Державні реєстри. Віртуальні проблеми з реальними наслідками

6 листопада 2020, 17:30

Будь-яка масштабна проблема завжди має першопричину. В царині електронних ресурсів та їх державного регулювання існує неосяжне поле для маніпуляцій, порушень та злочинів.

Півроку тому пролунав гучний скандал через появу чат-боту з продажу персональних даних мільйонів українців, влітку українців обурив витік особистих даних та медичних діагнозів тисяч пацієнтів приватної клініки, нещодавно СБУ почала розшук винних у розповсюдженні персональних даних 7 тисяч військовослужбовців з номерами частин, де вони проходили службу.

Відео дня

А що ж взагалі являє собою державний реєстр?

«Державний реєстр» або «Єдиний державний реєстр» — автоматизована система обліку інформації про осіб, майно, документи, яка створюється та ведеться державою з метою реалізації своїх функцій. Іншими словами це не просто набір таблиць та серверів, це й люди, підходи та законодавство. Проблема безконтрольного доступу до банків даних, їх несанкціонованого скачування та зміни актуальна для України вже більше десятиліття. Постмайданний період, реформація застарілого законодавства, початковий рівень державної діджиталізації поряд з впровадженням е-реформ спричинили зріст зловживань та махінацій на рівні державних реєстрів: реєструвались фальшиві комунальні підприємства (КП) та їх філії, почалось засилля «чорних» реєстраторів та нотаріусів, що реєструвались за втраченими паспортами, власники яких переважно знаходились на окупованій території і навіть не уявляли про причетність до афер. За статистикою, 95% всіх незаконних дій в реєстрах припадали саме на такі КП та злочинців-реєстраторів.

Сумно, що часто чиновник стає частиною рейдерської схеми. Навіть депутати Верховної Ради та перші особи країни. Прикладом може слугувати резонансний «бізнес» одного екс-нардепа, який створив за часів Януковича так звану «Тендерну палату», що збирала 10% від суми тендерної закупівлі за авторське право на використання тендерної документації та поставила під загрозу всю українську систему електронних закупівель.

Ще один «бізнес» екс-депутата, але вже за нової влади, базувався на посередницьких функціях доступу до Єдиної бази звітів про оцінку майна, коли при оформленні оцінки майна користувачі повинні були оплатити звичайний доступ до цього реєстру.

Після зняття мораторію на продаж землі почалося відкрите полювання на агропідприємства, коли основною причиною успішного рейдерського захоплення стала відсутність інформації про земельні ділянки, зареєстровані до 1 січня 2013 року в Держгеокадастрі. Одна з популярних схем злочинців — зібрати з полів чужий врожай або посіяти власний.

На початку серпня Мін'юст запустив оновлення Єдиного державного реєстру юросіб, фізичних осіб-підприємців, який не працював більше 2 тижнів. За кілька годин до зупинки реєстраційних дій було перереєстровано 47 фермерських господарств по всій Україні.

Дотепер дані дії не отримали належної оцінки, а більшість публікацій в ЗМІ залишилися поза увагою правоохоронних органів.

Частково це пояснюється суттєвою прогалиною у нормативно-правових актах всіх рівнів. До прикладу, Кримінальний кодекс України на всю сферу кіберзлочинів виділив лише п’ять статей з максимально розмитою диспозицією. Судова практика притягнення до відповідальності за злочинами з цього розділу базується на дрібних епізодах та угодах про визнання винуватості.

Але коріння цієї проблеми значно глибше.

Загалом, за даними «Опендатабот», у 2020 році зі 155 відкритих кримінальних проваджень по випадкам, пов’язаним з незаконним захопленням майна або бізнесу, судом були розглянуті тільки 2 такі справи.

Нині про стан рейдерства в Україні свідчить 109 місце в світі з 129 країн Індексу прав власності за результатами 2019 року

У листопаді 2019 року Мінюст оголосив про новий виток реформ і зобов’язав всіх нотаріусів та держреєстраторів з’явитися в ДП НАІС (адміністратор Єдиних та Державних Реєстрів міністерства) для верифікації своєї діяльності. У результаті було анульовано акредитацію більше сотні КП та реєстраторів. Для реєстрації почали приймати документи тільки на спеціальних нотаріальних бланках, а законність самої операції перевіряти за допомогою Єдиного реєстру довіреностей та Державного реєстру актів громадського стану. Однак державна система так і залишається беззахисною проти викрадення та фальсифікації даних.

