Доступність посилання

ТОП новини

Скільки коштують персональні дані українців і чи легко їх купити?


28 січня – Міжнародний день захисту персональних даних
28 січня – Міжнародний день захисту персональних даних

25 доларів за банківські дані, якщо з фото – то 70. А за 100 доларів - майже повний безліміт персональних даних впродовж місяця. Такі розцінки на ринку «пробиву» в Україні.

«Пробити» можна все: деталізацію дзвінків, закордонний паспорт і навіть свідоцтво про народження і місце перебування особи. Радіо Свобода розбиралося, хто продає персональні дані українців і скільки вони коштують.

«Ціна вашого цифрового життя – 3 долари. А ціна вашого листування, наприклад, у Gmail, здається, від 600 до 1500 доларів», – розповідає у коментарі Радіо Свобода експерт із кібербезпеки Микита Книш.

Сьогодні будь-хто може придбати персональні дані українців у даркнеті. Це такий собі паралельний інтернет, де можна придбати усе, що поза законом. І найголовніше – його практично неможливо відстежити ні провайдерам, ні спецслужбам.

В останні роки даними із закритих баз торгують і боти у телеграмі. Кілька кліків – і ви можете знайти досьє майже на будь-кого. Про деякі з них уже писали у ЗМІ.

Але хто ж ці дані викрадає? І головне – навіщо? Микита Книш переконує, що закриту інформацію зливають передовсім працівники державних органів.

Микита Книш, фахівець із кібербезпеки
Микита Книш, фахівець із кібербезпеки

«Якщо ми говоримо про те, як потрапляють водійські посвідчення у телеграм-канали, про що нещодавно був скандал, то не через «Дію». Вони потрапляють напряму з МВС. Тобто є люди, працівники внутрішніх справ, приходять і фізично вставляють флешку у сервер. Як правило, це відбувається так, або ж надають віддалений доступ необхідній людині. Людина викачує усю базу даних, отримує свої гроші, як правило, це біткойн або інша криптовалюта. І таким чином продає ці первинні дані», – каже фахівець.

Департамент кіберполіції запевняє, що і приватні, і державні структури піклуються про свою внутрішню безпеку, адже будь-який витік – пляма на репутації. Хоча визнають, зарплата фахівцям з кібербезпеки у державному секторі поступається приватному.

«Департамент кіберполіції співпрацює з нашим департаментом внутрішньої безпеки. Якщо в їхньому підрозділі є інформація про те, що недбалий поліцейський намагається отримати персональну інформацію з баз даних Нацполіції, то департамент кіберполіції оперативно включається в розслідування, технічно допомагає задокументувати того чи іншого злочинця і надалі спільно з підрозділом внутрішньої безпеки притягує цих осіб до відповідальності», – каже в коментарі Радіо Свобода перший заступник начальника Департаменту кіберполіції Сергій Кропива.

Сергій Кропива
Сергій Кропива

Але як зловмисники можуть використати викрадені дані проти вас? Як ніхто, про це знає Микола Пересада. Заволодівши його паспортними даними у 2008 році, шахраї спромоглися оформити на нього позику у банку.

«Відкривши поштову скриньку, я виявив попередження, велике і яскраве, як любили у той час надсилати колекторські агенції, про те, що я злісний боржник і маю повернути гроші певному банкові», – розповідає Микола.

На той момент паспорт Миколи вже був у базі втрачених документів, але це не завадило шахраям отримати позики на його ім’я. Попри це, банків, які видали ці кредити, було декілька, але лише один вирішив позиватися проти Миколи.

Він розповідає, що завдяки цьому він зміг побачити документи, за якими і оформили кредит: це були неякісні ксерокопії його підробленого паспорта і дублікат його справжнього індивідуального податкового номера.

Дані, які вдалося викрасти зловмисникам, коштували Миколі багато нервів, часу, але також і коштів через судову тяганину. Постраждалий розповідає, що процес тривав півтора року, а послуги адвоката коштували йому від ста доларів за кожне засідання суду.

Шахраї використали викрадені дані Миколи Пересади, щоб оформити на нього кредит
Шахраї використали викрадені дані Миколи Пересади, щоб оформити на нього кредит

Микола розповідає нам іще одну історію про те, як шахраї спробували збагатитися, коли, імовірно, викрали його дані з бази вже іншого банку. Там Миколу попередили про те, що його карту, імовірно, заблокують, і статися це може у конкретний день. Тому коли шахрай зателефонував, Миколі це спочатку не здалося підозрілим.

«Представившись працівником цього банку, людина називає мої дані і каже, що моя картка заблокована, і починає щось ще в мене випитувати. Я відчув, що цю розмову треба припинити і перетелефонувати на гарячу лінію банку. Мені сказали, що з моєю карткою все нормально, і вони не знають, хто це телефонував. Це, мабуть, шахрайство», – розповів Микола.

Особливо жаданими персональні дані стають у час виборчих кампаній, розповів раніше в коментарі Радіо Свобода державний експерт служби з питань кібербезпеки Олександр Лопаткін.

«Куди ці всі персональні дані йдуть? Починається з того, що незрозумілі люди вам постійно телефонують і кажуть: «Ми представляємо таку-то політичну партію, дайте відповідь на кілька питань», – наводив приклад використання таких зливів Лопаткін.

Чи дійсно так легко купити досьє із закритою інформацією на будь-кого? Ми вирішили дізнатись і провели власний експеримент. Ми спробували «пробити» інформацію про себе у двох телеграм-ботах, які нелегально надають послуги.

