Олег Климчук: Чи існує якась угода між нами, як фізичними особами, і «Дією» на використання наших даних?
Костянтин Корсун: Це серйозне питання. Добре, що його озвучує хтось крім мене. У «Дії» великі проблеми з захистом персональних даних. Головна з них це якраз те, що, згідно з законодавством з захисту персональних даних, необхідна згода користувача на використання додатка, особливо державного. Ви маєте натиснути хоча б десь «Я згоден».
Згідно з законодавством, має бути чітко прописано: які дані збирають, куди передають, за яких умов, як зберігають.
Це серйозна проблема. У Євросоюзі дуже багато уваги цьому приділяють уже років 50. Зараз у ЄС уже років 15 як працює GDPR (General Data Protection Regulation). Він визначає усі ці головні принципи та вводить дуже суворі покарання — до 20 мільйонів євро штрафу або до 4% від річного прибутку. У Західній Європі, наприклад, усе надзвичайно серйозно стосовно захисту персональних даних. Можливо, тому в жодній країні світу, особливо в країнах розвинутої демократії, немає нічого подібного до «Дії». Є безліч інших додатків, але вони не сконцентровані в одному. Тобто, є окремий для ідентифікації особи та для іншого.
Слухайте також: Експерт про збій у «Дії»: Те, що люди бачили у себе сторонні документи, говорить про те, що є певні проблеми
Костянтин Корсун: Не можна сказати, що вони однозначно безпечні чи однозначно небезпечні. Люди не дуже намагаються розібратися у цьому питанні, але якщо хоча б трошки поцікавитися, то буде швидко з’ясовано, що все залежить від користувача.
Що таке хмарне сховище? Ви можете зберігати інформацію на своєму комп’ютері, можете на комп’ютері когось іншого. Хмарне сховище — це величезні сервери далеко від вас, але суть залишається такою самою — ви перекладаєте якусь частину інформації в зовнішнє сховище та можете з’єднатися з ним за лічені секунди за допомогою інтернету. Інше питання, як ви самі налаштували захист цих даних? Тобто, хмарне середовище надає якийсь базовий рівень, але далі хмарне сховище не надає нічого.
Ви просто кладете на їхні сервери свою інформацію, і вже самі налаштовуєте вхід до неї, доступ, хто має право, хто має читати, хто записувати тощо.
Олег Климчук: Тобто тут ще велика відповідальність на користувачах. Це в компанії може робити кожен працівник, чи має бути відповідний спеціаліст?
Костянтин Корсун: Має бути команда кібербезпеки. Мінімально один-два навчаних фахівці, які спеціалізуються на цих питаннях. Які відстежують сучасні тенденції. Тому що, як ми кажемо в кібербезпеці, — щоб залишатися на місці, треба дуже швидко бігти. Тому що кожного дня, кожної години, хвилини з’являються нові загрози, нові методики, техніки, і все це потрібно моніторити в реальному часі. Плюс до того, навчання кіберграмотності та кібергігієні теж дуже потужний фактор.
Якщо людина навчена — це потужна ланка. Якщо усі працівники пройшли тренінги з кібербезпеки й керівництво переконалося, що вони не просто його прослухали, але й зрозуміли і застосовують на практиці — то це дуже потужний засіб захисту корпоративних мереж.
Олег Климчук: Чи достатньо захищені хмарні сховища?
Костянтин Корсун: Якщо говорити про фізичний захист, то це залежить від країни, де вони розташовані. Якщо говорити про США, де найпотужніша на цей час армія, то я впевнений, що там дуже серйозний фізичний захист. Захист інших країн — під питанням.
Читайте також: Понад мільярд гривень на армію зібрали виключно через додаток «Дія» — Мстислав Банік
Нагадаємо, ввечері суботи, 3 лютого цього року, в Україні відбувся фінал Національного відбору Євробачення-2024: під час голосування у «Дії» виник технічний збій, час для можливості віддати голос продовжили на ніч та весь день, після чого 4 лютого ввечері оголосили результати.
Мінцифри повідомило, що кількість запитів на секунду в додатку досягла 24 тисяч. У «Дії» заявили, що збільшили свої потужності в 5 разів, але цього виявилось недостатньо, оскільки запити зросли у 30.
Через збій у багатьох користувачів у «Дії» з’явилися сторонні документи: свідоцтво про реєстрацію авто. Також виникали проблеми з фотографіями й іншими даними. Як пояснив Павло Бєлоусов, експерт з питань цифрової безпеки ГО «Інтерньюз-Україна», консультант Школи цифрової безпеки DSS380, експерт проєкту TrollessUA, така реакція системи є досить нетиповою. Проте свідоцтво було у всіх однакове, воно не є справжнім. Тому це певний технічний збій і несхоже, що люди бачили чиїсь справжні чужі документи.
Повністю розмову слухайте у доданому аудіофайлі