним не володіла. А це – ключовий реєстр по будівництву. Міністерство звернулося до правоохоронних органів, було порушено кримінальну справу і взимку реєстр повернули в Україну. Зараз його змінюють повністю.
Крім того, у цьому реєстрі була закладка, яка називалася дослівно "не світити". Суть у тому, що, коли люди подавали свої дані про будівництво, наприклад, щоб ввести збудований будинок у експлуатацію, то від 3 до 5 днів ці дані ніяк не відображалися у реєстрі. За цей період їм пропонували за винагороду пришвидшити цей процес. Зараз цю закладку у реєстрі забрали.
Ще один приклад – схеми при реєстрації автомобілів: коли за одним реєстраційним номером їздить декілька авто. І, наприклад, власник першої зареєстрованої за таким номером машини може навіть не знати про це. Зараз "Дія" показує конкретні дані і людина чітко бачить, що на нього зареєстровано і скільки.
Тобто реєстри – це дуже корупційна історія. І, оскільки ми за неї взялися, то, як розуміємо, нам почали вставляти палиці у колеса. Виходить так, що ми просто підірвали такий "гнійник", який ламає багато схем,
– пояснили у Мінцифри.
Михайло Федоров це також пов’язує з тим, що буквально минулого тижня у відомстві повідомили, що будуть проводити аудит базових реєстрів і підключать до того, зокрема, СБУ – у процесі створення сучасного державного бета-центру. Щоб зрозуміти, в якому вони реально стані.
Як збираються уникати подібних витоків у майбутньому?
Уже тривалий час усі реєстри поступово підключають до системи "Трембіта", яка дозволяє взаємодіяти між ними. Це робиться децентралізовано: якщо навіть хтось зламає один кластер – він жодної інформації не отримає, а зламати всю систему неможливо.
Для того, щоб успішно підключити реєстр до "Трембіти", він повинен мати відповідний технічний рівень, зазначили у Мінцифри, тому на це потрібен час:
Зараз деякі реєстри – це банально Excel-таблиці, як би це страшно не звучало. І ці дані, звісно, зовсім незахищені.
У відомстві переконані: базових реєстрів повинно бути десь 7, як у багатьох країнах світу. І за ними буде належний догляд: має чітко фіксуватися, хто і навіщо цікавиться даними з реєстру, вносить їх туди та чи це все законно.
Що таке "Дія"?Сервіс від Міністерства цифрової трансформації, що має об’єднати державні послуги та документи в електронній формі. Наразі у додатку доступні, зокрема, ID-картка, закордонний паспорт українців, посвідчення водія, студентський та військовий квитки.
Це – складова масштабного проєкту уряду в рамках ідеї "держава в смартфоні". До кінця 2020 року планують оцифрувати до 50 найпоширеніших державних послуг, усі – протягом 3 років.