Практичне застосування можливостей та функціоналу державних реєстрів правоохоронними та судовими органами також ускладнене бюрократизмом та низьким рівнем обізнаності чиновників про алгоритми роботи з ними. Органи досудового розслідування не мають можливості самостійно вносити дані про арешт майна в рамках досудових розслідувань до реєстру речових прав на нерухоме майно. Це призводить до фактичного невиконання ухвал слідчих суддів та виведення незаконно отриманих активів.

Одна з найбільш значущих і суттєвих причин такого стану речей полягає у відсутністі єдиної державної політики з державної безпеки цифрових та персональних даних. Не менш важливим є людський фактор, що продемонстрували успішні хакерські атаки на об'єкти критичної інфраструктури та розквіт «чорного ринку» різноманітних баз даних.

Через відсутність копій рішень у Єдиному Державному реєстрі судових рішень та видалення опублікованих рішень актуальних з 2015 р., «чорні» нотаріуси вчиняють реєстраційні дії з Державним реєстром речових прав без внесення скан-копій документів, наприклад підробленого судового рішення.

Як приклад позитивного реагування в сфері захисту даних можна привести наступний випадок. Наприкінці січня 2020 року на основі підробленої довіреності до ЄДР були внесені недостовірні дані про засновників підприємства ТОВ «Профтім», про що Опендатабот вчасно сповістив власника, а Колегія з розгляду скарг скасувала зміни в Реєстрі юросіб та повернула підприємство законному власнику за декілька днів.

Даний кейс є аргументом для залучення приватних та громадських ресурсів в сферу кіберзахисту та навчання владних суб'єктів основам цифрової грамотності та гігієни.

Нині про стан рейдерства в Україні свідчить 109 місце в світі з 129 країн Індексу прав власності за результатами 2019 року. У регіональному рейтингу (Центральна та Східна Європа, Центральна Азія) Україна на 23 місці з 25 можливих.

Даний стан речей є прямим наслідком масштабної неузгодженості держателів реєстру, дублювання даних та відсутність єдиної законодавчої бази. Про необхідність якісних змін інформаційної політики та законодавчого регулювання свідчить звіт ООН щодо Інтернету та технологій під назвою «Епоха цифрової взаємозалежності».

Україна не перша країна, що постала перед безпековими викликами в сфері обробки та зберігання персональних даних у віртуальному просторі. Ізраїль понад 15 років тому створив державну агенцію (нинішня назва — Орган захисту конфіденційності), до повноважень якої входить контроль законності поводження з державними реєстрами, превенція та розслідування злочинів, розробка державних політик цієї сфери.

Інший підхід демонструє Німеччина, де кожна адміністративно-територіальна одиниця має власні нормативно-правові акти цієї сфери, які щорічно порівнюються та узгоджуються на відповідній конференції. Вказаний досвід можливо трансформувати у персоналізовані політики безпеки для кожного держателя реєстрів.

Не менш важливим аспектом є адміністрування наявних реєстрів. Дублювання багатьох даних та часткова незахищеність інших відомостей від стороннього втручання призводить не тільки до ризиків, а й породжує суттєві фінансові втрати.

Законодавча невпорядкованість призвела до того, що навіть критично важливі дані щодо декларування чиновників розміщені на орендованому обладнанні, стосовно якого йдуть судові процеси. На даний час триває розслідування дій ТОВ «Алатаюр» щодо завищення ціни на оренду серверного обладнання для НАЗК.

Загалом, ситуація з безпековою політикою держави не терпить ані зволікань, ані поспіху. Лише системність, послідовність та невідворотність реформ може стати надійним підґрунтям для викорінення системного хаосу в сфері державних реєстрів та охорони персональних даних громадян.

