Державне підприємство “Дія” змінює юридичну форму на акціонерне товариство, що породжує стурбованість стосовно захищеності особистих відомостей 23 мільйонів користувачів. Мінцифри запевняє, що “Дія” повністю залишиться під контролем держави, проте фахівці висловлюють сумніви щодо ймовірної приватизації та реалізації даних.
Державне підприємство “Дія” трансформується в акціонерне товариство. УНН вирішив розібратися, що зміниться та чи будуть в безпеці особисті дані 23 мільйонів користувачів “Дії” після такої зміни.
Шість років тому Міністерство цифрової трансформації представило мобільний додаток і портал “Дія”, що стало втіленням програми “Держава в смартфоні”. Весь час “Дія” функціонувала як держпідприємство. Проте в січні на аналітичній платформі YouControl з’явилися відомості про те, що державне підприємство “Дія” знаходиться у стадії припинення. Як роз’яснила заступниця міністра цифрової трансформації України Валерія Коваль держпідприємство перейде в статус акціонерного товариства. В Мінцифри також запевнили, що подібні зміни жодним чином не позначаться на функціонуванні застосунку або порталу “Дія”.
Подібна трансформація, за словами Коваль, обумовлена чинним українським законодавством. Тепер всі держпідприємства в Україні повинні змінити свою правову форму.
Хочу особливо відзначити: Дія на 100% залишається в державній власності. Вираз “акціонерне товариство” в найменуванні зовсім не передбачає приватизацію. Держава була, є і буде єдиним власником
– підкреслила Коваль.
Занепокоєння щодо приватизації та торгівлі особистими даними
Юрист Ростислав Кравець висловив думку, що зміна формату юридичної особи дозволить “вільно продавати дані українців”.
Але зараз є ризики того, що особисті дані українців будуть продаватися, передаватися, ними будуть користуватися треті особи без їх дозволу, тому що створено акціонерне товариство. Державне підприємство просто не могло цього зробити за законом. Акціонерне товариство може робити все, що завгодно
– зауважив юрист.
Він також акцентував увагу, що те, кому належать права власності на програмне забезпечення “Дії” також потребує ретельної перевірки.
Засновник руху “Права людини” Остап Стахів не виключає, що після переходу “Дії” у форму акціонерного товариства, згодом його можуть приватизувати.
У нас, пригадуєте, багато підприємств переводили в акціонерне товариство, і нам розповідали казочку, що ні-ні, ніякої приватизації не буде, державна частка буде стовідсоткова, бла-бла-бла, тут зараз те ж саме ми чуємо
– відзначив він.
Стахів також припускає, що в кінцевому підсумку акціонерне товариство буде торгувати особистими даними мільйонів українців.
Ще раз вітаю всіх тих, хто має “Дія”. Знаєте, тепер це дуже зручно купувати і продавати людей. Як то казали ті, що мають додаток… Зараз, натиснув на кнопочку – і продав дані. Ну, а разом з тим всім, люди туди позаносили всі свої дані. Від сім’ї, дітей, ідентифікаційний, паспорт
– говорить він.
Кіберексперт: персональні дані українців захищені вкрай погано
Експерт з кібербезпеки Костянтин Корсун у коментарі УНН підкреслив, що перереєстрація “Дії” з державного підприємства в акціонерне товариство має виключно формальний характер і не вирішує системних проблем із захистом особистих даних мільйонів українців, які використовують додаток.
Це просто папери. По суті, нічого не змінюється і на безпеку даних це не впливає
– стверджує експерт з кібербезпеки.
У той же час Корсун вважає, що рівень захисту особистих даних в державних цифрових системах є критично низьким, фактично “абияк”. Це, за його словами, підтверджує ряд інцидентів, пов’язаних з витоками.
Серед них експерт згадав злам реєстрів Міністерства юстиції в грудні 2024 року, а також кібератаку на “Дію” в січні 2022 року, факт якої, за його словами, згодом був підтверджений рішенням американського суду присяжних. Тоді з “Дії” стався витік даних про 13,5 млн українців.
Окремо Корсун нагадав і про масштабний інцидент з мобільним оператором “Київстар”, який, за його словами, хоча і не призвів до масового витоку даних, проте продемонстрував вразливість навіть найбільших приватних компаній.
Це свідчить про те, що навіть найбагатші комерційні компанії не в змозі повністю якісно захистити свої мережі, в тому числі ті, на яких зберігаються дані користувачів. А це приватні компанії з великими бюджетами, з великим штатом співробітників, з пристойними зарплатами і все таке інше. У держсекторі значно все гірше і при цьому не зрозуміло взагалі, хто несе відповідальність за безпеку наших даних на загальнонаціональному рівні, тому що ця відповідальність вона розпорошена між різними установами і кожна з них хоче собі бюджет фінансування, якісь повноваження, але на відріз будь-хто відмовляється брати на себе відповідальність у випадку якихось інцидентів
– відмітив експерт з кібербезпеки.
Корсун також заявив, що “Дія” залишається уразливою як до хакерських атак, так і до шахрайства з використанням особистих даних. “Мій досвід, а я слідкую за цим вже 5 років, свідчить, що так, “Дія” вразлива і до хакерських атак, і до шахрайства з використанням персональних даних користувачів”, – зауважив кіберексперт.
Більш того, експерт з кібербезпеки переконаний, що в поточній концепції та архітектурі “Дію” неможливо зробити безпечною.
“Дія” в цій концепції – це абсолютно повна помилка. Це суперечить усій світовій науці і про захист особистих даних, і про кібербезпеку. В такій ідеології, в такій архітектурі, як вона побудована в Україні, її неможливо буде захистити в принципі, тому що фундамент цієї будівлі гнилий. Побудовано все це на гнилому фундаменті
– наголосив Корсун.
На його думку, проблема також полягає і у відсутності в Україні дієвого законодавства про захист особистих даних та незалежних інституцій контролю, подібних до тих, що функціонують в країнах Західної Європи. Натомість, зазначає експерт, держава сама просуває цифрові рішення, які несуть ризики як для громадян, так і для національної безпеки.
Отже, стає зрозуміло, що незалежно від форми власності “Дія”, якою користуються мільйони українців, буде залишатися вразливою для хакерських атак і шахрайських дій. Однак перехід до акціонерного товариства може додатково відкрити можливість для збуту інформації.