Министерство цифровой информации и правоохранительные органы отчитались о расследовании скандала, связанного с утечкой информации якобы с портала "Дія".

Напомним, в прошлом месяце стало известно, что неизвестные торгуют персональными данными украинцев в телеграм-канале UA Baza. Народный депутат Александр Дубинский заявлял, что утечка произошла из портала "Дія".

"Мне кажется, что такие информационные атаки, которые состоялись, это определенные мероприятия по дискредитации того, что вообще происходит хорошего в нашем государстве. В отношении тех проектов, которые мы разрабатываем, по созданию цифрового государства", – заявил министр цифровой трансформации Михаил Федоров на брифинге, состоявшемся 25 июня.

Дія и скандал. Кто виноват в сливе персональных данных миллионов украинцев

Как правоохранители искали утечку персональных данных

Заместитель министра внутренних дел Сергей Гончаров рассказал, что за последние полтора месяца МВД провела масштабную работу с привлечением более 400 сотрудников Национальной полиции, Киберполиции и Службы безопасности (СБУ). В результате правоохранители изъяли копии около 30 баз данных государственных, банковских и коммерческих учреждений. По его словам, на них содержалась информация о свыше 20 млн физических и юридических лиц.

Защита персональных данных Украинцев – где слабые места - фото 2

Он отметил, что далеко не всегда утечки данных происходили в результате хакерских атак. Зачастую причинами подобных инцидентов была служебная халатность или желание подзаработать. Например, какой-нибудь администратор принимал решение выставить на продажу базы данных, к которым по работе имел доступ.

Защита персональных данных Украинцев – где слабые места - фото 3

Правоохранители нашли владельцев UA BAZA (Official Bot). Именно этот Телеграмм-ресурс спровоцировал скандал вокруг портала "Дія" в прошлом месяце. Об этом сообщил первый заместитель начальника Департамента киберполиции Сергей Кропива. По его словам, персональные данные там продавались по цене $8-10 тыс.

Защита персональных данных Украинцев – где слабые места - фото 4

Как правительство будет защищать данные

Михаил Федоров отметил, что в ближайшее время Минцифры планирует провести хакатон. Его цель – предоставить "белым хакерам" возможность взломать портал "Дія". Это широко используемая в IT практика bug bounty – поиск уязвимостей за вознаграждение, пояснил он.

По его словам, Минцифры намерено бороться и превентивно, а "не только бороться с симптомами".

"Поэтому сегодня мы работаем над защитой реестров, где хранятся персональные данные украинцев. Мы работаем над тем, чтобы централизовать эти реестры, обновить и сделать так, чтобы у нас не было ни единой возможности к появлению таких ситуаций", – подчеркнул Михаил Федоров.

Он отметил, что проблемы с утечками персональных данных в Украине "существуют уже десятки лет". Более того, с подобными проблемами сталкиваются и Facebook, и Google, и Telegram. "Это вызов 21-го столетия", – констатировал глава Минцифры.

СНБО начал расследование о возможном взломе базы данных Приватбанка

Михаил Федоров выразил надежду, что за ближайший год с помощью правоохранителей удастся "навести полный порядок" в данной сфере. При этом он считает целесообразным централизовать государственные реестры.

Сохранить персональные данные поможет неотвратимость наказания

Опрошенные UBR.ua эксперты настроены не столь оптимистично. По словам советника секретаря СНБО на общественных началах Юрия Мелащенко, "нужно менять законодательство". Например, ввести штрафы и уголовную ответственность для должностных лиц и руководителей коммерческих предприятий.

"Если люди будут понимать, что они сядут в тюрьму, если будет утечка, они будут вкладывать сами деньги в самых лучших специалистов и самые лучшие технологии по защите этих данных", – убежден он. Помимо этого, нужно регулярно проводить обучение по кибербезопасности и стресс-тесты: "Чтобы люди, занимающиеся защитой персональных данных, не расслаблялись".

По поводу централизации реестров Юрий Мелащенко придерживается иного мнения. Сначала надо провести их аудит и не объединять в одно целое, убежден он. Поскольку централизованную базу данных всех граждан Украины будет легче атаковать – у злоумышленников будет только одна цель, объяснил он.

"К сожалению, сегодня в Украине культура защиты персональных данных находится на довольно низком уровне", – отметил в комментарии для UBR.ua технический директор GigaCloud Кирилл Науменко.

По его словам, в корпоративном сегменте уже начали понимать важность влияния этого вопроса на бизнес-процессы. Это не в последнюю очередь произошло благодаря принятию европейского стандарта защиты данных GDPR. А вот в государственном секторе фактически нет понимания того, как и зачем защищать персональные данные, подчеркнул техдиректор GigaCloud.

"На эту ситуацию можно и нужно влиять, проводя постоянные обучающие мероприятия для госчиновников, объяснять, что такое информация с ограниченным доступом и конфиденциальная информация, в чем ее отличие от персональных данных и т.д.", – убежден он. 

Рынок открытых данных. Почему от властей требуют обнародовать финотчетность компаний

Таким образом можно избавить госструктуры от утечек информации, которые происходят по незнанию или безответственности отдельных сотрудников.

В качестве действенных мер по хранению критически важной информации Кирилл Науменко привел перечень методов, опробованных за рубежом.

Лучшие мировые технические практики по защите данных:

  • согласование матрицы доступа к данным, которая регулирует как, кто и с какими правами может иметь к ним доступ. Можно и нужно использовать специальные политики создания и контроля учетных записей с привилегированным доступом (для администраторов, офицеров по безопасности, разработчиков БД);
  • если данные нужно передавать третьим лицам (к примеру, разработчикам подрядной организации), поднимается вопрос маскировки и псевдонимизации данных. Правда, это дорогое удовольствие, которое, к сожалению, не все могут себе позволить;
  • персональные данные должны храниться в зашифрованных хранилищах (ради их безопасности в случае кражи-выемки оборудования или диска) и под постоянным физическим контролем (лучше всего ― в хорошо защищенном дата-центре с использованием современных облачных технологий);
  • все данные должны иметь контроль целостности файлов (контроль того, что в эти данные не вносились изменения);
  • мониторинг всех действий с данными (кто, когда и зачем получал к ним доступ);
  • удаление информации из баз данных должно быть безопасным и не оставлять возможности для восстановления;
  • регулярные тесты системы и оценка защищенности инфраструктуры от вредоносного проникновения как снаружи, так и изнутри.

Хотите первыми получать важную и полезную информацию о ДЕНЬГАХ и БИЗНЕСЕ? Подписывайтесь на наши аккаунты в мессенджерах и соцсетях: Telegram, Twitter, YouTube, Facebook, Instagram.

Теги: киберполиция утечка данных утечка информации базы данных взлом базы данных продажа данных клиентов
Просмотров: 8301