Все, що було потрібно, – це номер телефону. За ним через один із ботів ми отримали ім’я і прізвище, а також адресу електронної пошти і посилання на сторінку у соціальній мережі. Щоправда, дані, які нам вдалося отримати, нині не актуальні і належать родичці авторки цього сюжету. Імовірно, база даних, якою торгують у боті, кількарічної давнини.

Інший бот, у якому ми замовили «пробив», спеціалізується на даних із внутрішніх баз даних українських банків. У ньому за 25 доларів США нам вдалося отримати інформацію про дату народження, а також серію і номер паспорта й ідентифікаційний код. Щоб шахрайським чином отримати позику, цієї інформації цілком достатньо.

За 25 доларів США можна купити інформацію із банківської внутрішньої бази
За 25 доларів США можна купити інформацію із банківської внутрішньої бази

Лише у 2020 році поліція відкрила 850 проваджень за фактом незаконного використання персональної і приватної інформації. Це офіційна статистика, але скільки залишається непомічених випадків викрадання закритих даних, сказати важко. Все через те, що зловмисники зазвичай використовують сервіси анонімізації, і інколи складно встановити, звідки ж відбувся початковий злив.

В Україні існує закон про захист персональних даних, та чи можливо його ефективно застосувати?

«На превеликий жаль, я вже багато років спостерігаю цей закон, і я хочу сказати, що від самого початку він був «мертвонародженим». Тому що в цьому законі немає градації персональних даних. Я вважаю, що треба розділити персональні дані на загальнодоступні, вразливі і надвразливі. Це те, що є в усьому світі», – каже у коментарі Радіо Свобода адвокатка Регіна Гусейнова-Чекурда.

Регіна Гусейнова-Чекурда, членкиня Ради адвокатів Київської області
Регіна Гусейнова-Чекурда, членкиня Ради адвокатів Київської області

Вона переконує: така невизначеність не дозволяє ефективно розслідувати такі справи. А от стаття 182 Кримінального кодексу України передбачає позбавлення волі від 6 місяців до 3 років за порушення недоторканності приватного життя.

«Але ця стаття Кримінального кодексу вже застаріла. Чому? Тому що в наш час швидких комунікацій, коли ми за п’ять хвилин можемо знайти інформацію про людину у соціальних мережах… якщо тебе не забанили у гуглі, ти можеш зібрати інформацію», – пояснює Гусейнова-Чекурда.

Експерти спільного проєкту Європейського союзу і Ради Європи з нагоди Міжнародного дня захисту персональних даних, який відзначають 28 січня, дали рекомендації Україні щодо вдосконалення законодавства у сфері захисту персональних даних.

В Офісі Ради Європи в Україні виділили такі проблеми українського законодавства у сфері захисту персональних даних:

  • Норми закону здебільшого містять загальні вимоги, більшості норм не вистачає деталізації, що значно ускладнює їхнє практичне застосування.
  • Закон України «Про захист персональних даних» ухвалений у 2010 році. Він не був новаторським. Технології обробки даних розвиваються дуже швидко, і на сьогодні цей закон уже значно застарів і не відповідає багатьом практичним реаліям обробки персональних даних;
  • Низька якість підзаконних нормативно-правових актів. Наприклад, Типовий порядок обробки персональних даних, який міг би допомогти вирішити деякі проблеми правозастосування, є мало інформативним і з моменту його ухвалення в 2014 році не оновлювався.

Експерт спільного проєкту «Європейський союз та Рада Європи працюють разом задля посилення операційної спроможності омбудсмана у захисті прав людини» Олександр Шевчук надав такі рекомендації задля вдосконалення захисту персональних даних в Україні:

  • створити ефективний наглядовий орган захисту персональних даних в Україні: незалежний наглядовий орган, відповідальний за розроблення методичних рекомендацій, моніторинг і контроль за додержанням законодавства в сфері захисту персональних даних;
  • привести термінологію закону України «Про захист персональних даних» у відповідність до законодавства ЄС (Регламенту 2016/679);
  • деталізувати зміст принципів захисту персональних даних;
  • ввести й удосконалити низку прав суб’єктів щодо їхніх персональних даних, зокрема, «право бути забутим» і право на мобільність даних;
  • детально і чітко прописати повноваження, обов’язки, відповідальність розпорядника і власника даних;
  • запровадити вимогу для компаній у певних випадках призначати співробітника з питань захисту персональних даних;
  • розробити й удосконалити кодекси поведінки з питань захисту персональних даних у відповідних сферах;
  • вдосконалити процедуру повідомлення про витік даних.

Продавцем персональних даних в Україні може бути будь-хто. За словами представника Кіберполіції, єдине, що їх об’єднує, – це жага до збагачення.

Над матеріалом працювали Сашко Шевченко і Валентина Половинка

  • Зображення 16x9

    Сашко Шевченко

    Журналіст проєкту Радіо Свобода «Ньюзрум» з січня 2020 року. Співпрацював з виданнями Hromadske.ua та «Детектор медіа». У червні 2019 року пройшов двотижневе стажування у команді data-журналістики The Guardian в Лондоні. Здобув ступінь магістра журналістики в університеті City (Лондон, Сполучене Королівство). Цікавлюсь міжнародними подіями та новинами технологій. 

ВИБІР ЧИТАЧІВ

XS
SM
MD
LG