Державне підприємство “Дія” змінює юридичну форму на акціонерне товариство, що викликає стурбованість щодо захищеності особистих відомостей 23 мільйонів користувачів. Мінцифри запевняє, що “Дія” на 100% залишиться у державній власності, але фахівці висловлюють занепокоєння щодо ймовірної приватизації та реалізації даних.
Державне підприємство “Дія” змінює організаційно-правову форму на акціонерне товариство. УНН вирішив розібратися, що саме зміниться та чи будуть у безпеці особисті дані 23 мільйонів користувачів “Дії” після такого перетворення.
Шість років тому Міністерство цифрової трансформації представило мобільний додаток та портал “Дія”, що стало втіленням програми “Держава у смартфоні”. Весь цей час “Дія” існувала як держпідприємство. Однак у січні на аналітичній платформі YouControl з’явилися відомості про те, що державне підприємство “Дія” знаходиться у процесі припинення. Як пояснила заступник міністра цифрової трансформації України Валерія Коваль, держпідприємство трансформується у формат акціонерного товариства. У Мінцифри також запевнили, що подібні зміни жодним чином не позначаться на функціонуванні додатку чи порталу “Дія”.
Така зміна, за словами Коваль, обумовлена чинним українським законодавством. Наразі усі держпідприємства в Україні зобов’язані змінити свою правову форму.
Хочу окремо підкреслити: Дія на 100% лишається державною. Вираз “акціонерне товариство” в найменуванні жодним чином не передбачає приватизацію. Держава була, є і буде єдиним власником
– зауважила Коваль.
Побоювання щодо приватизації та торгівлі особистими даними
Юрист Ростислав Кравець припустив, що зміна формату юридичної особи дозволить “вільно здійснювати операції з даними українців”.
Однак зараз є ризики того, що персональні дані українців будуть продаватися, передаватися, використовуватися третіми особами без їхньої згоди, оскільки утворено акціонерне товариство. Державне підприємство просто не могло цього зробити згідно із законом. Акціонерне товариство може робити все, що завгодно
– відзначив юрист.
Він також акцентував увагу на тому, що питання про те, кому належить право власності на програмне забезпечення “Дії”, також потребує дослідження.
Засновник руху “Права людини” Остап Стахів не виключає, що після переходу “Дії” у формат акціонерного товариства, згодом її можуть приватизувати.
У нас, пригадуєте, багато підприємств переводили в акціонерне товариство, і нам розповідали казочку, що ні-ні, жодної приватизації не буде, державна частка буде стовідсоткова, бла-бла-бла, тут зараз те саме ми чуємо
– зауважив він.
Стахів також припускає, що в кінцевому підсумку акціонерне товариство здійснюватиме продаж особистих даних мільйонів українців.
Ще раз вітаю всіх тих, хто користується “Дія”. Знаєте, тепер це дуже зручно купувати та продавати людей. Як то казали ті, хто мають додаток… Зараз, натиснув на кнопку – і продав дані. Ну, а разом з цим всім, люди туди внесли всі свої дані. Від сім’ї, дітей, ідентифікаційний код, паспорт
– говорить він.
Кіберексперт: персональні дані українців захищені вкрай неналежно
Експерт з кібербезпеки Костянтин Корсун у коментарі УНН зауважив, що перереєстрація “Дії” з державного підприємства в акціонерне товариство має виключно формальний характер і не вирішує системних проблем із захистом особистих даних мільйонів українців, які використовують додаток.
Це просто папери. По суті, нічого не змінюється і на безпеку даних це не впливає
– стверджує експерт з кібербезпеки.
Водночас Корсун вважає, що рівень захисту особистих даних у державних цифрових системах є критично низьким, фактично “абияк”. Це, за його словами, підтверджує ряд інцидентів, пов’язаних із витоками.
Серед них експерт згадав злам реєстрів Міністерства юстиції у грудні 2024 року, а також кібератаку на “Дію” у січні 2022 року, факт якої, за його словами, згодом був підтверджений рішенням американського суду присяжних. Тоді з “Дії” стався витік даних про 13,5 млн українців.
Окремо Корсун нагадав і про масштабний інцидент з мобільним оператором “Київстар”, який, за його словами, хоч і не призвів до масового витоку даних, проте продемонстрував вразливість навіть найбільших приватних компаній.
Це свідчить про те, що навіть найбагатші комерційні компанії не здатні повністю якісно захистити свої мережі, у тому числі ті, на яких зберігаються дані користувачів. А це приватні компанії з великими бюджетами, з великим штатом співробітників, з гідними зарплатами і все таке інше. У держсекторі значно все гірше і при цьому не зрозуміло взагалі, хто несе відповідальність за безпеку наших даних на загальнонаціональному рівні, тому що ця відповідальність вона розпорошена між різними установами і кожна з них хоче собі бюджет фінансування, якісь повноваження, але навідріз будь-хто відмовляється брати на себе відповідальність у випадку якихось інцидентів
– зауважив експерт з кібербезпеки.
Корсун також заявив, що “Дія” залишається вразливою як до хакерських атак, так і до шахрайства з використанням особистих даних. “Мій досвід, а я слідкую за цим вже 5 років, свідчить, що так, “Дія” вразлива і до хакерських атак, і до шахрайства з використанням персональних даних користувачів”, – зазначив кіберексперт.
Більше того, експерт з кібербезпеки переконаний, що в поточній концепції та архітектурі “Дію” неможливо зробити безпечною.
“Дія” в цій концепції – це абсолютно повна помилка. Це суперечить усій світовій науці і про захист особистих даних, і про кібербезпеку. В такій ідеології, в такій архітектурі, як вона побудована в Україні, її неможливо буде захистити в принципі, тому що фундамент цієї будівлі гнилий. Побудовано все це на гнилому фундаменті
– підкреслив Корсун.
На його думку, проблема також полягає і у відсутності в Україні дієвого законодавства про захист персональних даних та незалежних інституцій контролю, подібних до тих, що працюють у країнах Західної Європи. Натомість, зазначає експерт, держава сама просуває цифрові рішення, які несуть ризики як для громадян, так і для національної безпеки.
Отже, стає зрозуміло, що незалежно від форми власності “Дія”, якою користуються мільйони українців, залишатиметься вразливою для хакерських атак та шахрайських дій. Однак перехід до акціонерного товариства може додатково відкрити можливість для торгівлі інформацією.