Насколько защищены персональные данные граждан в Казахстане?
История, происшедшая с жительницей Алматы Анной Димитриевич, многих заставила задуматься о безопасности личных данных. Обладатели электронно-цифровой подписи стали проверять свои личные кабинеты на портале eGov.kz и обнаружили, что информацию о них кто-то запрашивал. Informburo.kz рассказывает, почему так происходит и что может сделать государство для хорошей защиты данных казахстанцев.
Читайте также:
Почему государство готово платить за цифровую безопасность
Скандальный прецедент
История Анна Димитриевич из Алматы стала известна 25 октября. Некий сотрудник компании Global Capital (посредник для оказания консалтинговых услуг) без доверенности обратился в ЦОН Алмалинского района и получил адресную справку и документ о наличии (отсутствии) недвижимого имущества у Анны Димитриевич. Узнала этот факт алматинка случайно, зайдя личный кабинет на сайте eGov.kz.
Как выяснилось спустя 2 дня в результате расследования, информацию сотрудник консалтинговой компании незаконно получил в интересах АО "Нурбанк", который на основании также запрошенного в Первом кредитном бюро расширенного кредитного отчёта Анны, вероятно, хотел предложить жительнице Алматы в будущем какой-либо кредит. По словам Димитриевич, она никогда не была клиентом этого банка.
В "Нурбанке" и НАО "Правительство для граждан" сейчас идут служебные расследования. Сотрудницу ЦОНа, передавшую личные данные Анны Димитриевич, как обещают, обязательно уволят.
Сама алматинка заявляет, что извинений, которые за этот инцидент принесла госкорпорция "Правительство для граждан", в её случае недостаточно, и запутанное дело она намерена довести до конца. А представляющий её интересы юрист Олег Чернов сообщил журналистам, что резонансное дело будет иметь серьёзные последствия.
30 октября стало официально известно, что сотрудник компании Global Capital Галихан Мухамеджанов, который 25 октября без доверенности получил в ЦОНе справки на имя жительницы Алматы Анны Димитриевич, действовал исключительно по личной инициативе.
Читайте также:
Андрей Масалович, специалист по кибербезопасности: За нами постоянно следят
Неприятные последствия
Глава "Правительства для граждан" Аблайхан Оспанов на своей странице в Facebook сообщил, что после этого случая в госкорпорации "думают над ужесточением контроля доступа к данным и исключении человеческого фактора".
Председатель Комитета по правовой статистике и специальным учётам Генеральной прокуратуры РК Багдат Мусин также прокомментировал инцидент с передачей личных данных жительницы Алматы в третьи руки сотрудником ЦОНа на своей странице в Facebook.
Для решения проблемы, по мнению Багдата Мусина, необходимо прежде всего вообще закрыть лёгкий доступ сотрудникам ЦОНов к базе данных казахстанцев:
"Доступ нужен был раньше для решения проблемы с коррупцией, когда справка стоила 100 долларов, а спрос на них был очень велик, и очереди за бумажными справками составляли 50-70% обратившихся в ЦОН, и пользователей egov было мало. Но сейчас время прошло, видно, уже народ стал более грамотным в цифровом формате. Пусть имеет доступ только сам человек по своему ЭЦП или одноразовому паролю, который должен прийти на телефон", – предложил председатель Комитета по правовой статистике и специальным учётам.
По мнению Мусина, доступ к личным данным сотрудник ЦОНа должен иметь только по технологиям FaceRecognition (при совпадении фото лица клиента с фото в базе) или FingerPrint (при совпадении отпечатков пальцев). В случае, если ни то, ни другое не совпадает, открывать доступ можно только при директоре ЦОНа, отметил Багдат Мусин..
Читайте также:
Что Казахстан противопоставит хакерам всего мира
Коррупция в ЦОНах
Массовое появление центров обслуживания населения в республике сыграло положительную роль. Государство сегодня преобразовало структуру ЦОНов, и там сегодня "внутри" сидят и органы недвижимости, и служба земельного кадастра, и представители государственного центра по выплате пенсий и пособий. НАО "Государственная корпорация "Правительство для граждан" создали в 2016 году.
Появление госкорпорации для многих не стало неожиданностью. Сам проект "Электронное правительство" регулярно получает высокие международные оценки, а опыт казахстанских ЦОНов у себя реализуют страны постсоветсткого пространства.
Однако желание казахстанцев "договориться" даже в Центре обслуживания населения привело к появлению так называемых помогаек, которых используют те, кто не желает стоять в очередях. За несколько лет активной борьбы убрать помогаек в центрах так и не смогли.
Также некоторые эксперты говорят, что через сотрудников ЦОНов за отдельную плату можно получить информацию практически о любом гражданине. Неофициально ценники варьируются от 15 тысяч за незначительную справку до 100 тысяч тенге за более серьёзные операции. Особенно часто, как поговаривают, к такой негласной помощи прибегают некоторые юристы, адвокаты, коллекторы и судебные исполнители.
Официально информацию о гражданах, кроме компетентных органов, сегодня часто запрашивают банки второго уровня и микрофинансовые организации, причём граждане сами подписывают разрешение на доступ к своим персональным данным.
