Цифровая диктатура: почему персональные данные казахстанцев плохо защищены и кому выгодны утечки
В Казахстане давно обсуждают введение права на забвение – удаление своих персональных данных из общего доступа, но как выяснилось, не всю цифровую информацию можно отправить "в корзину".
Что произошло
С ростом использования онлайн-сервисов и цифровых технологий возрастает объём данных, которые граждане предоставляют госорганам и частным компаниям: личная информация, медицинские записи, финансовые операции и другие сведения, которые могут быть использованы не по назначению. BES.media выяснил, как чаще всего утекают данные, кому это может быть выгодно и исправит ли ситуацию повышение штрафов и введение права на забвение.
Что относят к личным данным
Персональные данные – это любая информация, которая позволяет идентифицировать конкретного человека: имя, адрес, номер телефона, ИИН, медицинские или финансовые сведения. По закону такие данные должны быть защищены от несанкционированного доступа, использования и распространения. В Казахстане обработка персональных данных возможна только с согласия гражданина, а организации, которые собирают и хранят эти сведения, обязаны обеспечивать их конфиденциальность, используя меры информационной безопасности и контролируя доступ сотрудников к ним.
Однако всё чаще в Казнете появляются новости об утечке данных. Причём часто виной этому не слабая система киберзащиты, а человеческий фактор: невнимательность, халатность или намеренная кража.
Самые масштабные утечки данных в Казахстане
Летом 2019 года медицинская информация 11 млн казахстанцев из DamuМed попала в Сеть. В DamuМed тогда объяснили, что это "инцидент передачи третьим лицам информации, содержащей конфиденциальные данные, от лица, имеющего легальный авторизованный пользовательский доступ в медицинскую информационную систему". Проще говоря, данные слил кто-то из сотрудников компании.
В начале 2020 года Центр анализа и расследований кибератак (TSARKA) сообщил о том, что информационная система Генеральной прокуратуры передаёт в интернет информацию о штрафах, предупреждениях, адресах проживания, фотографии нарушителей и номера автомобилей. Также она раскрывает административные дела обо всех гражданах Казахстана и иностранцах.
В конце лета 2020 года снова засветился DamuМed: пользователи стали жаловаться, что приложение приписывало казахстанцам чужих мужей, жён и детей. Именно этот сбой в системе дал доступ посторонним к персональной информации другого человека.
В 2022 году TSARKA сообщил, что на одном из хакерских форумов выставлен на продажу доступ к серверу бэкапа баз данных "Казпочты": 44 таблицы общим размером 110 ГБ и около 12 млн записей, включая автострахование, запросы на кредиты, денежные переводы, открытие счетов и карт, информация о сотрудниках. В пресс-службе "Казпочты" тогда сообщили: "физическое лицо, разместившее объявление, получило данные со стороннего сервера. Утечки с серверов "Казпочты" не происходило".
В марте 2024 года Государственная техслужба обнаружила утечку более 2 млн персональных данных казахстанцев, являющихся клиентами микрофинансовой организации zaimer.kz (ТОО "МФО "Робокэш.кз").
"Наличие уже известных утечек данных из баз государственного сектора DamuМed, eGov, ЦИК РК, Генпрокуратуры свидетельствует об отсутствии эффективных механизмов контроля, мониторинга сохранности и ограничения доступа к базам данных", – сказал BES.media правозащитник, юрист-практик в области гражданского права Роман Реймер.
___
Читайте также:
___
Как чаще всего происходят утечки
По словам председателя Комитета по информационной безопасности (КИБ) МЦРИАП Руслана Абдикаликова, до сих пор большинство обращений, которые поступают в министерство, связаны с человеческим фактором.
"Мы получили большое количество жалоб от родителей из Кызылординской области по факту использования систем биометрии в садиках. Проверка показала, что компания, которая внедряет биометрическую идентификацию в детских садах области, допустила нарушение. Они не получили согласие от родителей для использования биометрических данных их детей. Это первое", – рассказал он.
Второй кейс – это использование систем биометрии в программах кружковой работы.
"Получили много жалоб из Алматы. Компания, которая реализовывала этот проект, выполнила все требования законодательства, к ней претензий нет. Но вопросы возникли к работникам районных акиматов, которые незаконно использовали персональные данные, которые накапливались в системе. Их привлекаем к административной ответственности", – добавил Руслан Абдикаликов.
