Евгений Поремчук

Основатель компании BWN Group, председатель общественной организации Электронная республика, советник Министра инфраструктуры по ИТ

Полгода назад разризился громкий скандал из-за появления чат-бота по продаже персональных данных миллионов украинцев, летом украинцев возмутила утечка личных данных и медицинских диагнозов тысяч пациентов частной клиники, недавно СБУ начала розыск виновных в распространении персональных данных 7 тысяч военнослужащих с номерами частей, где они проходили службу.

А что же вообще представляет собой государственный реестр?

«Государственный реестр», или «Единый государственный реестр» — автоматизированная система учета информации о лицах, имуществе, документах, которая создается и ведется государством в целях реализации своих функций. Другими словами, это не просто набор таблиц и серверов, это и люди, подходы и законодательство. Проблема бесконтрольного доступа к банкам данных, их несанкционированного скачивания и изменения актуальна для Украины уже более десятилетия. Постмайданный период, реформация устаревшего законодательства, начальный уровень государственной диджитализации наряду с внедрением е-реформ вызвали рост злоупотреблений и махинаций на уровне государственных реестров: регистрировались фальшивые коммунальные предприятия (КП) и их филиалы, началось засилье «черных» регистраторов и нотариусов, регистрировались по утерянным паспортам, владельцы которых преимущественно находились на оккупированной территории и даже представления не имели о причастности к аферам. По статистике, 95% всех незаконных действий в реестрах приходились именно на такие КП и преступников-регистраторов.

Печально, что зачастую чиновник становится частью рейдерской схемы. Даже депутаты Верховной Рады и первые лица страны. Примером может послужить резонансный «бизнес» одного экс-нардепа, который создал во времена Януковича так называемую «тендерную палату», собиравшую 10% от суммы тендерной закупки за авторское право на использование тендерной документации и поставившую под угрозу всю украинскую систему электронных закупок.

Еще один «бизнес» экс-депутата, но уже при новой власти, основанный на посреднических функциях доступа к Единой базе отчетов об оценке имущества, когда при оформлении оценки имущества пользователи должны были оплатить обычный доступ в этот реестр.

После снятия моратория на продажу земли началась открытая охота на агропредприятия, когда основной причиной успешного рейдерского захвата стало отсутствие информации о земельных участках, зарегистрированных до 1 января 2013 года в Госгеокадастре. Одна из популярных схем преступников — собрать с полей чужой урожай или посеять собственный.

Дайджест главных новостей

Бесплатная email-рассылка только лучших материалов от редакторов NV

Подпишись

Рассылка отправляется с понедельника по пятницу

В начале августа Минюст запустил обновление Единого государственного реестра юрлиц, физлиц-предпринимателей, который не работал более 2 недель. За несколько часов до остановки регистрационных действий было перерегистрировано 47 фермерских хозяйств по всей Украине.

До сих пор данные действия не получили должной оценки, а большинство публикаций в СМИ остались без внимания правоохранительных органов.

Частично это объясняется существенным пробелом в нормативно-правовых актах всех уровней. К примеру, Уголовный кодекс Украины на всю сферу киберпреступлений выделил всего пять статей с максимально размытой диспозицией. Судебная практика привлечения к ответственности по преступлениям из этого раздела базируется на мелких эпизодах и соглашениях о признании виновности.

Но корни этой проблемы гораздо глубже.

Всего, по данным «Опендатабот», в 2020 году из 155 открытых уголовных производств по случаям, связанным с незаконным захватом имущества или бизнеса, судом были рассмотрены только 2 таких дела.

В ноябре 2019 года Минюст объявил о новом витке реформ и обязал всех нотариусов и госрегистраторов появиться в ГП НАИС (Администратор Единых и Государственных реестров министерства) для верификации своей деятельности. В результате были аннулированы аккредитации более сотни КП и регистраторов. Для регистрации начали принимать документы только на специальных нотариальных бланках, а законность самой операции проверять с помощью Единого реестра доверенностей и Государственного реестра актов гражданского состояния. Однако государственная система так и остается беззащитной против хищения и фальсификации данных.

