Закон о защите персональных данных устарел, не учитывает интернет-реалии, — Виталий Мороз

В эфире программы "Эспрессо: капитал" на телеканале Эспрессо Виталий Мороз рассказал, какие банковские карточки наиболее безопасны и насколько украинские тех-гиганты заботятся о персональных данных пользователей. Ведущий программы – экономический обозреватель Андрей Яницкий.

Поговорим о цифровых технологиях, о безопасности цифровых технологий и о том, как бороться с мошенничеством в Интернете. Но начнем с ДИЯ. Наша власть очень популяризирует приложение ДИЯ. Является ли оно полностью безопасным? Можно ли его устанавливать на свой смартфон и не бояться об утечке каких-либо данных?

Среди специалистов цифровой безопасности есть шутка, которая касается известного в 2016-м году вируса "Петя". Говорят, что один из правительственных институтов полностью не пострадал, компьютеры этого учреждения не пострадали от этого вируса. А оказывается, что в этом учреждении не было никаких компьютеров.

То есть любые технологии, которыми мы пользуемся, созданы людьми, и потому они уязвимы. Поэтому все, что касается любых технологий, мы должны понимать, что в первую очередь от нас зависит, насколько мы внимательно ими пользуемся, насколько мы даем кому-то доступ к нашим ресурсам. Современные продукты более или менее хороши, однако и к ним всегда может быть много вопросов.

Что касается ДИЯ. Большинство приложений, которыми мы пользуемся, мы выбираем самостоятельно. Мы можем скачать их на Play Market или Apple Store. Это приложение предлагает правительство, и очень многие сервисы уже завязаны на ДИЯ. Поэтому многие украинцы даже не хотят пользоваться, ведь очень часто это удобнее. Это сертификат вакцинации и т.д.

Два ключевых вопроса по поводу ДИЯ. Во-первых, любые приложения должны проходить независимые аудиты, которые смогут показать, есть ли уязвимости или нет. И второе, какой код: открытый или закрытый. Код в ДИЯ закрытый. Это значит, что его не могут посмотреть внешние специалисты, выяснить, как все устроено, есть ли какие-нибудь back door и так далее.

Back door – то есть такие тайные входы для хакеров.

Это возможность войти в этот код и что-то изменить. Чем более закрыта инфраструктура, тем это более непрозрачно. Но у правительства есть свои аргументы, что это продукт, которым пользуется большое количество украинцев. Соответственно у них был свой разработчик, они доверяют своему разработчику, это одна из очень известных ІТ-компаний в Украине.

Однако специалисты в области безопасности все еще ждут, когда будут ответы на эти ключевые вопросы.

Я помню, что был скандал вокруг ДИЯ. Женщина сказала, что кто-то получил кредит в микрофинансовой организации, используя якобы ее паспорт в ДИЯ. Она говорит, что не устанавливала ДИЯ. Разве эта ситуация разрешилась? Найдена проблема, позволившая это сделать?

Каждый год в киберполицию обращаются тысячи украинских граждан, пострадавших из-за афер в цифровом пространстве. И на самом деле этот случай был едва ли не единственный, связанный с ДИЯ.

Но в первую очередь это вопрос к пользователю, потому что мошенники получили доступ к e-mail ящику этого человека, затем они получили доступ к его мобильному телефону, который был в ящике, а с помощью телефона они авторизировались через BankID, они получили доступ к банковскому счета. Затем они создали аккаунт в ДИЯ, у нее его не было. И пробовали взять кредиты у двоих в украинских банках, им отказали, и тогда они пошли в микрофинансовый институт, и без его ведома, без физического присутствия этого человека они оформили кредит.

Это было нарушение законодательства со стороны микрофинансовых институтов. То есть в конце концов этот вопрос решился. И этот случай не так говорит об уязвимости ДИЯ, как о том, что украинские пользователи не внимательны к своим паролям — у них слабые пароли. Или они пользуются сервисами, где нет двухфакторной аутентификации.

Какие простые рекомендации можно дать людям, чтобы они не пострадали от действий мошенников? Какие базовые правила цифровой безопасности?

