Наскільки захищені персональні дані громадян в Казахстані?

1. скандальний прецедент
2. неприємні наслідки
3. Корупція в ЦОНах
4. Банківська таємниця та персональні дані громадян
5. Людський фактор
6. SMS, ЕЦП і біометрія

Історія, що трапилася з мешканкою Алмати Ганною Дмитрович, багатьох змусила задуматися про безпеку особистих даних. Володарі електронно-цифрового підпису стали перевіряти свої особисті кабінети на порталі eGov.kz і виявили , Що інформацію про них хтось запитував. Informburo.kz розповідає, чому так відбувається і що може зробити держава для хорошого захисту даних казахстанців.

Читайте також:
Чому держава готова платити за цифрову безпеку

скандальний прецедент

Історія Анна Дмитрович з Алмати стала відома 25 жовтня. Якийсь співробітник компанії Global Capital (посередник для надання консалтингових послуг) без довіреності звернувся в ЦОН Алмалінского району і отримав адресну довідку і документ про наявність (відсутність) нерухомого майна у Анни Дмитрович. дізналася цей факт Алматинка випадково, зайшовши особистий кабінет на сайті eGov.kz.

як з'ясувалося через 2 дня в результаті розслідування, інформацію співробітник консалтингової компанії незаконно отримав в інтересах АТ "Нурбанк", який на підставі також запитаного в Першому кредитному бюро розширеного кредитного звіту Анни, ймовірно, хотів запропонувати жительці Алмати в майбутньому будь-який кредит. За словами Дмитрович, вона ніколи не була клієнтом цього банку.

Виписка Першого кредитного бюро про отримання "Нурбанком" даних про Анну Дмитрович / Фото Анни Дмитрович з мережі Facebook

В "Нурбанке" і НАО "Уряд для громадян" зараз йдуть службові розслідування. Співробітницю Цона, передала особисті дані Анни Дмитрович, як обіцяють, обов'язково звільнять .

Сама Алматинка заявляє, що вибачень, які за цей інцидент принесла госкорпорція "Уряд для громадян", в її випадку недостатньо, і заплутана справа вона має намір довести до кінця. А що представляє її інтереси юрист Олег Чернов повідомив журналістам, що резонансна справа матиме серйозні наслідки.

30 жовтня стало офіційно відомо, що співробітник компанії Global Capital Галіхан Мухамеджанов, який 25 жовтня без довіреності отримав в ЦОНе довідки на ім'я мешканки Алмати Анни Дмитрович, діяв виключно за особистою ініціативою.

Читайте також:
Андрій Масаловіч, фахівець з кібербезпеки: За нами постійно стежать

неприємні наслідки

Глава "Уряду для громадян" Аблайхан Оспанов на своїй сторінці в Facebook повідомив, що після цього випадку в держкорпорації "думають над посиленням контролю доступу до даних і виключення людського фактора".

Голова Комітету з правової статистики та спеціальним урахуванням Генеральної прокуратури РК Багдат Мусін також прокоментував інцидент з передачею особистих даних мешканки Алмати в треті руки співробітником Цона на своїй сторінці в Facebook.

Для вирішення проблеми, на думку Багдат Мусіна, необхідно перш за все взагалі закрити легкий доступ співробітникам ЦОНов до бази даних казахстанців:

"Доступ потрібен був раніше для вирішення проблеми з корупцією, коли довідка коштувала 100 доларів, а попит на них був дуже великий, і черги за паперовими довідками становили 50-70% звернулися в ЦОН, і користувачів egov було мало. Але зараз час минув, видно, вже народ став більш грамотним у цифровому форматі. Нехай має доступ тільки сама людина за своїм ЕЦП або одноразовим паролем, який повинен прийти на телефон ", - запропонував голова Комітету з правової статистики та спеціальним обліком.

На думку Мусіна, доступ до особистих даних співробітник Цона повинен мати тільки за технологіями FaceRecognition (при збігу фото особи клієнта з фото в базі) або FingerPrint (при збігу відбитків пальців). У разі, якщо ні те, ні інше не збігається, відкривати доступ можна тільки при директорі Цона, зазначив Багдат Мусін ..

