Державна установа “Дія” змінює організаційно-правову форму на акціонерне товариство, що викликає тривогу стосовно захищеності особистих відомостей 23 мільйонів користувачів. Мінцифри запевняє, що “Дія” на 100% лишиться в державній власності, проте фахівці висловлюють занепокоєння з приводу ймовірної приватизації та незаконного обігу інформацією.
Державна установа “Дія” трансформує форму господарювання в акціонерне товариство. УНН вирішив розібратися, що саме зміниться та чи будуть у безпеці особисті дані 23 мільйонів користувачів “Дії” після цієї трансформації.
Шість років тому Міністерство цифрової трансформації представило мобільний застосунок та платформу “Дія”, що стало втіленням програми “Держава в смартфоні”. Весь цей час “Дія” функціонувала як державне підприємство. Однак у січні на аналітичній платформі YouControl виникли відомості про те, що державна установа “Дія” знаходиться у процесі припинення. Як роз’яснила заступниця міністра цифрової трансформації України Валерія Коваль державне підприємство стане акціонерним товариством. У Мінцифри також запевнили, що подібні зміни жодним чином не позначаться на функціонуванні застосунку або платформи “Дія”.
Подібна зміна, згідно зі словами Коваль, вимагається поточним українським законодавством. Наразі всі державні підприємства в Україні повинні змінити власну юридичну форму.
Хочу особливо наголосити: Дія на 100% продовжує бути державною. Вираз “акціонерне товариство” у найменуванні жодним чином не свідчить про приватизацію. Держава була, є і буде єдиним власником
– зауважила Коваль.
Застереження щодо приватизації та збуту особистих даних
Юрист Ростислав Кравець припустив, що зміна формату юридичної особи надасть можливість “безперешкодно торгувати відомостями українців”.
Проте наразі існують ризики того, що персональні дані українців будуть збуватися, передаватися, ними будуть користуватися сторонні особи без їх згоди, оскільки створено акціонерне товариство. Державне підприємство просто не могло цього зробити згідно із законом. Акціонерне товариство може робити все, що захоче
– підкреслив юрист.
Він також звернув увагу, що питання про те, кому належить право власності на програмне забезпечення “Дії”, теж потребує з’ясування.
Засновник руху “Права людини” Остап Стахів не відкидає, що після трансформації “Дії” в акціонерне товариство, згодом його можуть приватизувати.
В нас, пригадуєте, чимало підприємств перетворювали на акціонерні товариства, і нам розповідали казку, що ні-ні, жодної приватизації не буде, державна частка буде стовідсоткова, бла-бла-бла, зараз тут відбувається те ж саме
– зауважив він.
Стахів також не виключає, що врешті-решт акціонерне товариство буде збувати особисті дані мільйонів українців.
Ще раз вітаю всіх, хто користується “Дія”. Знаєте, тепер це дуже зручно купувати та продавати людей. Як казали ті, хто має додаток… Зараз, натиснув на кнопку – і продав дані. Ну, а разом з усім цим, люди туди позаносили всі власні дані. Від сім’ї, дітей, ідентифікаційний код, паспорт
– говорить він.
Кіберексперт: особисті дані українців захищені вкрай неналежно
Фахівець з кібербезпеки Костянтин Корсун у коментарі УНН зауважив, що перереєстрація “Дії” з державного підприємства в акціонерне товариство має суто формальний характер і не вирішує системних проблем із захистом особистих даних мільйонів українців, які застосовують застосунок.
Це лише формальності. По суті, нічого не змінюється і на захищеність даних це не впливає
– стверджує фахівець з кібербезпеки.
Водночас Корсун вважає, що рівень захисту особистих даних в державних цифрових системах є критично низьким, фактично “абияк”. Це, за його словами, підтверджує низка інцидентів, пов’язаних із витоками.
Серед них фахівець згадав злам реєстрів Міністерства юстиції у грудні 2024 року, а також кібератаку на “Дію” у січні 2022 року, факт якої, за його словами, згодом було підтверджено рішенням американського суду присяжних. Тоді з “Дії” відбувся витік інформації про 13,5 млн українців.
Окремо Корсун нагадав і про масштабний інцидент з мобільним оператором “Київстар”, який, за його словами, хоча й не призвів до масового витоку даних, проте продемонстрував вразливість навіть найбільших приватних компаній.
Це свідчить про те, що навіть найзаможніші комерційні компанії не в змозі повноцінно якісно захистити свої мережі, зокрема ті, на яких зберігаються дані користувачів. А це приватні компанії з великими бюджетами, з великим штатом співробітників, з гідними зарплатами і все таке інше. У державному секторі значно все гірше і при цьому зовсім не зрозуміло, хто відповідає за захищеність наших даних на загальнонаціональному рівні, оскільки ця відповідальність розпорошена між різними установами і кожна з них прагне отримати бюджет фінансування, якісь повноваження, але категорично будь-хто відмовляється брати на себе відповідальність у разі якихось інцидентів
– зауважив фахівець з кібербезпеки.
Корсун також заявив, що “Дія” залишається вразливою як до хакерських атак, так і до шахрайства з використанням особистих даних. “Мій досвід, а я стежу за цим вже 5 років, показує, що так, “Дія” вразлива і до хакерських атак, і до шахрайства з використанням персональних даних користувачів”, – наголосив кіберексперт.
Більш того, фахівець з кібербезпеки переконаний, що в поточній концепції та архітектурі “Дію” неможливо зробити безпечною.
“Дія” в цій концепції – це абсолютно повна помилка. Це суперечить всій світовій науці і про захист особистих даних, і про кібербезпеку. У такій ідеології, у такій архітектурі, як вона побудована в Україні, її неможливо буде захистити в принципі, тому що фундамент цієї будівлі гнилий. Побудовано все це на гнилому фундаменті
– підкреслив Корсун.
На його думку, проблема також полягає і у відсутності в Україні дієвого законодавства про захист особистих даних та незалежних інституцій контролю, подібних до тих, що працюють у країнах Західної Європи. Натомість, зазначає експерт, держава сама просуває цифрові рішення, які несуть ризики як для громадян, так і для національної безпеки.
Тож стає очевидним, що незалежно від форми власності “Дія”, якою користуються мільйони українців, буде залишатися вразливою для хакерських атак та шахрайських дій. Проте перехід до акціонерного товариства може додатково відкрити можливості для збуту інформації.