Есть два уровня: первый уровень – это пользование картами. Если мы пользуемся банковскими картами, то есть возможность физической потери этой карты. К примеру, ее можно потерять. А кто-то, например, на задней стороне этой карты напишет пин-код, то есть это будет доступ.

А заодно и остаток на счету, чтобы упростить все.

Соответственно, есть разные уровни надежности карт. Карты с магнитной лентой менее надежны, потому что можно взять отсканировать магнитную ленту, скопировать эту карту и, соответственно, воспользоваться ею.

Наиболее надежные – это когда есть чипы.

Также мы говорим о пользовании электронными деньгами. Наиболее надежно, когда вы используете Apple Pay или Google Pay. Это когда вы карту привязываете к своему смартфону. Потому что через смартфон идентификация может быть через распознавание лица, чтобы получить доступ. Но ведь всегда есть риски.

Может быть из-за отпечатка пальца.

Да, может быть отпечаток пальца. Но хуже всего, когда, например, есть линия, которую вы проводите и которую можно посмотреть. Потому что телефон – это также вход в ваш цифровой, финансовый мир. И потеря этого телефона тоже может быть угрозой доступа ко всем вашим аккаунтам. Поэтому на уровне пользования электронными деньгами очень важно защитить сами используемые устройства.

Если у вас есть возможность выбрать между Face ID, распознаванием лица или линией, лучше Face ID. Шестизначный код – это тоже немного лучше, чем просто линию, которую очень легко воспроизвести.

Люди боятся передавать свои отпечатки пальцев или лицо крупным корпорациям.

На самом деле особых угроз нет, потому что все же корпорации не будут воровать деньги с банковских карт. То есть вы защищаете от внешних рисков. Самое простое — это, конечно, не пользоваться ничем. Например, можно пользоваться только наличными и покупать только наличными. Но с другой стороны, эта практика отходит.

Хотя любые транзакции, которые вы делаете в цифровом мире, рассказывают много о вас. Это, в сущности, сбор ваших персональных данных.

Цифровой след.

Цифровой след может быть не только в социальных сетях, но и в каком магазине какой картой вы рассчитались, что вы купили, на какую сумму и т.д.

У нас с женой общий счет, и она всегда знает, что я покупаю. Мы спросили людей на улицах Киева, сталкивались ли они с мошенниками в интернете. Не все сталкивались. Это, конечно, не социологический опрос, а случайные люди на улицах. Но были люди, которые сталкивались. Из ответов я понял, что дело не столько в технологиях, сколько в социальных технологиях.

Имеются поведенческие формы человека. И человек очень часто кликает, например, на фишинговые письма. Фишинговые письма — это письма, которые приходят вам на ящик с срочной просьбой: у вас якобы заблокированная карта, восстановите; кто-то из респонденток говорила, что она ввела какой-то код. На самом деле это может быть ввод своих данных, своей банковской карты, на стороннем сайте, который мимикрирует под официальный банковский сайт.

Недавно ПриватБанк предупреждал, что от его имени рассылают SMS со ссылками, будто получите 7 тыс. грн за то, что вы вакцинировались.

Да, люди клюют, потому что для них это горячая тематика. Они думают, что действительно что-нибудь такое. Но чудес не бывает на самом деле. Хотя мошенники идут дальше, они даже создают мошеннические мобильные приложения. Например, было создано универсальное мобильное приложение, якобы объединившее семь ключевых банков. То есть, если ты его устанавливаешь, ты можешь пользоваться сразу несколькими банками. И несколько тысяч человек загрузили это приложение — а оно оказалось полностью мошенническим. Но это была проблема еще на уровне платформ. Тех-гигнаты…

Пропустили.

Они пропустили, и в течение некоторого времени его можно было скачать. Его удалили через несколько дней, но кто-то, возможно, пострадал.

Вы недавно вели исследование, насколько украинские компании социально ответственно относятся к персональным данным украинцев. И результаты этого исследования, как я понимаю, были не очень оптимистичны.

В общем, считается, что Украина является цифровым оффшором. Это значит, что данные пользователей миллионов украинцев на протяжении последних 30 лет гуляли где угодно, их видел кто угодно, и не было особых правил, как их хранить.

