Совсем недавно в сеть попали персональные данные 11 миллионов граждан РК. Эту новость очень быстро засосало в сливное отверстие информационного потока – ведь сейчас в нём даже остросоциальные вопросы застревают не больше, чем на неделю. В то же время любая остросоциальная проблема когда-то была вопросом, не получившим должного внимания и оттого не проработанным.
Перед нами как раз такой случай. Отчасти нулевой резонанс довольно серьёзной утечки можно объяснить тем, что сервер страницы с незаконно обнародованными данными был обнаружен и отключен, говорится в статье на сайте ia-centr.ru.
Правда, в течение недели все эти данные были доступны для любых манипуляций, в том числе и противозаконных. Но 11 млн – это ведь фактически весь Казахстан: население – 18,49 млн, из них более 10 млн в городах (что характерно, про экономически активное население, которое в 2017 году было меньше 10 млн, источник не написал).
И если в этом, по словам зампреда Мажилиса РК Владимира БОЖКО «нет большой угрозы», то зачем был разработан и принят «Закон о защите персональных данных»? Для ответа на этот вопрос нужно совсем немного – всего лишь вспомнить, для чего проводились первые сборы персональных данных населения, т.е. переписи. Правильно — для учета и планирования налогов и других платежей.
Сегодня, спустя почти 1000 лет, основной смысл использования персональных данных никуда не исчез. Правда, сбор налогов осуществляется главным образом у источника выплаты (исключая налоги на имущество, которые всё равно в сознании граждан по своей неизбежности практически равны коммунальным платежам).
А вот второй важнейший для каждого современного гражданина вид платежа — взнос по кредиту – происходит предельно осознанно. Именно к этому аспекту использования персональных данных граждане РК наиболее чувствительны. И именно в этой плоскости лежит основная, нет, не угроза – основной риск, которого почему-то не видит вице-спикер Мажилиса.
Наверное, как многолетний работник системы госбезопасности и бывший министр по ЧС, Владимир Карпович привык отражать угрозы на более выраженной стадии – это можно понять. Собственно, почему именно сейчас стоит воспринимать невозможность защитить персональные данные, как угрозу.
Хотя лет десять назад можно было с полным основанием фыркнуть и пролистнуть ленту дальше вниз в поисках чего-то более интересного. Ответ на самом деле один, но рассмотреть его придется под разными углами.
Первое: Реальность угрозы: зачем красть персональные данные
Казахстан полностью встроен в глобальную экономику и является ее важной частью. Но роль нашей страны в ключевых процессах подчеркнуто вторична. Это означает, что большая часть наших действий – это реакция на глобальные события и выбор ограничивается лишь тем, как отреагировать на неизбежное.
Последнее десятилетие крупнейшие экономики потратили не на поиск решительного выхода из глобального кризиса, а на попытки смягчить его последствия для себя – в основном за счет более слабых участников глобального рынка (для чего и существуют последние). Одна из таких попыток – стимулирование потребления, в том числе на развивающихся рынках, в том числе за счет потребительского кредитования. Именно эти два момента и обеспечили максимальный охват населения РК мобильными устройствами с выходом в интернет.
Мягко говоря, более половины смартфонов в РК куплены в кредит, а это значит: 1) персональные данные их владельцев уже использованы и внесены в многочисленные базы, в т.ч. государственные; 2) пользователи смартфонов имеют самый удобный из существующих в мире доступов к микрокредитному ресурсу.
Розничная торговля в Казахстане один из основных драйверов экономического роста (не единственный, но всё же), но она просто не может расти без розничного кредитования – главные города Казахстана обладают высокой «стоимостью жизни» и низкой покупательной способностью.
Благодаря розничному кредитованию, завидными темпами развиваются и формы безналичного расчета, причем без приложения каких-либо специальных усилий. Но доля платежеспособного населения в РК не просто ограничена, а ограничена довольно узкой группой, поэтому самый бурный рост происходит в сфере микрокредитования, где запредельный риск невозврата компенсируется бесчеловечной ставкой вознаграждения и кабальными условиями.
Доля населения с нестабильными доходами огромна (только официально, самозанятых и безработных – около 3 млн человек). Эта группа населения наиболее безграмотна и наименее защищена – их легко спровоцировать на множественные получения повторных микрозаймов: без залогов, подтверждения доходов и без кредитной истории. Таким образом, на сегодняшний день для получения маленького и дико дорогого займа достаточно… всего лишь персональных данных. Случаев оформления кредитов и микрозаймов на ничего не подозревающих людей на сегодняшний день предостаточно.
Второе: Защищенность персональных данных
Как утверждают специалисты в том же самом новостном материале: «незащищенных систем в мире нет, и взломать можно все, что угодно». Все дело в мотивации — если есть ради чего прикладывать усилия. Например, недавно мошенники создали точную копию портала homebank.kz, которым много лет пользуются миллионы клиентов Казкоммерцбанка, недавно ставшего частью Народного банка.
Никто не знает, сколько людей отправили свои данные мошенникам, пока специалисты банка устраняли последствия. Работа над надежностью систем безопасности неизбежна и необходима, но результат не гарантирован – недавние «сливы» персональных данных пользователей Facebook и Yahoo это косвенно подтверждают.
Третье: Человеческий фактор
Заместитель председателя комитета по информационной безопасности Министерства цифрового развития, инноваций и аэрокосмической промышленности Руслан АБДИКАЛИКОВ допустил, что виновным в утечке огромного массива персональных данных могло быть должностное лицо, имеющее соответствующий доступ. Это означает, что современная государственная архитектура безопасности данных имеет критически высокую зависимость от человеческого фактора. Другими словами, самая сложная система безопасности может пасть жертвой недостаточно совершенной системы контроля доступа сотрудников.
Итог
До тех пор, пока массив персональных данных можно легко и быстро монетизировать, будут существовать способы их украсть. Может ли Казахстан если не исключить полностью, то хотя бы минимизировать возможности получения преступной выгоды от использования персональных данных? Причем сделать это изолированно от остального мира? Вопрос этот лежит не только и не столько в административной и экономической плоскостях, сколько в политической. Ведь ужесточение требований к работе финансовых институтов, пусть даже это микрофинансовые и микрокредитные организаций – вопрос абсолютно политический.