Вывешванне на агульны агляд спісаў даўжнікоў, якія не заплацілі камунальныя плацяжы ці ўзносы ў садовае таварыства, укараненне сістэм відэасувязі ў кабінетах урачоў, дзе яны прымаюць пацыентаў, ці на жылым доме, патрабаванне пашпартных даных пры звароце білета на канцэрт, сістэма распазнавання асоб па тварах у дзіцячым садку... Гэтыя і шмат якія іншыя прыклады выкарыстання персанальных даных (ПД) непакояць людзей і вымушаюць задумацца, ці можна так рабіць. Пры гэтым часта ініцыятарам доступу да асабістых звестак чалавека становяцца не толькі аператары арганізацый, якія іх апрацоўваюць, але і сам іх уладальнік, які бяздумна раздае іх направа і налева. Як не страціць ПД і папярэдзіць іх крадзеж, каму прад'яўляць прэтэнзіі за празмернае іх ужыванне, калі можна забараніць выкарыстанне інфармацыі пра чалавека? Пра ўсё гэта можна было даведацца на Дні адкрытых дзвярэй, які адбыўся ў Нацыянальным цэнтры абароны персанальных даных.
У Канстытуцыі сказана, што дзяржава стварае ўмовы для абароны персанальных даных, бяспекі асобы і грамадства пры іх выкарыстанні. Поспех у гарантаванні бяспечнага працэсу таго, што адбываецца з нашай асабістай інфармацыяй, залежыць не столькі ад дзяржавы (хаця без умоў належная абарона немагчымая), колькі ад дзеянняў арганізацый, якія збіраюць персанальную інфармацыю, і ад самога чалавека (наколькі ён сам цэніць тое, што характарызуе яго самога). А Нацыянальны цэнтр абароны персанальных даных (НЦАПД) створаны для таго, каб забяспечваць у краіне належнае выкананне прававых нормаў у забеспячэнні абароны ПД, дапамагаць вытрымліваць правы грамадзян людзям і арганізацыям, заўважыў Андрэй Гаеў, дырэктар НЦАПД, які агучыў некалькі выпадкаў досыць буйных уцечак ПД (з гандлёвых сетак «Востраў чысціні і смаку» і «Буслік», а таксама сеткі салонаў сувязі «Ало»:
— Зламыснікі скарысталіся ўразлівасцю сістэмы «Бітрыкс», змаглі ўкараніцца ў інфармацыйныя рэсурсы арганізацый і спампаваць звесткі пра кліентаў і работнікаў гэтых арганізацый. Аналіз сітуацыі паказаў, што ўцечкам папярэднічала непрыняцце мер па абароне інфармацыі, то-бок, не абнаўляліся своечасова праграмныя прадукты. Асобы, якія павінны былі ажыццяўляць кантроль за абаронай інфармацыі, не выканалі неабходныя меры, прадугледжаныя заканадаўствам. Такім чынам, інфармацыйныя сістэмы не мелі належнай абароны з тэхнічнага боку. Аднак гэта вынік, а чаму так адбылося? Ніхто, акрамя саміх спецыялістаў арганізацый, не мог належным чынам забяспечыць абарону ПД грамадзян. Па сутнасці, бізнес, зарабляючы грошы на аказанні паслуг пры продажы тавараў, павінен клапаціцца пра тых, хто гэтыя грошы ім прыносіць.
За апошні год Цэнтр праманіторыў звыш 50 сайтаў розных арганізацый, робячы акцэнт на буйныя асацыяцыі, якія прадстаўляюць розныя напрамкі бізнесу. А ў 2023-м (праведзена восем планавых праверак, пяць — пазапланавых і 15 — камеральных) выбудавался работа з канкрэтнымі рэсурсамі і арганізацыямі, найперш тымі, хто гандлюе таварамі праз інтэрнэт. На жаль, у кожным выпадку выяўляліся парушэнні, удакладніў дырэктар, але ж прывесці прыклады такіх парушальнікаў нельга, бо гэта аўтаматычна стане падставай для злаўмыснікаў узламаць гэтыя неабароненыя сістэмы.
