Державне підприємство “Дія” змінює організаційно-правову форму на акціонерне товариство, що породжує стурбованість щодо збереження конфіденційності персональних даних 23 мільйонів користувачів. Мінцифри запевняє, що “Дія” на 100% залишиться під контролем держави, але фахівці висловлюють сумніви щодо ймовірної приватизації та незаконного обігу даними.
Державне підприємство “Дія” змінює організаційну форму на акціонерне товариство. УНН вирішив розібратися, що саме зміниться та чи будуть у безпеці особисті дані 23 мільйонів користувачів “Дії” після такого перетворення.
Шість років тому Міністерство цифрової трансформації представило мобільний застосунок і портал “Дія”, що стало втіленням в життя програми “Держава у смартфоні”. Весь цей час “Дія” функціонувала як держпідприємство. Проте у січні на аналітичній платформі YouControl з’явилася інформація про те, що державне підприємство “Дія” знаходиться на етапі припинення діяльності. Як роз’яснила заступниця міністра цифрової трансформації України Валерія Коваль, держпідприємство буде реорганізовано в акціонерне товариство. У Мінцифри також запевнили, що подібні зміни жодним чином не позначаться на функціонуванні застосунку чи порталу “Дія”.
Таке перетворення, за словами Коваль, є вимогою чинного українського законодавства. Наразі всі держпідприємства в Україні повинні змінити свою юридичну форму.
Хочу особливо наголосити: Дія на 100% зберігає статус державної власності. Формулювання “акціонерне товариство” в назві абсолютно не передбачає приватизацію. Держава була, є і буде єдиним власником
– зазначила Коваль.
Побоювання стосовно приватизації та несанкціонованого використання персональних даних
Юрист Ростислав Кравець припустив, що зміна формату юридичної особи надасть можливість “безперешкодно розпоряджатися даними українців”.
Проте зараз існують ризики того, що персональна інформація українців буде продаватися, передаватися, використовуватися сторонніми особами без їхньої згоди, оскільки створено акціонерне товариство. Державне підприємство просто не могло цього зробити згідно із законом. Акціонерне товариство може робити все, що не заборонено
– зауважив юрист.
Він також акцентував увагу на тому, що питання власності на програмне забезпечення “Дії” також потребує додаткової перевірки.
Засновник руху “Права людини” Остап Стахів не виключає, що після перетворення “Дії” на акціонерне товариство, з часом воно може бути приватизоване.
У нас, пригадайте, багато підприємств переводили в акціонерні товариства, і нам розповідали байку, що ні-ні, ніякої приватизації не буде, державна частка буде абсолютною, бла-бла-бла, тут зараз те саме ми чуємо
– зазначив він.
Стахів також припускає, що в результаті акціонерне товариство буде здійснювати торгівлю персональною інформацією мільйонів українців.
Ще раз вітаю всіх тих, хто користується “Дія”. Тепер це дуже зручно купувати і продавати людей. Як говорили ті, хто має додаток… Зараз, натиснув на кнопку – і продав дані. Ну, а разом з тим всім, люди туди завантажили всі свої дані. Від сім’ї, дітей, ідентифікаційний, паспорт
– говорить він.
Кіберексперт: персональні дані українців захищені вкрай ненадійно
Експерт з кібербезпеки Костянтин Корсун у коментарі УНН наголосив, що перереєстрація “Дії” з державного підприємства на акціонерне товариство має виключно формальний характер і не вирішує наявних проблем із захистом особистих даних мільйонів українців, які використовують застосунок.
Це просто формальності. По суті, нічого не змінюється і на безпеку даних це не впливає
– каже експерт з кібербезпеки.
Водночас Корсун вважає, що рівень забезпечення безпеки особистих даних у державних цифрових системах є вкрай низьким, фактично “для галочки”. Це, за його словами, підтверджується низкою інцидентів, пов’язаних із витоками.
Серед них експерт згадав злам реєстрів Міністерства юстиції у грудні 2024 року, а також кібератаку на “Дію” у січні 2022 року, факт якої, за його словами, згодом був підтверджений рішенням американського суду присяжних. Тоді з “Дії” стався витік інформації про 13,5 млн українців.
Окремо Корсун нагадав і про масштабний інцидент із мобільним оператором “Київстар”, який, за його словами, хоча і не призвів до масового витоку інформації, однак продемонстрував вразливість навіть найбільших приватних компаній.
Це свідчить про те, що навіть найзаможніші комерційні компанії не здатні повною мірою якісно захистити свої мережі, у тому числі ті, на яких зберігаються дані користувачів. А це приватні компанії з великими бюджетами, з великим штатом співробітників, з гідними зарплатами і все таке інше. У держсекторі значно все гірше і при цьому не зрозуміло взагалі, хто несе відповідальність за безпеку наших даних на загальнонаціональному рівні, тому що ця відповідальність вона розпорошена між різними установами і кожна з них хоче собі бюджет фінансування, якісь повноваження, але навідріз будь-хто відмовляється брати на себе відповідальність у випадку якихось інцидентів
– зазначив експерт з кібербезпеки.
Корсун також заявив, що “Дія” залишається вразливою як до хакерських атак, так і до зловживань з використанням персональних даних. “Мій досвід, а я слідкую за цим вже 5 років, показує, що так, “Дія” вразлива і до хакерських атак, і до шахрайства з використанням особистої інформації користувачів”, – зазначив кіберексперт.
Більше того, експерт з кібербезпеки переконаний, що в існуючій концепції та архітектурі “Дію” неможливо зробити безпечною.
“Дія” в цій концепції – це абсолютно груба помилка. Це суперечить усій світовій науці і про захист персональних даних, і про кібербезпеку. В такій ідеології, в такій архітектурі, як вона побудована в Україні, її неможливо буде захистити в принципі, тому що фундамент цієї будівлі гнилий. Побудовано все це на гнилому фундаменті
– підкреслив Корсун.
На його думку, проблема також полягає і в відсутності в Україні ефективного законодавства про захист особистих даних та незалежних органів контролю, аналогічних тим, що діють у країнах Західної Європи. Натомість, зазначає експерт, держава сама просуває цифрові рішення, які несуть ризики як для громадян, так і для національної безпеки.
Отже, стає зрозуміло, що незалежно від форми власності “Дія”, якою користуються мільйони українців, і надалі залишатиметься вразливою для хакерських атак та шахрайських дій. Проте перехід до акціонерного товариства може додатково створити можливість для неправомірного обігу інформацією.