Державна установа “Дія” змінює юридичний статус на акціонерне товариство, що породжує стурбованість щодо недоторканності особистої інформації 23 мільйонів користувачів. Мінцифри запевняє, що “Дія” на 100% лишиться під контролем держави, проте фахівці висловлюють занепокоєння щодо можливої приватизації та неправомірного використання даних.
Державна установа “Дія” змінює юридичну форму на акціонерне товариство. УНН вирішив з’ясувати, що саме зміниться та чи буде забезпечено захист особистих даних 23 мільйонів користувачів “Дії” після такої трансформації.
Шість років тому Міністерство цифрової трансформації представило мобільний додаток і портал “Дія”, що стало втіленням у життя програми “Держава в смартфоні”. Весь цей час “Дія” функціонувала як державна установа. Проте в січні на аналітичній платформі YouControl з’явилася інформація про те, що державна установа “Дія” перебуває в процесі припинення діяльності. Як пояснила заступник міністра цифрової трансформації України Валерія Коваль, державна установа перетвориться на акціонерне товариство. У Мінцифри також запевнили, що ці зміни жодним чином не позначаться на функціонуванні додатку або порталу “Дія”.
Подібна зміна, за словами Коваль, обумовлена чинним українським законодавством. Відтепер усі державні установи в Україні повинні змінити свою юридичну форму.
Хочу наголосити: Дія на 100% залишається державною. Вираз “акціонерне товариство” в назві жодним чином не передбачає приватизацію. Держава була, є і буде єдиним власником
– підкреслила Коваль.
Побоювання щодо приватизації та неправомірного використання особистих даних
Юрист Ростислав Кравець висловив припущення, що зміна формату юридичної особи створить можливість “вільно розпоряджатися даними українців”.
Але зараз існують ризики того, що особисті дані українців будуть продаватися, передаватися, використовуватися третіми особами без їхньої згоди, через те, що створено акціонерне товариство. Державна установа просто не могла цього зробити згідно із законом. Акціонерне товариство може робити все, що завгодно
– зазначив юрист.
Він також акцентував увагу на тому, що питання про те, кому належить право власності на програмне забезпечення “Дії”, також потребує вивчення.
Засновник руху “Права людини” Остап Стахів не виключає, що після перетворення “Дії” на акціонерне товариство, з часом її можуть приватизувати.
Пам’ятаєте, як у нас багато підприємств переводили в акціонерне товариство, і нам розповідали казку, що ні-ні, ніякої приватизації не буде, державна частка буде стовідсоткова, бла-бла-бла, зараз ми чуємо те ж саме
– зазначив він.
Стахів також припускає, що зрештою акціонерне товариство буде торгувати особистою інформацією мільйонів українців.
Вітаю всіх, хто використовує “Дія”. Тепер купувати і продавати людей стало дуже зручно. Як говорили розробники додатку… Натиснув на кнопку – і продав дані. Разом з тим, люди завантажили туди всю свою інформацію: від сім’ї, дітей, ідентифікаційний код, паспорт
– говорить він.
Кіберексперт: особисті дані українців захищені вкрай погано
Експерт з кібербезпеки Костянтин Корсун у коментарі УНН зауважив, що перереєстрація “Дії” з державної установи на акціонерне товариство має скоріше формальний характер і не вирішує системних проблем із забезпеченням безпеки особистих даних мільйонів українців, які користуються додатком.
Це просто формальності. По суті, нічого не змінюється і на безпеку даних це не впливає
– стверджує експерт з кібербезпеки.
Разом з тим, Корсун вважає, що рівень захисту особистих даних у державних цифрових системах є критично низьким, фактично “для галочки”. За його словами, це підтверджується низкою інцидентів, пов’язаних із витоками.
Серед них експерт згадав злам реєстрів Міністерства юстиції у грудні 2024 року, а також кібератаку на “Дію” у січні 2022 року, факт якої, за його словами, згодом був підтверджений рішенням американського суду присяжних. Тоді з “Дії” стався витік інформації про 13,5 млн українців.
Корсун також нагадав про масштабний інцидент з мобільним оператором “Київстар”, який, хоч і не призвів до масового витоку даних, проте продемонстрував вразливість навіть найбільших приватних компаній.
Це свідчить про те, що навіть найбагатші комерційні компанії не здатні якісно захистити свої мережі, зокрема й ті, на яких зберігаються дані користувачів. А це приватні компанії з великими бюджетами, великим штатом співробітників, з гідними зарплатами і все інше. У державному секторі ситуація значно гірша і при цьому не зрозуміло, хто несе відповідальність за безпеку наших даних на загальнонаціональному рівні, тому що ця відповідальність розпорошена між різними установами, і кожна з них хоче собі бюджет фінансування, якісь повноваження, але будь-хто відмовляється брати на себе відповідальність у разі якихось інцидентів
– зауважив експерт з кібербезпеки.
Корсун також заявив, що “Дія” залишається вразливою як до хакерських атак, так і до шахрайських дій з використанням особистих даних. “Мій досвід, а я стежу за цим вже 5 років, показує, що так, “Дія” вразлива і до хакерських атак, і до шахрайства з використанням особистих даних користувачів”, – наголосив кіберексперт.
Більш того, експерт з кібербезпеки переконаний, що в нинішній концепції та архітектурі “Дію” неможливо зробити безпечною.
“Дія” в цій концепції – це цілковита помилка. Це суперечить усій світовій науці і про захист особистих даних, і про кібербезпеку. У такій ідеології, в такій архітектурі, як вона побудована в Україні, її неможливо буде захистити в принципі, тому що фундамент цієї будівлі гнилий. Побудовано все це на гнилому фундаменті
– підкреслив Корсун.
На його думку, проблема також полягає у відсутності в Україні дієвого законодавства про захист особистих даних та незалежних інституцій контролю, подібних до тих, що працюють у країнах Західної Європи. Натомість, зазначає експерт, держава сама просуває цифрові рішення, які несуть ризики як для громадян, так і для національної безпеки.
Отже, стає очевидним, що незалежно від форми власності “Дія”, якою користуються мільйони українців, залишатиметься вразливою для хакерських атак та шахрайських дій. Однак перехід до акціонерного товариства може додатково відкрити можливості для неправомірного використання інформації.