— Нядаўна мы прааналізавалі буйны інфармацыйны рэсурс, і аказалася, што нават на абаронены хостынг інфармацыя аб сотнях тысяч нашых грамадзян не была перанесена, ніякія меры, звязаныя з тэхнічнай абаронай інфармацыі, не выкананы, ніводнага варыянта лагіравання дзеянняў супрацоўнікаў не рабілася (хто і што робіць з ПД, нават немагчыма было выявіць), — канстатаваў Андрэй Гаеў. — З такімі арганізацыямі праводзіцца індывідуальная работа, вызначаюцца строгія графікі, што дакладна павінна зрабіць кампанія, каб наладзіць нармальную работу. Гэта датычыцца арганізацыйных мер: прызначэння адказных асоб за ўнутраны кантроль па апрацоўцы ПД, наладжвання доступу да асабістых звестак канкрэтных асоб арганізацыі. А таксама тэхнічных мер, рэалізацыя якіх садзейнічае забеспячэнню патрэбнай абароны інфармацыі аб людзях.
Парушэнні работы з ПД назіраюцца і ў іншых сферах. Напрыклад, часта збіраецца залішняя інфармацыя пра школьнікаў у рамках стварэння вучнёўскай карткі. Ва ўзаемадзеянні з адным з банкаў цэнтр сочыць за выдаленнем празмерных звестак пра больш як 200 тысяч непаўналетніх, падкрэсліў дырэктар:
— Гэта звесткі з дакументаў, якія сведчаць асобу, інфармацыя пра месца жыхарства і шэраг іншых падобных даных, якія непатрэбныя для выдачы вучнёўскай карткі. Сёлета ў выніку прафілактычных мерапрыемстваў з сеціва выдалена больш 100 тысяч унікальных запісаў аб беларусах, якія былі распаўсюджаны раней без пэўных на тое падстаў. Пры гэтым больш за 1000 запісаў — гэта звесткі пра супрацоўнікаў МУС, якія былі змешчаны ў замежным сегменце інтэрнэту. Як паказала практыка, такімі запісамі паспяхова карыстаюцца зладзеі, якія рассылаюць шкодныя праграмы, займаюцца вішынгам і фішынгам.
Сочаць у цэнтры і за лёсам выдаленых з інтэрнэту пакетаў даных, таму што злаўмыснікі маюць тэндэнцыю перыядычна выкладваць ліквідаваныя з сеціва ў выніку праверак звесткі нанова. Напрыклад, летась тройчы (!) выдаляліся з інтэрнэту звесткі пра беларусаў і расіян з базы кур'ерскай службы СДЭК, аднак і сёлета гэтыя базы зноў прыходзіцца выдаляць з сеціва. Пашпартныя даныя больш як 1200 чалавек трапілі ў сеціва пасля таго як людзі, калі здавалі білеты на канцэрт, далі арганізатарам копіі сваіх пашпартоў. Такія звесткі ў пакупнікоў увогуле не мелі права прасіць, запэўнілі ў цэнтры.
Вынікі праверак з'яўляюцца прыкладам для іншых аператараў. Сёлета складзена ўжо больш за 40 пратаколаў за парушэнне заканадаўства. Узбуджана і крымінальная справа, падставай для якой стала скарга дзвюх беларусак на незаконнае распаўсюджванне іх ПД індывідуальным прадпрымальнікам на яго сайце ў інтэрнэце. Пры праверцы факта звароту цэнтр запатрабаваў выдаліць звесткі. А яшчэ высветліў, што прадпрымальнік займаўся незаконнай дзейнасцю ў сферы інфармацыйных тэхналогій і прапаноўваў паслугі ў сферы інтэрнэту. У выніку органы ўнутраных спраў узбудзілі крымінальную справу.
