Що робитиме Польща з персональними даними українців

З 31 серпня у «Дії» доступні англомовні версії закордонного паспорта, водійського посвідчення та техпаспорта на авто. Два останні документи мають з’явитися в польській версії застосунку. Чи безпечно це?

Нещодавно керівник Міністерства цифрової трансформації України Михайло Федоров та урядовий уповноважений з кібербезпеки Польщі Януш Цешинський анонсували інтеграцію українського порталу державних послуг «Дія» із його польським аналогом mObywatel. Йшлося про те, що водійські права громадянина України та технічний паспорт автомобіля з українською реєстрацією будуть відображатися в застосунку mObywatel. Це спростить спілкування українців з польськими поліцейськими, адже в останні роки ті в основному перевіряють документи польських водіїв саме за допомогою системи mObywatel.

За словами Януша Цешинського, йдеться про чергове впровадження спільного сервісу – після процесу присвоєння номерів PESEL та створення цифрового документа diia.pl, що посвідчує особу громадян України, котрі отримали прихисток в Польщі. Після того, як diia.pl стала першою повністю цифровою посвідкою на проживання в Європі, нею користується кожен четвертий громадянин України, чиї дані є в польській системі державних реєстрів.

Застосунок, який пред’являється разом із проїзним документом, дозволяє громадянам України перетинати кордон Європейського Союзу (наприклад, повертатися в Україну), та полегшує переміщення в межах Шенгенської зони. Електронний документ diia.pl дозволяє підтвердити найважливіші дані, такі як ім’я та прізвище, номер PESEL, дата і місце народження, громадянство. Для зручності використання додаток також містить фотографію. Щоб перенести український електронний документ в польську систему,  потрібно лише авторизуватися через Diia.pl в застосунку mObywatel.

«Це віха в процесі цифровізації для всього світу, оскільки вперше дві європейські країни обмінюються документами громадян за допомогою програми. Міністерство цифрової трансформації готове розпочати процес визнання електронних документів з mObywatel в Україні», – наголосив віце-прем’єр-міністр Федоров.

Крім цього, у Києві підписано угоду про співпрацю між канцелярією прем’єр-міністра Польщі, Міністерством цифрової трансформації України та Державною службою спеціального зв’язку та захисту інформації України (ДССЗЗІ). Угода спрямована на сприяння співпраці між Польщею та Україною та проведення обмінів у сферах, пов’язаних з новими цифровими технологіями та кібербезпекою.

Але наскільки все це безпечно для українців? Пригадаємо, як у травні  цього року в Telegram з’явився бот, що за гроші поширював персональні дані громадян України. Тоді ті, хто скористалися двома безкоштовними демо-запитами, писали у Facebook гнівні пости, звинувачуючи Міністерство цифрової трансформації в тому, що їх персональні дані були «злиті» через додаток «Дія». У Мінцифри причетність «Дії» до цього спростовували.

«Дія» взагалі не зберігає персональні дані, а тільки надає їх у відповідь на разовий запит ідентифікованого громадянина відображає інформацію з реєстрів, – повідомив представник міністерства в коментарі. – Архітектура «Дії» побудована таким чином, що на серверній частині взагалі не здійснюється зберігання персональних даних користувачів.

Усі сервери додатку «Дія» розташовані в Україні. Тобто ніяка інформація про користувачів не йде за кордон. Серверна частина системи розгорнута в хмарній інфраструктурі, яка має необхідні сертифікати безпеки, у тому числі КСЗІ (комплексна система захисту інформації). «Дія» пройшла низку позитивних аудитів – приватних та державних (ДССЗЗІ).

Однак, судячи зі зростаючої кількості інцидентів, торгівля базами даних з персональною інформацією українців поставлена на потік, причому йдеться про інформацію, яку накопичують і зберігають як держустанови, так і приватні компанії.

Так, у 2016 році гучним скандалом обернулася ситуація, коли переселенці з Донбасу почали отримувати дзвінки від компанії «Дельта М Юкрейн» на номери телефонів, які вони повідомляли органам соціального захисту під час взяття їх на облік. А у 2017 році податківець із Сум торгував базою даних Державної фіскальної служби.

У тому ж році персональні дані клієнтів Приватбанку скопіювали на російські сервери співробітники детективної компанії Kroll, найнятої Нацбанком для пошуку інформації про інсайдерські позики екс-акціонерів банку.

У 2018 році в «даркнеті» продавалася база даних 18 мільйонів користувачів «Нової пошти», тоді ж у Запоріжжі впіймали продавців даних митниці. А у 2019-му засудили харків’янина за торгівлю даними ДФС. Ймовірно, це лише мала частка інцидентів з персональними даними українців, які потрапили в публічну площину.

Відповідно до першого в історії аудиту державних реєстрів, проведеного у 2017 році, в Україні існує понад 135 таких реєстрів – при цьому точну їхню кількість досі не оприлюднено. 80% держреєстрів зберігаються локально, тобто на сервері в конкретному держоргані, і тільки 60% держреєстрів мають атестовані комплексні системи захисту інформації. Усе це створює колосальні ризики у сфері захисту персональних даних громадян.

А тим часом у мобільному додатку «Дія» з 31 серпня доступні відображення закордонного паспорта, посвідчення водія та техпаспорту англійською мовою. Власне, це перший крок до того, щоб останні два документи з’явилися в за стосунках diia.pl та mObywatel. При цьому насправді невідомо, у базах яких країн можуть опинитись ці документи в майбутньому.

Ідея спільної міжнародної цифровізації, ідея тотальної прозорості державних реєстрів один для одного призводить до розмиття – аж до зникнення – відповідальності держави перед своїми громадянами. Такий підхід цілком може призвести до ще більших витоків персональної інформації українців, особливо якщо вона зберігається за межами України.

Адже тепер вже не спрацює «відмазка» про те, що «всі сервери додатку «Дія» розташовані в Україні». Крім того, верхівка влади України отримає можливість польськими руками чистити ряди неугодних українців.

Отримавши вже зараз персональні дані громадян України – хоча на першому етапі це лише посвідчення водія та дані техпаспортів, – завтра поляки можуть отримати доступ до податкової бази, до реєстру підприємств, до реєстру виконавчих проваджень і т.п. Все це дасть їм можливість сегментувати і ділити українське суспільство на «потрібних» і «непотрібних».

«Проблемних» українців можна примусово повертати в Україну, а «осіб з потенціалом» заохочувати до приїзду і тривалого перебування в Польщі. Такий доступ може дати не лише додаткові дані для зміцнення безпеки Польщі, але й інструменти для тиску на соціально-активну частину суспільства. Наприклад, нелояльним до Польщі громадянам України можна банально створювати проблеми з відвідуванням інших країн Євросоюзу та Шенгенської зони.  

Ну і останнє: сьогодні йдуть війни не так за території, як за уми – які потім спокійно можуть здавати власне території. Навіщо кидати в бій свою армію, якщо можна, володіючи повною персональною інформацією, мати на польській «лаві запасних» зговірливих українських діячів, котрі будуть просувати польські національні інтереси – та й не лише польські.

Одним словом, перші кроки до польської цифрової окупації України зроблено, причому завдяки діям київських чиновників, котрі розпочали «злив» польським властям (а отже – і спецслужбам) персональних даних українців. Наразі – стосовно біженців/переселенців, але у подальшому це торкнеться принаймні всіх українських заробітчан в Польщі. Якщо подібні дії («Дії»?) продовжуватимуться, то реальна окупація Польщею українських земель буде лише питанням часу.