Читайте також:
Що Казахстан протиставить хакерам усього світу

Корупція в ЦОНах

Масова поява центрів обслуговування населення в республіці зіграло позитивну роль. Держава сьогодні перетворило структуру ЦОНов, і там сьогодні "всередині" сидять і органи нерухомості, і служба земельного кадастру, і представники державного центру з виплати пенсій та допомог. НАО "Державна корпорація" Уряд для громадян "створили в 2016 році.

Поява держкорпорації для багатьох не стало несподіванкою. Сам проект "Електронний уряд" регулярно отримує високі міжнародні оцінки, а досвід казахстанських ЦОНов у себе реалізують країни пострадянського простору.

Однак бажання казахстанців "домовитися" навіть в Центрі обслуговування населення призвело до появи так званих помогаек, яких використовують ті, хто не бажає стояти в чергах. За кілька років активної боротьби прибрати помогаек в центрах так і не змогли.

Також деякі експерти кажуть, що через співробітників ЦОНов за окрему плату можна отримати інформацію практично про будь-якому громадянинові. Неофіційно цінники варіюються від 15 тисяч за незначну довідку до 100 тисяч тенге за більш серйозні операції. Особливо часто, як подейкують, до такої негласної допомоги вдаються деякі юристи, адвокати, колектори та судові виконавці.

Офіційно інформацію про громадян, крім компетентних органів, сьогодні часто запитують банки другого рівня і мікрофінансові організації, причому громадяни самі підписують дозвіл на доступ до своїх персональних даних.

Читайте також:
Які технології змінять банківський сектор?

Банківська таємниця та персональні дані громадян

Все, що стосується захисту персональних даних казахстанців, регулюється профільним законом, прийнятим ще в 2013 році. Після цього юридичний документ грунтовно допрацьовувався і поповнювався поправками. У ньому чітко прописано, що тільки громадянин може надавати комусь дозвіл на доступ до своєї персональної інформації. У тому числі він може і відкликати цей самий дозвіл.

Але банки другого рівня працюють все ж більше з оглядкою не цього закон, а на правила Національного банку Республіки Казахстан від 29 лютого 2016 року №66 "Про встановлення переліку основних документів, що підлягають зберіганню, і терміни їх зберігання в банках другого рівня".

Згідно з цим документом, виявляється, фінансові інститути, навіть відмовивши в кредиті громадянину, можуть і повинні зберігати його персональні дані ще як мінімум рік.

Давши кредит без застави і отримавши його з відсотками назад, банки тим не менш зберігають кредитну справу позичальника 5 років з дня погашення, а у випадку з заставним кредитом - 10.

Іншими словами, фінансовий інститут вельми тривалий час має від громадянина чинне офіційний дозвіл на доступ до його особистих даних. Частота запитів в державні бази та актуалізація цих даних обговорюється в договорі клієнта і банку.

За словами аналітика банківського сектора Анар Ауесбаевой, клієнти просто не звертають уваги, що часто дають добро на це.

"Практично у всіх документах, які казахстанці сьогодні підписують в стінах фінансової організації, внизу є виноска, де написано" я дозволяю банку доступ до своїх персональних даних ... ". Це стало просто буденним, але ніхто про це не замислюється, - заявила експерт в інтерв'ю Informburo.kz. - Потім багато хто дивується, чому вже після виплати кредиту лунають дзвінки від менеджерів, листи на електронну пошту приходять. Причому це відбувається через кілька років після погашення першого кредиту. В банківську базу ви потрапляєте одразу, як то ько підписуєте дозвіл на доступ до своїх персональних даних ".