— Шырокае распаўсюджванне атрымалі гісторыі аб прапановах грамадзянам атрымаць рознага роду прызы ў абмен на аплату кур'ерскіх паслуг па іх дастаўцы ці атрыманні на пошце. Людзям паведамлялі пра гэта праз СМС ці званкі. Кошт атрымання прыза досыць шмат беларусаў аплацілі, але ж жаданага прыза ў пасылцы так і не атрымалі. Толькі тады некаторыя сталі думаць, адкуль увогуле іх персанальная інфармацыя ў арганізацыях, адкуль ім званілі, — падзяліўся Андрэй Гаеў. — У выніку праверкі цэнтра органы ўнутраных спраў склалі пратаколы, і правапарушальнікі па судзе былі прыцягнуты да адміністрацыйнай адказнасці.
Вялікую ролю адыгрываюць прафілактычныя меры навучальнага характару самых розных формаў: анлайн-марафоны, практыкумы, форумы, сустрэчы ў працоўных калектывах, якія ахапілі звыш 20 тысяч чалавек. Прафесійныя і практыкаарыентаваныя курсы павышэння кваліфікацыі па абароне ПД, тэхнічнай, крыптаграфічнай абароне інфармацыі за год прайшлі 2,5 тысячы слухачоў. Звыш 2,2 тысячы навучаліся ў рамках семінараў і вэбінараў, зладжаных НЦАПД.
Займацца павышэннем кваліфікацыі і самаадукацыяй, своечасова атрымліваць веды вельмі важна, бо часам гэта дазваляе не ашукацца, падрэсліў дырэктар цэнтра:
— Адна камерцыйная арганізацыя выбудавала сваю мадэль бізнесу на тым, што, аказваючы грамадзянам (у тым ліку і непаўналетнім) у прынцыпе карысную паслугу, манетызацыю бізнесу рабіла праз прадстаўленне кантэкстнай рэкламы. І грошы на рэалізацыю гэтай мадэлі арганізацыяй ужо патрачаны. Аднак, каб рассылаць людзям рэкламу ў такой сітуацыі, неабходна іх персанальная згода, а вось пра гэта арганізатары бізнесу не падумалі. Такім чынам, атрымалася, што бізнес запушчаны, затраты панесены, а мадэль выбудавана няправільна.
Каб кожны мог знайсці адказы на пытанні, якія яго цікавяць, цэнтр стараецца актыўна даносіць звесткі пра сваю дзейнасць у сацыяльных сетках і месенджарах. Спецыялісты НЦАПД пастаянна працуюць над зместам навучальных праграм, удзяляючы ўвагу іх практычнай частцы, разгляду кейсаў з канкрэтнымі сітуацыямі, распрацоўваюць новыя вучэбныя праграмы. У прыватнасці, запушчана новая праграма па абязлічанні ПД, а ў аўдыторыях цэнтра профільныя спецыялісты будуць неўзабаве вучыцца кіраванню інфармацыйнай бяспекай у арганізацыях і прадухіленню ўцечак даных.
Сумесна з Інстытутам інфармацыйных тэхналогій Беларускага дзяржаўнага ўніверсітэта інфарматыкі і радыёэлектронікі завяршаюцца пэўныя мерапрыемствы, і дзесьці ў лістападзе павінна пачацца навучанне ў рамках перападрыхтоўкі. Гэта будзе двухгадавое навучанне для асоб з вышэйшай адукацыяй, звязанае з атрыманнем сістэмных ведаў па пытаннях арганізацыі работы ў сферы абароны ПД.
Ірына СІДАРОК
Фота аўтара
З мастацтвам па жыцці.
Баявое ўзаемадзеянне найвышэйшага ўзроўню.
«Дзесяцігоддзі школьнае харчаванне нашых дзяцей будавалася на аснове зборніка рэцэптур».