Практическое применение возможностей и функционала государственных реестров правоохранительными и судебными органами также затруднено бюрократизмом и низким уровнем осведомленности чиновников об алгоритме работы с ними. Органы предварительного расследования не имеют возможности самостоятельно вносить данные об аресте имущества в рамках досудебных расследований в реестр вещных прав на недвижимое имущество. Это приводит к фактическому невыполнению постановлений следственных судей и выведению незаконно полученных активов.

Одна из самых значимых и существенных причин такого положения вещей заключается в отсутствии единой государственной политики по государственной безопасности цифровых и персональных данных. Не менее важным является человеческий фактор, что продемонстрировали успешные хакерские атаки на объекты критической инфраструктуры и расцвет «черного рынка» различных баз данных.

Из-за отсутствия копий решений в Едином Государственном реестре судебных решений и удаления опубликованных решений актуальных с 2015 г. «черные» нотариусы совершают регистрационные действия с Государственным реестром прав без внесения скан-копий документов, например поддельного судебного решения.

В качестве примера положительного реагирования в сфере защиты данных можно привести следующий случай. В конце января 2020 года на основе поддельной доверенности в ЕГР были внесены недостоверные данные об учредителях предприятия ООО «Профтим», о чем Опендатабот вовремя сообщил владельцу, а Коллегия по рассмотрению жалоб отменила изменения в Реестре юрлиц и вернула предприятие законному владельцу через несколько дней.

Данный кейс является аргументом для привлечения частных и общественных ресурсов в сферу киберзащиты и обучения властных субъектов основам цифровой грамотности и гигиены.

Сейчас о состоянии рейдерства в Украине свидетельствует 109 место в мире из 129 стран Индекса прав собственности по результатам 2019 года. В региональном рейтинге (Центральная и Восточная Европа, Центральная Азия) Украина на 23 месте из 25 возможных.

Данное положение вещей является прямым следствием масштабной несогласованности держателей реестра, дублирования данных и отсутствия единой законодательной базы. О необходимости качественных изменений информационной политики и законодательного регулирования свидетельствует отчет ООН по Интернету и технологиям под названием «Эпоха цифровой взаимозависимости».

Украина не первая страна, которая встала перед вызовами в сфере обработки и хранения персональных данных в виртуальном пространстве. Израиль более 15 лет назад создал государственное агентство (нынешнее название — орган защиты конфиденциальности), в полномочия которого входит контроль законности обращения с государственными реестрами, превенция и расследования преступлений, разработка государственных политик этой сферы.

Другой подход демонстрирует Германия, где каждая административно-территориальная единица имеет собственные нормативно-правовые акты этой сферы, ежегодно сравниваются и согласовываются на соответствующей конференции. Указанный опыт можно трансформировать в персонализированные политики безопасности для каждого держателя реестров.

Не менее важным аспектом является администрирование имеющихся реестров. Дублирование многих данных и частичная незащищенность других сведений от постороннего вмешательства приводит не только к рискам, но и порождает существенные финансовые потери.

Законодательная неустроенность привела к тому, что даже критически важные данные по декларированию чиновников размещены на арендованном оборудовании, по которому идут судебные процессы. В настоящее время продолжается расследование действий ООО «Алатаюр» относительно завышения цены на аренду серверного оборудования для НАПК.

В общем, ситуация с политикой безопасности государства не терпит ни проволочек, ни спешки. Только системность, последовательность и неотвратимость реформ может стать надежной основой для искоренения системного хаоса в сфере государственных реестров и охраны персональных данных граждан.

Международный и практический опыт, консультации с отраслевыми экспертами и системный анализ позволяют кристаллизовать основные шаги решения имеющихся проблем.