На думку Ауесбаевой, в ситуації з Ганною Дмитрович необхідно достовірно дізнатися, чи підписувала вона подібний дозвіл саме Нурбанк:

"Головне питання: яким чином Ганна потрапила в бази АТ" Нурбанк "? Може бути, вона все ж брала кредит там або їй було відмовлено в протягом останнього року, тоді у банку можуть бути законні підстави для запиту в ЦОН і в Перше кредитне бюро, - впевнена аналітик банківського сектора. - Однак якщо з'ясується, що менеджер банку незаконно, без письмового дозволу Дмитрович, отримав доступ до її персональних даних, то це порушення закону. це стосується і того, як були через посередника отримані довідки в центрі обслуговування населення і яким обр азом був отриманий розширений кредитний звіт на Анну Нурбанком з боку Першого кредитного бюро ".

Регулярні порушення закону про захист персональних даних громадян аналітик Ауесбаева називає результатом банківської гонки в відділах роздрібних продажів, коли керівництво не цікавить законність способів залучення клієнтів, а зарплата співробітників фінінститутів безпосередньо залежить від кількості виданих кредитів.

"Адже це почалося вже досить давно: в банках замість того, щоб покращувати сервіс, продовжують гнатися за показниками. А як їх досягти? Ну ось, у мене, припустимо, є якийсь знайомий в ЦОНе, я йому дзвоню і кажу: дорогий, ми обидва з тобою сидимо на копійчаних зарплатах, не хочеш, мовляв, заробити? Але ж так насправді, як мені розповідають, і відбувається сьогодні: в центрах при бажанні і можливості можна отримати будь-яку довідку. Просто до цієї ситуації, до історії з Ганною Димитриевич ніхто цим питанням не задавався: законно чи хтось отримує наша нехай ні, яку відповідальність повинен понести за законом, наскільки наші дані захищені? Сподіваюся, зараз і банки правильно відреагують на ситуацію і наведуть порядок ", - вважає Анар Ауесбаева.

Читайте також:
Цифрова економіка: банківський сектор робить крок вперед

Людський фактор

Пропозиція Багдат Мусіна закрити співробітникам ЦОНов легкий доступ до персональних даних казахстанців Informburo.kz вирішив обговорити з президентом ОЮЛ "Інтернет-асоціація Казахстану". На думку Шавкат Сабирова, проблеми повинні були передбачити заздалегідь:

"Якщо у вас в країні рівень інформатизації дуже високий, то напевно будуть дірки або нюанси, на які потрібно адекватно і оперативно реагувати. Особливо якщо банк вимагає від вас надати доступ до особистої конфіденційної інформації, а ви йому дозволяєте. Але при цьому держава повинна забезпечувати доступ в захищеному режимі, по закритому каналу, в режимі онлайн за конкретною особою. ніяк не ніжками, неможливо через Цони, ніяк ані від чоловіка, який за вас бере електронно-цифровий підпис і отримує доступ до всіх ваших даних, - упевнений Сабіров. - Не повинно бути ні посередників, ні тим більше людського фактора. Людський фактор повинен бути на 100% виключений. Проблеми сьогодні в Казахстані в питанні роботи систем і технологій - це виключно людський фактор. Навіть те, що стосується порушень в роботі електронних систем, - це практично завжди мова йде про людину. В таких речах як Цони і персональна інформація саме людський фактор стає найболючішою темою ".

Причому певну тривогу з питання збереження своїх даних, на думку Шавкат Сабирова, повинні відчувати не тільки власники електронно-цифрових підписів. ЕЦП забезпечує доступ в особистий кабінет на порталі eGov.kz і дозволяє контролювати процес отримання користувачем держпослуг, а ось відсутність цифрового підпису означає, що громадянин навіть теоретично не зможе дізнатися, чи отримував хтось дані про нього через портал.

"Те, що у тебе немає ЕЦП, не означає, що немає твоїх персональних даних і твоєї особистої інформації в системах. Держава в особі ЦОНов, які володіють нашими даними, має не просто дбайливо і делікатно ставитися до них, держава повинна берегти їх за сім'ю печатками. А не так, як зараз: прийшов в ЦОН, сказав, що з банку, взяв що треба і пішов, - сказав в інтерв'ю Informburo.kz Шавкат Сабіров. - що говорити: домовився, залишив там 50 тисяч тенге - і тобі видадуть будь-яку інформацію. Хіба це справа? Людина не може забезпечити надійний захист індивідуальні даних, яку б захист не придумали. За третю особу в ЦОНе виступати ніхто не повинен, там тільки я сам можу і повинен представляти себе ".