Ну у нас ведь есть закон о защите персональных данных! Мы там галочку постоянно ставим где-нибудь или подпись, что я разрешаю все что угодно.

Да, у нас есть закон с 2011 года, который не учел реалии онлайна, Интернета. Он устаревший. И сейчас в парламенте одобряют новый законопроект, который будет регулировать все вещи.

Мы проводили исследования, чтобы посмотреть, как украинские технологические компании, какая у них культура хранения и управления данными миллионов пользователей. Я абсолютно уверен, что в Украине зарождаются свои тех-гиганты. Это Rozetka.ua, это OLX, Новая почта, это Киевстар, Lifecell. Это все компании, оперирующие данными миллионов украинских пользователей. И мы задали вопрос в этом исследовании, насколько эти компании относятся с уважением к конфиденциальности.

Потому что есть украинское законодательство, есть европейские нормы. И также есть вещи, требующие от компании, например, минимизировать изменять сбор персональных данных. Например, для того чтобы начать пользоваться каким-либо сервисом можно например вести свой номер телефона и свое имя и фамилию. А некоторые компании, например, требуют: есть ли у вас дети; а какой у вас уровень дохода; а какие у вас интересы? Они собирают все эти данные, чтобы потом их анализировать.

Соответственно, по результатам этого исследования результаты не совсем утешительны. Средняя температура по палате — это политики защиты персональных данных примерно на уровне 50%. У нас только три компании получили 70 из 100 процентов/баллов.

То есть чем больше – тем лучше, да?

Да.

То есть 100% никто не набрал?

У нас было 20 вопросов, по которым измеряли, как защищают персональные данные. У нас есть три лидера – компания OLX, ukr.net, а также Фокстрот. Они получили от 77 до 70 процентов/баллов.

В среднем же восемь компаний не набрали даже 50%. То есть это довольно плохо, и им нужно будет многое менять.

То есть, когда мы в супермаркете заполняем билетик на получение бонусной карты, или когда мы регистрируемся на каком-то сайте, мы передаем свои персональные данные. И эти данные эта компания должна хранить в каком-нибудь надежном защищенном хранилище. И никоим образом не использовать наш телефон и т.д. И если вы вдруг после получения бонусной карты начали получать sms-рекламу от сервисов такси, то, вероятно, что-то пошло не так.

Ну, в первую очередь нужно понять, что когда мы соглашаемся на условия использования, там может быть прописано очень многое, чего мы не понимаем или, например, не читаем. Очень часто это согласие на передачу персональных данных не осознанно. Действительно, закон требует, чтобы мы ставили галочку. Но очень многие компании пишут мелким шрифтом: "Регистрируясь на нашем сайте, вы принимаете условия использования нашего сайта" и т.д. И это уже нарушение, потому что это не осознанное согласие.

Потому что пользователь мог не увидеть эту мелкую надпись.

Также, например, есть вопрос, описывает ли компания способы передачи персональных данных третьим лицам. Практически все передают каким-то третьим компаниям. Но об этом нужно честно заявить. И очень часто компании не дают полный список, кому именно и с какой целью они передают персональные данные.

Например, если это сервис доставки еды, то действительно это может быть передача вашего мобильного телефона курьеру из другой компании, чтобы просто он доставил еду по вашему адресу. Но очень часто эти данные передаются в банки или в другие компании, которые просто покупают большие массивы данных.

Есть также такое понятие как европейские стандарты защиты персональных данных. К примеру, политики конфиденциальности очень часто прописаны на десять страниц очень мелким шрифтом и непонятным языком. Европейские регуляции говорят: язык должен быть понятен даже для ребенка; объем не должен превышать каких-либо объемов. То есть все должно быть насколько понятно, чтобы вы ясно осознали, на что вы соглашаетесь, когда начинать пользоваться сервисами компании.

Также важно, например, где хранятся данные. Например, очевидно, никто из наших зрителей не захотел бы пользоваться сервисом, хранящим свои данные на серверах, например, в Северной Корее, России или Беларуси.

О, 100%.

Компании обычно должны прописать, что наши данные, серверы расположены либо на территории Украины, либо на территории западных стран.