Кто имеет доступ к медицинским данным казахстанцев
Случаются и частные кейсы. Руководитель ООИ "Подранки-Шарасыздар" Галия Тобатаева рассказала, что за последние два года в её электронный паспорт здоровья (ЭПЗ) заходили работники нескольких поликлиник Алматы и Астаны, к которым она не обращалась. Сначала Галия Тобатаева обратилась в МЦИРАП, потом в минздрав, затем к депутатам от НПК, после чего её отправили в УЗ Алматы и понеслись отписки. В завершение всех ответов: «Отказать в рассмотрении». Но, обо всём по порядку.
Всё началось с того, что в рамках тестирования частной компании Damumed Галия Тобатаева случайно выявила неправомерный вход в паспорт здоровья, поскольку у пациентов отсутствует возможность отслеживания действий медработников по сбору персональных данных в ЭПЗ.
Проверка исполнения требований закона в области защиты персональных данных привели к череде переписок между ней и государственными органами на тему того, на каком основании посторонние люди заходят и проверяют данные человека, кто эти люди и какова была их цель.
Тобатаевой также пришлось обратиться к депутатам мажилиса от народной партии, после чего ей написали из УОЗ Алматы и заверили, что этого просто не может быть.
"В соответствии с Кодексом РК "О здоровье народа и системе здравоохранения", законами РК "Об информации" и "О персональных данных и их защите" и на основании письма председателя правления ТОО "Центра информационных технологии "ДАМУ" Киль Н.В. от 17 марта 2023 года №451 у медицинских организаций Алматы отсутствует доступ к просмотру электронной медицинской карты пациента в случае его прикрепления к другой медицинской организации", – сказано в письме управления общественного здравоохранения.
Между тем, как уверяет Галия Тобатаева, эта информация не соответствует действительности, так как в 2024 году произошел очередной инцидент, когда в паспорт здоровья вновь зашли сотрудники иных медорганизаций.
–––
Читайте также:
- В Минздраве готовы проверить «лишних посетителей» в DamuMed
- Глава минздрава о доступе посторонних к DamuMed: Это вторжение в информационную систему
–––
Галия Тобатаева написала запрос в свою поликлинику с просьбой предоставить сведения, кто просматривал её паспорт здоровья. Оказалось, что в 2022-2023 годах её ЭПЗ проверяли специалисты поликлиник Алматы №№7, 10, 20, 15, 30 и 6, к которым она не обращалась. Причём паспорт смотрели не только врачи, но и другие сотрудники. Например, заместитель директора и главный инженер.
"В паспортах здоровья помимо ФИО, ИИН, адреса проживания, места работы и общих медицинских данных, вроде группы крови и резус-фактора могут быть деликатные сведения: данные анализов, записи об операциях, абортах, импотенции, инфекции. Свободный доступ к подобным сведениям третьих лиц, пусть даже из медицинского сообщества, несёт серьёзные репутационные риски для любого пациента. К тому же одинокие пожилые люди меньше защищены от мошенников и преступников", – прокомментировала Галия Тобатаева.
Статья 24 Закона РК "О персональных данных" трактует: "субъект имеет право получать информацию, содержащую подтверждение факта, цели, источников, способов сбора персональных данных".
Никто так и не рассказал Галие Тобатаевой, какова была цель входа сотрудников в её ЭПЗ. Несанкционированные входы в её ЭПЗ продолжаются до сих пор. Как заверяет руководитель ООИ "Подранки-Шарасыздар" никто из госорганов из минздрава, МЦИРАП, УОЗ Алматы не взял на себя ответственность и до сих пор не привлечён за необеспечение защиты медицинских персональных данных.
Статья 61 Кодекса "О здоровье" констатирует: "физическое лицо имеет право доступа в ЭПЗ в отслеживании журнала доступа к данным".
Однако в DamuМed такого права у пациентов нет.
В МЦРИАП говорили о проверках, ошибочном вводе ИИН, возможном привлечении к административной ответственности (штрафу). Но к тому времени по некоторым фактам входа уже истёк срок давности (два месяца).