Міжнародний та практичний досвід, консультації з галузевими експертами та системний аналіз дозволяють кристалізувати основні кроки вирішення наявних проблем.

Серед основних стратегічних кроків в першу чергу необхідно:

1. Провести глибоку ревізію усіх державних реєстрів, у т.ч. «тіньових». Наприклад, після останнього поверхового аналізу, виявилось, що 85% персональних даних дублюється у реєстрах, на що витрачаються сотні мільйонів гривень щороку;

2. Зробити укрупнення реєстрової інфраструктури без централізації. Тобто галузеві реєстри потрібно об'єднати у більш масивні моделі даних без дублікатів. Міноритарні реєстри потрібно ліквідувати, можливо — разом із держструктурами що їх обслуговують;

3. Створити документо-орієнтовну модель запитів у реєстр (коли клієнту повертається підписаний «документ» з даними, що були запитані). Це гарантує виключення «стану гонитви» багатопоточної системи бо первинний — «документ»;

4. Створити транзакційну модель змін в реєстрі та зберігати всю історію змін з використанням tamper evident технологій на кшталт BlockChain. У реєстр не можна просто так зайти подивитись. Внутрішня система реєстру в першу чергу повинна базуватися на тому, аби в журналах відображалися всі дії, включаючи конкретні дані людей, які відвідують систему, — логуватися усі дані про того, хто запитує інформацію, та причини такого запиту. Частково подібна система діє для користувачів сервісу електронного декларування, але не відомо, чи здійснюється фіксація дій самих співробітників НАЗК.

5. Розробити національні та імплементувати деякі міжнародні стандарти захисту персональних даних. Це критично важливо для подальшої інтеграції до єдиного кіберпростору державних органів. Епізодично робота в цьому напрямку ведеться митними органами України.

6. Увести поняття «відповідальність» та «підзвітність» задля захисту персональних даних, поєднати законодавчі новели з обов’язковим навчанням чиновників, правоохоронців та користувачів реєстрів.

7. Довірити процеси аудиту та розробки стратегії оптимізації авторитетним міжнародним організаціям або українським профільним громадським організаціям (крім аудиту персональних та секретних даних).

8. Надати можливість громадянам моніторити хто, коли, навіщо і до яких їх персональних даних отримував доступ. Надати можливість коригувати деякі свої дані, але обов’язково враховувати момент доступу і обробки даних, верифікації користувача та відповідальності за внесення неправдивих відомостей.

9. Надати можливість громадянам гнучко налаштовувати правила використання КЕП (ЕЦП) або ж взагалі забороняти будь-які операції за їх допомогою. Наприклад, не дозволяти підписувати документи, але дозволити авторизуватись через Національну систему авторизації ID.gov.ua.

10. Поділити інформацію в реєстрах на три (наприклад) категорії: фактична технічна інформація від реалізації логування (журнал помилок та запитів), інформація про персональні дані та службова інформація, яка належить державним органам (Need To Know). Розробити адекватну та сучасну нормативно-правову базу, що визначала б ці терміни, процеси та чітко окреслювала склади злочинів в сфері кібербезпеки.

11. Для деанонімізації та швидкої детекції джерала витоку інформації вставляти маркерні дані (Fake Input Data).

12. Створити спеціалізовані, галузеві органи захисту або механізми впровадження різних стандартів безпеки для кожного держателя реєстру (або/та глибинно реформувати CERT-UA). Це допоможе контролювати державних реєстраторів, нотаріусів, чиновників та інших осіб, які мають доступ до реєстрів. Запровадити практику долучення до тестувань безпеки та внесення нових пропозицій галузевих експертів від громадськості та бізнес-спільноти.

Запропонованими діями та реформами можна започаткувати дійсно нову, надійно захищену систему та надалі удосконалювати автоматизовані, внутрішньодержавні процеси. Фактично, ця концепція говорить не тільки про державний реєстр, а про галузевий підхід до забезпечення стабільного та захищеного функціонування цілої екосистеми державних реєстрів в Україні.

Велика подяка за співавторство та рецензування: Альона Гринько, Sean Brian Townsend, Tim Karpinsky.

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X