Новость о наличии бота в мессенджере Telegram, который торгует персональными данными украинцев, задела даже тех, кто привык к непрошенной смс-рассылке, рекламным звонкам и кто терпимо относился к факту продажи баз данных на столичном рынке Петровка. Вся эта история подняла ряд важных вопросов, среди которых – культура приватности и охрана безопасности данных как их компонента, сообщает "ЛІГА.net".
Поэтому, пока инцидент расследуют правоохранительные органы, попробуем проанализировать случившееся и подумаем над тем, как украинцам уберечь свои данные.
Чем регулируется сфера?
Ключевым актом, регулирующим приватность в Украине, является Закон Украины №2297-VI от 1 июня 2010 года о персональных данных. Документ десятилетней давности вызывает массу вопросов у любого, кто столкнулся с его действием на практике.
Основная проблема – отсутствие нужных механизмов и практического применения для бизнеса, разрыв между регулированием и технологической реальностью. Если нет нормальных механизмов, закономерно, что нет последовательно практики применения закона, вменяемых санкций, и, как следствие, культуры его соблюдения.
Такая ситуация ведет к тому, что базы данных, собранные для одной цели (например продвижение услуг одной контрактной службы такси), используются сразу для десятка партнерских сетей первичной службы.
Что в этом плохого?
К данным о ваших поездках и перемещениях получает доступ не одна конкретная организация, а неограниченный круг лиц, использование данных которыми очень сложно контролировать. Такая бесконтрольность ведет и к тому, что привлечь к ответственности первичного нарушитель практически невозможно, а бесконтрольная передача данных процветает.
Что делать?
Давать доступ к данным только конкретной организации, в надежности которой вы уверены. В случае несанкционированной рекламы (ака использования данных) не полениться написать ответное сообщение или позвонить и сказать, что вы не давали согласия на обработку персональных данных, и если данные о вас не будут удалены из всех систем организации, вы напишите обращение уполномоченному по правам человека за нарушение в сфере персональных данных. Данная последовательность является корректной с законодательной точки зрения и при этом довольно действенной на практике.
Еще одна проблема, имеющая место быть при оказании услуг в Украине, – данные – это цена оказания услуг.
В то время, как ведущее мировое регулирование, в том числе GDPR в Европе, California Consumer Privacy Act в Калифорнии (положение также можно встретить в проектах соответствующих актов других штатов) и Information Commissioner's Office в Великобритании, активно продвигают позицию о том, что предоставление данных не должно быть причиной дискриминации при оказании услуг, большинство украинских сайтов не позволяют получить доступ к полному функционалу без авторизации через социальные сети или электронную почту.
Что в этом плохого: у пользователя нет возможности получить доступ к материалам веб-сайтов без предоставления доступа к персональным данным.
Что делать: отказываться от всплывающих окон, блокировать все cookies кроме аналитических и функциональных в браузере и использовать сервисы блокировки рекламы, и не давать согласия на просмотр гео-локации.
Исправит ли это ситуацию глобально – нет. Поможет ли избежать совсем небезопасных ресурсов – значительно.
Отсутствие культуры безопасности данных
Недавняя утечка (вне зависимости от ее причин) обнажила еще один факт – мы сами не заботимся о безопасности.
К безалаберным действиям относятся:
– электронные адреса и соцсети с полными датами рождения – дата рождения используется как основной идентификатор в системах банков и пограничными службами;
– точная геолокация выставленная публично – позволяет локализовать ваше местонахождение по IP адресу и уменьшить окно подбора случайных паролей;
– одинаковые пароли – очевидно, но все же – утечка пароля в одном месте делает все другие системы автоматически уязвимыми;
– отсутствие двухфакторной верификации – очевидно, что банки довольно прогрессивным в этом направлении, но зачастую соцсети, облачные хранилища электронные ящики также хранят в себе критично важную информацию. Установить двухфакторную верификацию занимает секунды, а риски не стать жертвой взлома минимизирует значительно.
– верификация через соцсети – сколько раз у вас веб-сайт, на котором вы были впервые, запрашивал авторизацию через Facebook, а сколько раз вы читали доступ к чему вы даете?
Далеко не все сайты имеют адекватную политику приватности и куда меньшему количеству ресурсов нужно давать доступ к своим даже публично доступным данным из соцсетей. Не забывайте – комбинирование данных из соцсетей и активности на сайте – незаконная, но, увы, очень популярная практика.
Государство в смартфоне и инновации в государственном секторе
Многие часто спрашивают, что нужно учесть раборабочикам систем государственного уровня, чтобы избежать инцидентов в дальнейшем.
Тут важно понимать, что приватность это не только о технических мерах, а об организационных механизмах.
Техническая архитектура системы с соблюдением лучших требований безопасности, шифрованием и развитой системой распределенного хранения данных, увы, также подвержена риску человека с флешкой. Так что на ряду с техническими методами, очень важно выстраивать организационные меры предосторожности, доступ по режиму "необходимо знать для служебных обязанностей", системы управления режимами доступа и инвестировать в образование и подготовку персонала.
Глобально исправить ситуация с приватностью быстро – невозможно. Опыт довольно активного привлечения к ответственности по GDPR это доказывает.
Но мировой тренд на приватность растет, глобальные техгиганты делают функционал более безопасным, а регуляторы во всем мире формируют более стандартизированные требования.
Хорошие новости в том, что Украина, как и весь мир, по большому счету, вначале пути, а значит – у нас есть прекрасная возможность создать благоприятное регулирование, которое поможет бизнесу строить эффективные решения, а гражданам – знать, что их приватность имеет юридические гарантии.