Итоги двухлетней переписки продолжаются предоставлением невразумительных отписок и отказов в рассмотрении. Тем временем на цифровизацию здравоохранения тратятся миллиарды тенге.
Как наказывают виновных
С тем, что сроки наказания короткие, согласились и в Комитете по информационной безопасности.
"В 2023 году было 38 проверок по защите персональных данных. В этом году – уже 50. Около 300 жалоб от граждан мы получили по факту нарушения их прав на защиту персональных данных. В этом году мы столкнулись с проблемой, что к нам поступают материалы, у которых установленный законодательством срок наказания уже истёк. Это всего два месяца. Мы выходим с предложением, чтобы процессуальный срок увеличить с двух месяцев до одного года. В этом случае мы могли бы наказывать виновных. Сейчас госслужащие, которые допускают нарушения по электронному документу и, самое главное, по использованию электронной цифровой подписи, остаются безнаказанными, к сожалению. Только дисциплинарное взыскание", – рассказал Руслан Абдикаликов.
Наказания за утечку данных в Казахстане мягкие. Законодательство предусматривает штрафы, однако они невысокие, а уголовная ответственность предусмотрена только в том случае, если последствия утечки или использование данных нарушило статьи Уголовного кодекса. Тогда по статье 147 УК РК может грозить до семи лет колонии. Чаще всего наказание ограничивается минимальными суммами или увольнением виновных сотрудников.
___
Читайте также:
___
"На должностное лицо или физическое – штраф всего в 15 МРП. Если он согласен уплатить его в течение недели – 7,5 МРП. На организацию, в зависимости от того, к какому классу субъекта рынка она относится, штрафы, конечно, побольше, но не намного. Когда гражданин узнаёт, какой штраф заплатил нарушитель, он нам пишет жалобу и спрашивает, почему такой маленький штраф. Мы с депутатами выступаем за то, чтобы эти штрафы увеличить хотя бы в 2-3 раза. Следуя зарубежному опыту, мы бы предложили ввести оборотные штрафы, к примеру, 1% от выручки организации", – сказал Руслан Абдикаликов.
Международный эксперт в области IT и кибербезопасности, член Бюро ЭСКАТО ООН Арман Абдрасилов считает, что действующие наказания не страшны для тех, кто сливает данные.
"Субъектов, которые подлежат проверке, настолько много. Мы считали, что около 400 лет нужно будет органам, чтобы провести проверки во всех этих субъектах. Понятно, что к каким-то крупным кейсам какие-то меры административного воздействия принимаются, но они незначительны. В принципе, влияния на бизнес этих компаний не оказывают. Тот же Zaimer заплатил штраф где-то в 1 млн тенге. Понятно, что для кредитной организации это не проблема. Они могут такие нарушения допускать ежеквартально, ежемесячно, еженедельно, и это не скажется на их бизнесе", – уверен он.
Если сравнить штрафы за утечку с суммой, которую запросили в объявлении о продаже данных "Казпочты", выходит, что сливать информацию ещё и выгодно: 1 млн штрафа против 11,5 млн тенге за продажу сведений.
Что нужно изменить
Сейчас расследование государством фактов утечки не афишируется. Общественности раскрывают только результаты проверки, да и то не всегда. В МЦРИАП отметили, что разбирательства начинаются исключительно из-за обращений граждан через eOtinish. Комментарии, социальные сети, электронные письма и публикации в СМИ не являются поводом для проверок.
Одним из решений предотвращения утечки данных в МЦРИАП считают расширение сферы действия госсервиса контроля персональных данных.
"У нас есть частные сервисы контроля доступа к персональным данным. На наш взгляд, запуск частных сервисов поможет решить эту проблему. Сегодня обращаться к их услугам – добровольное решение, но когда у нас что-то добровольно, это не работает. Поэтому мы будем настаивать на том, чтобы законодательно закрепить: чтобы те субъекты рынка, которые используют большое количество персональных данных, обязать иметь свой частный сервис по контролю доступа к персональным данным. Он будет интегрироваться с государственным. Мы через портал электронного правительства будем информировать гражданина, что где-то был получен доступ. Если гражданин понимает, что он этого не делал и это было незаконно, он сможет написать жалобу в Комитет информационной безопасности", – рассказал Руслан Абдикаликов.