SMS, ЕЦП і біометрія

У липні 2017 року, міністерство з питань інформації та комунікацій повідомило, що тепер необов'язково мати ЕЦП, щоб отримати 20 найпопулярніших держпослуг. Цифровий підпис вирішили замінити паролями, які приходять SMS-повідомленнями. Однак фахівці стверджують, що дана технологія вже давно небезпечна, а застосовувати її треба було ще до впровадження ЕЦП.

На думку Руслана Омарова, голови Першого кредитного бюро, SMS-повідомлення дуже легко перехоплюються і підробляються, будь-яка операція, яка підтверджується SMS, може бути свідомо шахрайською.

"На зорі SMS все розуміли, що це досить гарантований канал інформації, але зараз це вже не так. Знаєте, в чому головний мінус використання SMS: у нас немає нормального списку реально ідентифікованих абонентів операторів стільникового зв'язку. Вичистіть цю базу, тоді і проблем з SMS не буде як таких, - упевнений Омаров. - Якщо кожен буде нести відповідальність, що даними телефоном користуюся тільки я, ні брат, ні дружина, а тільки я. Відмовлятися від SMS не слід, ось почистимо базу користувачів операторів стільникового зв'язку, актуалізуємо її , ось тоді а й треба робити наступний крок: переходити до нових технологій ".

Також, на думку глави Першого кредитного бюро, не потрібно критикувати і так не стала масовою електронно-цифровий підпис.

"На даний момент ЕЦП - це одне з найкращих рішень, яке було можливо прийняти. Але те, як вона реалізована у нас, викликає величезні проблеми, - запевняє експерт. - Всі розуміють, що щодня її неможливо використовувати. Я, приміром, не можу поміняти пароль на ЕЦП. це неймовірно складно, і щоб це зробити, там потрібно танці з бубном влаштовувати. Тому я його і не міняю. і у мене він, як і у багатьох мільйонів казахстанців, просто стандартний набір цифр, встановлений за замовчуванням, від 1 до 6. Чи може який-небудь геній і зміг поміняти пароль, але 99,99% обла Ательє ЕЦП - немає ".

Омаров і команда, до слова, є розробниками і авторами проекту інтернет-паспортів громадян Казахстану, які дозволять з високим рівнем ефективності навіть віддалено перевірити користувача. Правда, для цього знадобитися створити Єдину національну ідентифікаційну систему або Єнісей.

"Ми зараз ведемо переговори з Міністерством з питань інформації та комунікацій і з іншими держорганами, які відповідальні за цифровизацию. Показуємо їм нашу презентацію, говоримо про те, що це необхідно, що це фундаментальна базова річ, яку необхідно вводити перед цифровий економікою. Від цього буде танцювати все інше, - запевняє глава Першого кредитного бюро. - Ми говоримо про те, що потрібна віддалена аутентифікація громадянина, клієнта, за біометричними або мультимодальних параметрам: відбитками пальців, фотографій, райдужної оболонці ока, сітківці, по чому завгодно це може бути. Адже на підставі цього можна чітко ідентифікувати людину. А якщо ми говоримо про оффлайн-верифікації, то це ще більше говорить про довіру до даної системи. Коли людина отримує держпослуг і свою заяву підписує і підтверджує яким-небудь з біометричних параметрів, то шанс, що документ буде видано коректно і правильно саме тій особі, буде максимальним. Якщо все складеться добре, то наш проект інтернет-паспорта громадянина потрапить до держпрограми "Цифровий Казахстан". Ми дуже сильно на це сподіваємося, адже це крок вперед. Це наше майбутнє, зачепив на 5-10 років ".

Щоб у казахстанців з'явився інтернет-паспорт, знадобиться час і поправки в чинне законодавство. Судячи з історії з Анною Дмитрович, в Казахстані навіть високі технології не можуть стати захистом від людського фактора.