Новость о наличии бота в мессенджере Telegram, который торгует персональными данными украинцев, задела даже тех, кто привык к непрошенной смс-рассылке, рекламным звонкам и кто терпимо относился к факту продажи баз данных на столичном рынке Петровка. Вся эта история подняла ряд важных вопросов, среди которых - культура приватности и охрана безопасности данных как их компонента.

Поэтому, пока инцидент расследуют правоохранительные органы, попробуем проанализировать случившееся и подумаем над тем, как украинцам уберечь свои данные.

Чем регулируется сфера?

Ключевым актом, регулирующим приватность в Украине, является Закон Украины №2297-VI от 1 июня 2010 года о персональных данных. Документ десятилетней давности вызывает массу вопросов у любого, кто столкнулся с его действием на практике.

Основная проблема - отсутствие нужных механизмов и практического применения для бизнеса, разрыв между регулированием и технологической реальностью. Если нет нормальных механизмов, закономерно, что нет последовательно практики применения закона, вменяемых санкций, и, как следствие, культуры его соблюдения.

Читайте также - Привилегия приватности: наши данные больше не наши. И Дія тут ни при чем 

Такая ситуация ведет к тому, что базы данных, собранные для одной цели (например продвижение услуг одной контрактной службы такси), используются сразу для десятка партнерских сетей первичной службы.

Что в этом плохого?

К данным о ваших поездках и перемещениях получает доступ не одна конкретная организация, а неограниченный круг лиц, использование данных которыми очень сложно контролировать. Такая бесконтрольность ведет и к тому, что привлечь к ответственности первичного нарушитель практически невозможно, а бесконтрольная передача данных процветает.

Что делать?

Давать доступ к данным только конкретной организации, в надежности которой вы уверены. В случае несанкционированной рекламы (ака использования данных) не полениться написать ответное сообщение или позвонить и сказать, что вы не давали согласия на обработку персональных данных, и если данные о вас не будут удалены из всех систем организации, вы напишите обращение уполномоченному по правам человека за нарушение в сфере персональных данных. Данная последовательность является корректной с законодательной точки зрения и при этом довольно действенной на практике.

Еще одна проблема, имеющая место быть при оказании услуг в Украине, - данные - это цена оказания услуг.

В то время, как ведущее мировое регулирование, в том числе GDPR  в Европе, California Consumer Privacy Act в Калифорнии (положение также можно встретить в проектах соответствующих актов других штатов) и Information Commissioner's Office в Великобритании, активно продвигают позицию о том, что предоставление данных не должно быть причиной дискриминации при оказании услуг, большинство украинских сайтов не позволяют получить доступ к полному функционалу без авторизации через социальные сети или электронную почту.

Читайте также - Карантинная реальность: мессенджеры вместо личных встреч. Время защищать данные

Что в этом плохого: у пользователя нет возможности получить доступ к материалам веб-сайтов без предоставления доступа к персональным данным.

Что делать: отказываться от всплывающих окон, блокировать все cookies кроме аналитических и функциональных в браузере и использовать сервисы блокировки рекламы, и не давать согласия на просмотр гео-локации.

Исправит ли это ситуацию глобально - нет. Поможет ли избежать совсем небезопасных ресурсов - значительно.

Отсутствие культуры безопасности данных

Недавняя утечка (вне зависимости от ее причин) обнажила еще один факт - мы сами не заботимся о безопасности.

К безалаберным действиям относятся:

- электронные адреса и соцсети с полными датами рождения - дата рождения используется как основной идентификатор в системах банков и пограничными службами;
- точная геолокация выставленная публично - позволяет локализовать ваше местонахождение по IP адресу и уменьшить окно подбора случайных паролей;
- одинаковые пароли - очевидно, но все же - утечка пароля в одном месте делает все другие системы автоматически уязвимыми;
- отсутствие двухфакторной верификации - очевидно, что банки довольно прогрессивным в этом направлении, но зачастую соцсети, облачные хранилища  электронные ящики также хранят в себе критично важную информацию. Установить двухфакторную верификацию занимает секунды, а риски не стать жертвой взлома минимизирует значительно. 
- верификация через соцсети - сколько раз у вас веб-сайт, на котором вы были впервые, запрашивал авторизацию через Facebook, а сколько раз вы читали доступ к чему вы даете?

Далеко не все сайты имеют адекватную политику приватности и куда меньшему количеству ресурсов нужно давать доступ к своим даже публично доступным данным из соцсетей. Не забывайте - комбинирование данных из соцсетей и активности на сайте - незаконная, но, увы, очень популярная практика. 

Читайте также - Путаница ценою в жизнь: что не так с официальными данными о COVID-19 в Украине Мнение

Государство в смартфоне и инновации в государственном секторе

Многие часто спрашивают, что нужно учесть раборабочикам систем государственного уровня, чтобы избежать инцидентов в дальнейшем.

Тут важно понимать, что приватность  это не только о технических мерах, а об организационных механизмах.

Техническая архитектура системы с соблюдением лучших требований безопасности, шифрованием и развитой системой распределенного хранения данных, увы, также подвержена риску человека с флешкой. Так что на ряду с техническими методами, очень важно выстраивать организационные меры предосторожности, доступ по режиму "необходимо знать для служебных обязанностей", системы управления режимами доступа и инвестировать в образование и подготовку персонала.

Глобально исправить ситуация с приватностью быстро - невозможно. Опыт довольно активного привлечения к ответственности по GDPR  это доказывает.

Но мировой тренд на приватность растет, глобальные техгиганты делают функционал более безопасным, а регуляторы во всем мире формируют более стандартизированные требования.

Хорошие новости в том, что Украина, как и весь мир, по большому счету, вначале пути, а значит - у нас есть прекрасная возможность создать благоприятное регулирование, которое поможет бизнесу строить эффективные решения, а гражданам - знать, что их приватность имеет юридические гарантии.

Статьи, публикуемые в разделе "Мнения", отражают точку зрения автора и могут не совпадать с позицией редакции LIGA.net
слив данныхTelegramперсональные данныеTelegram-ботприватность