Арман Абдрасилов также считает, что превентивные меры борьбы с утечкой данных должны быть приоритетом в государственной безопасности. Но то, что всё происходит наоборот, может быть даже выгодным государству.
"Нам нужно бороться с последствиями и серьёзно за это наказывать. Но нам надо и предупреждать. "Палочную систему" – когда и сколько дел мы возбудим – надо менять на "сколько утечек предотвратили". Если мы подходим к делу с точки зрения "палочной системы", государству даже, наверное, выгодны эти утечки: их количество будет расти, потом возбуждать административные дела, штрафовать, наполнять бюджет", – пояснил он.
Почему право на забвение не спасёт казахстанцев от утечки данных
Ранее в МЦРИАП рассказывали о планах внедрить до конца 2024 года для казахстанцев право на забвение: иметь возможность удалить или отозвать согласие на обработку своих персональных данных.
___
Читайте также:
___
На медицинские данные такое право не распространяется, так как по Кодексу о здоровье человек не может отказаться от обработки его медицинских данных. По словам Руслана Абдикаликова, ограничить доступ медработников к персональным данным и медицинской тайне невозможно.
Однако, согласно ответу министерства здравоохранения, такое право всё-таки есть.
"Согласно статье 60, пункт 4, кодекса, передача персональных медицинских данных в Национальный электронный паспорт здоровья и электронные информационные ресурсы уполномоченного органа осуществляется без согласия физического лица, а также субъектам здравоохранения только для целей оказания медицинской помощи и в случаях, указанных:
- в статье 137, пункт 1, кодекса ("Оказание медицинской помощи без согласия пациента");
- Законе РК "О персональных данных и их защите".
Пациенту, согласно кодексу, предоставляется право выбора передачи персональных данных. В случае отказа от сбора, обработки и хранения персональных данных передача таких данных в Национальный электронный паспорт здоровья не будет осуществляться.
Таким образом, вы можете подать отзыв согласия на сбор, обработку персональных данных в соответствии со статьёй 8, пункт 1, Закона РК "О персональных данных и их защите", письменно посредством государственного сервиса, негосударственного сервиса либо иным способом, позволяющим подтвердить получение согласия в медицинской организации, в которой подали согласие", – сообщил в ответе на запрос Галии Тобатаевой директор департамента развития электронного здравоохранения Фархад Бекбулатов.
Получается, что либо в ведомствах не подошли к вопросу детально, либо кодекс и законы противоречат друг другу.
Арман Абдрасилов считает, что инициатива права на забвение не совсем жизнеспособна, поскольку в чём-то неисполнима. И речь не только о медицинских данных граждан.
"Это сложно проконтролировать. Действительно ли есть техническая возможность удалить ваши данные на стороне той же самой платформы? Позволяют ли это процессы, или это будет декоративно сделано? К тому же сегодня без передачи права на обработку персональных данных стране становится очень сложно получать какие-то услуги. И это называется цифровой диктатурой, то есть если я хочу получить услуги в классическом формате, не передавая никому свои фотографии, отпечатки пальцев, номер телефона, а просто прийти и по старинке получить услугу, мне откажут в обслуживании. И это очень плохо", – заключил он.
Почему это важно
Защита от утечки данных – это не столько вопрос конфиденциальности, сколько проблема безопасности, доверия к цифровой инфраструктуре и стабильности как для отдельных граждан, так и для всего общества в Казахстане. На фоне сливов информации в Сеть излишняя цифровизация уже не выглядит хорошей идеей. И дело, как выяснилось, не только в хакерах, которые могут использовать утечку данных для мошенничества, шантажа или кражи идентичности. Обычные сотрудники органов и компаний также могут привести к компрометации даже самых продвинутых систем защиты.
Отсутствие возможности получать услуги без передачи цифровых данных может привести не только к нарушениям прав потребителя, но и к проблеме цифрового неравенства. Не все граждане имеют равный доступ к технологиям и обладают навыками их использования, не говоря уже о том, что интернет-покрытие в Казахстане оставляет желать лучшего и часть населения оказывается на "цифровой периферии", теряя доступ к ключевым сервисам и возможностям.
___
Читайте также:
___