Днями стався масштабний виток персональних даних громадян України: дані великої кількості громадян опинилися в чат-боті UaBazaBot. Бот пропонував увести, наприклад, ПІБ громадянина України і отримати будь-які персональні дані, аж до імейлів та паролів до них. Як стверджували власники цього боту, він мав 327 млн записів та 4,5 млрд логинів та паролів. Однозначно це чи наймасштабніший виток даних за всю історію Україні.

Як це сталося?

Найімовірніше, робили це не хакери, а звичайні працівники (або підрядники) власників державних реєстрів з метою їхнього подальшого продажу.

Чи має до цього відношення проєкт Дія?

Технічно, швидше за все, Дія тут ні до чого. У Мінцифри вже заявили, що проєкт не має жодного відношення до цього витоку.

А от комунікаційно — так, бо такий масштабний ІТ проект вочевидь стає уособленням державних інформаційних технологій. І тому стійко буде асоціюватися з усіма проблемами у ІТ-сфері.

Справа в тому, що:

• З державним ІТ існують системні проблеми протягом всієї історії України.
• Причин багато, і описувати їх точно не вийде в рамках однієї колонки;
• Публічний сектор стає все більш цифровим і від того — вразливим;
• Безліч ІТ державних сервісів України знаходиться фактично в приватних руках: бо підтримку виконують зовнішні підрядники, що можуть мати доступ до продуктивних даних.

Що має зробити держава у цій ситуації?

Необхідний цілісний підхід до розвитку ІТ-сервісів. Звичайно, мова йде не про Єдиний Всеосяжний План Архітектури Всього ІТ. Але нам конче необхідні генеральні принципи: підходи до вибору технологічних архітектур, принципи організації інформаційної безпеки, підходи до захисту даних, підходи до побудови сервісів. Власне, це те, що називається policy у сфері ІТ.

• Максимально можлива відкритість: коду, розробки, процедур вибору. Це чи не єдиний інструмент побудови довіри до державних сервісів, а також можливість будь кому пересвідчитися в надійності захисту
• Критичною стає робота правоохоронних структур та судової системи (як для усіх інших сфер)
• Критичною є швидка і прозора комунікація. Тому «плюс» в карму МінЦифрі, яке відреагувало швидко

Для успішних реформаторських рухів є і погані новини: ви будете відповідати за проблеми ваших колег. Бо для громадянина ми всі — держава. І те, що, наприклад, Прозорро не ловить злочинців — це все одно проблема нашої реформи. Так само і «Дія» зараз вимушена відповідати за проблеми ІТ замість правоохоронців.

Що має робити бізнес:

Держава сама ніколи не зможе подужати ривок, аби швидко виправити ситуацію з ІТ. Тому відкрита колаборація, екосистемні рішення справді необхідні. Наприклад, система Prozorro в найближчі дні запустить постійно діючу програму пошуку вразливостей в системі (bug bounty) і закликає долучатися всіх до неї: це інструмент, коли завдяки співпраці з приватним сектором державна компанія може позбутися проблем в майбутньому.

Активна позиція та готовність долучатися до ІТ сервісів та законодавчого поля часто дає нові можливості — наприклад, як це відбувається з законопроектом про хмарні технології в Україні Cloud First

Що робити громадянам:

• Нам з вами необхідно, на жаль, виходити з позиції, що всі дані, які є в держави, можуть бути вкрадені.
• Необхідно розвивати навички цифрової гігієни
• Врешті, необхідно бути готовим обстоювати свої цифрові права.

Тим часом UaBazaBot закрився. Що ж, за відсутності справедливості та покарання у нашому суспільстві поки що ледве не єдина можливість припинити правопорушення — це створити велику суспільну увагу до нього.

Источник: nv.ua