Новость о наличии бота в мессенджере Telegram, который торгует персональными данными украинцев, задела даже тех, кто привык к непрошенной смс-рассылке, рекламным звонкам и кто терпимо относился к факту продажи баз данных на столичном рынке Петровка. Вся эта история подняла ряд важных вопросов, среди которых — культура приватности и охрана безопасности данных как их компонента, сообщает "ЛІГА.net".
Поэтому, пока инцидент расследуют правоохранительные органы, попробуем проанализировать случившееся и подумаем над тем, как украинцам уберечь свои данные.
Чем регулируется сфера?
Ключевым актом, регулирующим приватность в Украине, является Закон Украины №2297-VI от 1 июня 2010 года о персональных данных. Документ десятилетней давности вызывает массу вопросов у любого, кто столкнулся с его действием на практике.
Основная проблема — отсутствие нужных механизмов и практического применения для бизнеса, разрыв между регулированием и технологической реальностью. Если нет нормальных механизмов, закономерно, что нет последовательно практики применения закона, вменяемых санкций, и, как следствие, культуры его соблюдения.
Такая ситуация ведет к тому, что базы данных, собранные для одной цели (например продвижение услуг одной контрактной службы такси), используются сразу для десятка партнерских сетей первичной службы.
Что в этом плохого?
К данным о ваших поездках и перемещениях получает доступ не одна конкретная организация, а неограниченный круг лиц, использование данных которыми очень сложно контролировать. Такая бесконтрольность ведет и к тому, что привлечь к ответственности первичного нарушитель практически невозможно, а бесконтрольная передача данных процветает.
Что делать?
Давать доступ к данным только конкретной организации, в надежности которой вы уверены. В случае несанкционированной рекламы (ака использования данных) не полениться написать ответное сообщение или позвонить и сказать, что вы не давали согласия на обработку персональных данных, и если данные о вас не будут удалены из всех систем организации, вы напишите обращение уполномоченному по правам человека за нарушение в сфере персональных данных. Данная последовательность является корректной с законодательной точки зрения и при этом довольно действенной на практике.
Еще одна проблема, имеющая место быть при оказании услуг в Украине, — данные — это цена оказания услуг.
В то время, как ведущее мировое регулирование, в том числе GDPR в Европе, California Consumer Privacy Act в Калифорнии (положение также можно встретить в проектах соответствующих актов других штатов) и Information Commissioner's Office в Великобритании, активно продвигают позицию о том, что предоставление данных не должно быть причиной дискриминации при оказании услуг, большинство украинских сайтов не позволяют получить доступ к полному функционалу без авторизации через социальные сети или электронную почту.
Что в этом плохого: у пользователя нет возможности получить доступ к материалам веб-сайтов без предоставления доступа к персональным данным.
Что делать: отказываться от всплывающих окон, блокировать все cookies кроме аналитических и функциональных в браузере и использовать сервисы блокировки рекламы, и не давать согласия на просмотр гео-локации.
Исправит ли это ситуацию глобально — нет. Поможет ли избежать совсем небезопасных ресурсов — значительно.
Отсутствие культуры безопасности данных
Недавняя утечка (вне зависимости от ее причин) обнажила еще один факт — мы сами не заботимся о безопасности.
К безалаберным действиям относятся:
— электронные адреса и соцсети с полными датами рождения — дата рождения используется как основной идентификатор в системах банков и пограничными службами;
— точная геолокация выставленная публично — позволяет локализовать ваше местонахождение по IP адресу и уменьшить окно подбора случайных паролей;
— одинаковые пароли — очевидно, но все же — утечка пароля в одном месте делает все другие системы автоматически уязвимыми;
— отсутствие двухфакторной верификации — очевидно, что банки довольно прогрессивным в этом направлении, но зачастую соцсети, облачные хранилища электронные ящики также хранят в себе критично важную информацию. Установить двухфакторную верификацию занимает секунды, а риски не стать жертвой взлома минимизирует значительно.
— верификация через соцсети — сколько раз у вас веб-сайт, на котором вы были впервые, запрашивал авторизацию через Facebook, а сколько раз вы читали доступ к чему вы даете?
Далеко не все сайты имеют адекватную политику приватности и куда меньшему количеству ресурсов нужно давать доступ к своим даже публично доступным данным из соцсетей. Не забывайте — комбинирование данных из соцсетей и активности на сайте — незаконная, но, увы, очень популярная практика.
Государство в смартфоне и инновации в государственном секторе
Многие часто спрашивают, что нужно учесть раборабочикам систем государственного уровня, чтобы избежать инцидентов в дальнейшем.
Тут важно понимать, что приватность это не только о технических мерах, а об организационных механизмах.
Техническая архитектура системы с соблюдением лучших требований безопасности, шифрованием и развитой системой распределенного хранения данных, увы, также подвержена риску человека с флешкой. Так что на ряду с техническими методами, очень важно выстраивать организационные меры предосторожности, доступ по режиму "необходимо знать для служебных обязанностей", системы управления режимами доступа и инвестировать в образование и подготовку персонала.
Глобально исправить ситуация с приватностью быстро — невозможно. Опыт довольно активного привлечения к ответственности по GDPR это доказывает.
Но мировой тренд на приватность растет, глобальные техгиганты делают функционал более безопасным, а регуляторы во всем мире формируют более стандартизированные требования.
Хорошие новости в том, что Украина, как и весь мир, по большому счету, вначале пути, а значит — у нас есть прекрасная возможность создать благоприятное регулирование, которое поможет бизнесу строить эффективные решения, а гражданам — знать, что их приватность имеет юридические гарантии.