Читайте также:
Какие технологии изменят банковский сектор?
Банковская тайна и персональные данные граждан
Всё, что касается защиты персональных данных казахстанцев, регулируется профильным законом, принятым ещё в 2013 году. После этого юридический документ основательно дорабатывался и пополнялся поправками. В нём чётко прописано, что только гражданин может предоставлять кому-то разрешение на доступ к своей персональной информации. В том числе он может и отзывать это самое разрешение.
Но банки второго уровня работают всё же больше с оглядкой не на этот закон, а на правила Национального банка Республики Казахстан от 29 февраля 2016 года №66 "Об установлении перечня основных документов, подлежащих хранению, и сроках их хранения в банках второго уровня".
Согласно этому документу, оказывается, финансовые институты, даже отказав в кредите гражданину, могут и должны хранить его персональные данные ещё как минимум год.
Дав беззалоговый кредит и получив его с процентами обратно, банки тем не менее хранят кредитное дело заёмщика 5 лет со дня погашения, а в случае с залоговым кредитом – 10.
Иными словами, финансовый институт весьма длительное время имеет от гражданина действующее официальное разрешение на доступ к его личным данным. Частота запросов в государственные базы и актуализация этих данных обговаривается в договоре клиента и банка.
По словам аналитика банковского сектора Анар Ауесбаевой, клиенты просто не обращают внимания, что часто дают добро на это.
"Практически во всех документах, которые казахстанцы сегодня подписывают в стенах финансовой организации, внизу есть сноска, где написано "я разрешаю банку доступ к своим персональным данным…". Это стало просто обыденным, но никто об этом не задумывается, – заявила эксперт в интервью Informburo.kz. – Потом многие удивляются, почему уже после выплаты кредита раздаются звонки от менеджеров, письма на электронную почту приходят. Причём это происходит спустя несколько лет после погашения первого кредита. В банковскую базу вы попадаете сразу, как только подписываете разрешение на доступ к своим персональным данным".
По мнению Ауесбаевой, в ситуации с Анной Димитриевич необходимо достоверно узнать, подписывала ли она подобное разрешение именно Нурбанку:
"Главный вопрос: каким образом Анна попала в базы АО "Нурбанк"? Может быть, она всё же брала кредит там или ей было отказано в течение последнего года, тогда у банка могут быть законные основания для запроса в ЦОН и в Первое кредитное бюро, – уверена аналитик банковского сектора. – Однако если выяснится, что менеджер банка незаконно, без письменного разрешения Димитриевич, получил доступ к её персональным данным, то это нарушения закона. Это касается и того, как были через посредника получены справки в центре обслуживания населения и каким образом был получен расширенный кредитный отчёт на Анну Нурбанком со стороны Первого кредитного бюро".
Регулярные нарушения закона о защите персональных данных граждан аналитик Ауесбаева называет результатом банковской гонки в отделах розничных продаж, когда руководство не интересует законность способов привлечения клиентов, а зарплата сотрудников фининститутов напрямую зависит от количества выданных кредитов.
"Это ведь началось уже довольно давно: в банках вместо того, чтобы улучшать сервис, продолжают гнаться за показателями. А как их достичь? Ну вот, у меня, допустим, есть некий знакомый в ЦОНе, я ему звоню и говорю: дорогой, мы оба с тобой сидим на копеечных зарплатах, не хочешь, мол, заработать? А ведь так на самом деле, как мне рассказывают, и происходит сегодня: в центрах при желании и возможности можно получить любую справку. Просто до этой ситуации, до истории с Анной Димитриевич никто этим вопросом не задавался: законно ли кто-то получает наши данные, какую ответственность должен понести по закону, насколько наши данные защищены? Надеюсь, сейчас и банки правильно отреагируют на ситуацию и наведут порядок", – считает Анар Ауесбаева.
Читайте также:
Цифровая экономика: банковский сектор делает шаг вперёд
Человеческий фактор
Предложение Багдата Мусина закрыть сотрудникам ЦОНов лёгкий доступ к персональным данным казахстанцев Informburo.kz решил обсудить с президентом ОЮЛ "Интернет-ассоциация Казахстана". По мнению Шавката Сабирова, проблемы должны были предусмотреть заранее:
"Если у вас в стране уровень информатизации очень высокий, то наверняка будут дырки либо нюансы, на которые нужно адекватно и оперативно реагировать. Особенно если банк требует от вас предоставить доступ к личной конфиденциальной информации, а вы ему разрешаете. Но при этом государство должно обеспечивать доступ в защищённом режиме, по закрытому каналу, в режиме онлайн по конкретному лицу. Никак не ножками, никак не через ЦОНы, никак не через человека, который за вас берёт электронно-цифровую подпись и получает доступ ко всем вашим данным, – уверен Сабиров. – Не должно быть ни посредников, ни тем более человеческого фактора. Человеческий фактор должен быть на 100% исключён. Проблемы сегодня в Казахстане в вопросе работы систем и технологий – это исключительно человеческий фактор. Даже то, что касается нарушений в работе электронных систем, – это практически всегда речь идёт о человеке. В таких вещах как ЦОНы и персональная информация именно человеческий фактор становится самой больной темой".