Среди основных стратегических шагов в первую очередь необходимо:

1. Провести глубокую ревизию всех государственных реестров, в т. ч. «теневых». Например, после последнего поверхностного анализа оказалось, что 85% персональных данных дублируется в реестрах, на что тратятся сотни миллионов гривен ежегодно.

2. Сделать укрупнение регистровой инфраструктуры без централизации. То есть отраслевые реестры необходимо объединить в более массивные модели данных без дубликатов. Миноритарные реестры нужно ликвидировать, возможно — вместе с госструктурами, которые их обслуживают.

3. Создать документоориентированную модель запросов в реестр (когда клиенту возвращается подписанный «документ» с данными, которые были запрошены). Это гарантирует исключение «состояния гонки» многопотоковой системы, так как первичен — «документ»;

4. Создать транзакционную модель изменений в реестре и хранить всю историю изменений с использованием tamper evident технологий типа BlockChain. В реестр нельзя просто так зайти посмотреть. Внутренняя система реестра в первую очередь должна базироваться на том, чтобы в журналах отображались все действия, включая конкретные данные людей, которые посещают систему, — фиксироваться все данные о том, кто запрашивает информацию и причины такого запроса. Частично подобная система действует для пользователей сервиса электронного декларирования, но неизвестно, осуществляется ли фиксация действий самих сотрудников НАПК.

5. Разработать национальные и имплементировать некоторые международные стандарты защиты персональных данных. Это критически важно для дальнейшей интеграции в единое киберпространство государственных органов. Эпизодически работа в этом направлении ведется таможенными органами Украины.

6. Ввести понятие «ответственность» и «подотчетность» для защиты персональных данных, совместить законодательные новеллы с обязательным обучением чиновников, правоохранителей и пользователей реестров.

7. Доверить процессы аудита и разработки стратегии оптимизации авторитетным международным организациям или украинским профильным общественным организациям (кроме аудита персональных и секретных данных).

8. Предоставить возможность гражданам мониторить, кто, когда, зачем и к каким их персональным данным получал доступ. Предоставить возможность корректировать некоторые свои данные, но обязательно учитывать момент доступа и обработки данных, верификации пользователя и ответственности за внесение ложных сведений.

9. Предоставить возможность гражданам гибко настраивать правила использования КЭП (ЭЦП) или же вообще запрещать любые операции с их помощью. Например, не позволять подписывать документы, но позволить авторизоваться через Национальную систему авторизации ID.gov.ua.

10. Разделить информацию в реестрах на три (например) категории: фактическая техническая информация от реализации логирования (журнал ошибок и запросов), информация о персональных данных и служебная информация, которая принадлежит государственным органам (Need To Know). Разработать адекватную и современную нормативно-правовую базу, которая определяла бы эти сроки, процессы и четко характеризовала составы преступлений в сфере кибербезопасности.

11. Для деанонимизации и быстрой детекции источника утечки информации вставлять маркерные данные (Fake Input Data).

12. Создать специализированные, отраслевые органы защиты или механизмы внедрения различных стандартов безопасности для каждого держателя реестра (и/или глубоко реформировать CERT-UA). Это поможет контролировать государственных регистраторов, нотариусов, чиновников и других лиц, имеющих доступ к реестрам. Ввести практику добавления к тестированию безопасности и внесению новых предложений отраслевых экспертов от общественности и бизнес-сообщества.

Предложенными действиями и реформами можно основать действительно новую, надежно защищенную систему и в дальнейшем совершенствовать автоматизированные, внутригосударственные процессы. Фактически эта концепция свидетельствует не только о государственном реестре, а и об отраслевом подходе к обеспечению стабильного и защищенного функционирования всей экосистемы государственных реестров в Украине.

Выражаем благодарность за соавторство и рецензирование: Алена Гринько, Sean Brian Townsend, Tim Karpinsky.