Причём определённую тревогу по вопросу сохранности своих данных, по мнению Шавката Сабирова, должны испытывать не только обладатели электронно-цифровых подписей. ЭЦП обеспечивает доступ в личный кабинет на портале eGov.kz и позволяет контролировать процесс получения пользователем госуслуг, а вот отсутствие цифровой подписи означает, что гражданин даже теоретически не сможет узнать, получал ли кто-то данные о нём через портал.
"То, что у тебя нет ЭЦП, не значит, что нет твоих персональных данных и твоей личной информации в системах. Государство в лице ЦОНов, которые владеют нашими данными, должно не просто бережно и деликатно относиться к ним, государство должно беречь их за семью печатями. А не так, как сейчас: пришёл в ЦОН, сказал, что из банка, взял что надо и ушёл, – сказал в интервью Informburo.kz Шавкат Сабиров. – Что говорить: договорился, оставил там 50 тысяч тенге – и тебе выдадут любую информацию. Разве это дело? Человек не может обеспечить надёжную защиту персональных данных, какую бы защиту ни придумали. За третье лицо в ЦОНе выступать никто не должен, там только я сам могу и должен представлять себя".
SMS, ЭЦП и биометрия
В июле 2017 года министерство по информации и коммуникациям сообщило, что теперь необязательно иметь ЭЦП, чтобы получить 20 самых популярных госуслуг. Цифровую подпись решили заменить паролями, которые приходят SMS-уведомлениями. Однако специалисты утверждают, что данная технология уже давно небезопасна, а применять её надо было ещё до внедрения ЭЦП.
По мнению Руслана Омарова, главы Первого кредитного бюро, SMS-сообщения очень легко перехватываются и подделываются, любая операция, которая подтверждается SMS, может быть заведомо мошеннической.
"На заре SMS все понимали, что это достаточно гарантированный канал информации, но сейчас это уже не так. Знаете, в чём главный минус использования SMS: у нас нет нормального списка реально идентифицированных абонентов операторов сотовой связи. Вычистите эту базу, тогда и проблем с SMS не будет как таковых, – уверен Омаров. – Если каждый будет нести ответственность, что данным телефоном пользуюсь только я, ни брат, ни жена, а только я. Отказываться от SMS не следует, вот почистим базу пользователей операторов сотовой связи, актуализируем её, вот тогда и надо делать следующий шаг: переходить к новым технологиям".
Также, по мнению главы Первого кредитного бюро, не нужно критиковать и так не ставшую массовой электронно-цифровую подпись.
"На данный момент ЭЦП – это одно из лучших решений, которое было возможно принять. Но то, как она реализована у нас, вызывает огромные проблемы, – уверяет эксперт. – Все понимают, что ежедневно её невозможно использовать. Я, к примеру, не могу поменять пароль на ЭЦП. Это невероятно сложно, и чтобы это сделать, там нужно танцы с бубном устраивать. Поэтому я его и не меняю. И у меня он, как и у многих миллионов казахстанцев, просто стандартный набор цифр, установленный по умолчанию, от 1 до 6. Может какой-нибудь гений и смог поменять пароль, но 99,99% обладателей ЭЦП – нет".
Омаров и команда, к слову, являются разработчиками и авторами проекта интернет-паспортов граждан Казахстана, которые позволят с высоким уровнем эффективности даже удалённо проверить пользователя. Правда, для этого понадобиться создать Единую национальную идентификационную систему или ЕНИС.
"Мы сейчас ведём переговоры с Министерством по информации и коммуникациям и с другими госорганами, которые ответственны за цифровизацию. Показываем им нашу презентацию, говорим о том, что это необходимо, что это фундаментальная базовая вещь, которую необходимо вводить перед цифровой экономикой. От этого будет плясать всё остальное, – уверяет глава Первого кредитного бюро. – Мы говорим о том, что нужна удалённая аутентификация гражданина, клиента, по биометрическим или мультимодальным параметрам: отпечаткам пальцев, фотографиям, радужной оболочке глаза, сетчатке, по чему угодно это может быть. Ведь на основании этого можно чётко идентифицировать человека. А если мы говорим об оффлайн-верификации, то это ещё больше говорит о доверии к данной системе. Когда человек получает госуслугу и своё заявление подписывает и подтверждает каким-нибудь из биометрических параметров, то шанс, что документ будет выдан корректно и правильно именно тому лицу, будет максимальным. Если всё сложится хорошо, то наш проект интернет-паспорта гражданина попадёт в госпрограмму "Цифровой Казахстан". Мы очень сильно на это надеемся, ведь это шаг вперёд. Это наше будущее, задел на 5-10 лет".
Чтобы у казахстанцев появился интернет-паспорт, понадобится время и поправки в действующее законодательство. Судя по истории с Анной Димитриевич, в Казахстане даже высокие технологии не могут стать защитой от человеческого фактора.