Державне підприємство “Дія” трансформується в акціонерне товариство, що породжує стурбованість щодо збереження конфіденційності особистої інформації 23 мільйонів користувачів. Мінцифри запевняє, що “Дія” цілком залишиться в державній власності, однак фахівці висловлюють сумніви щодо ймовірної приватизації та комерції даними.
Державне підприємство “Дія” здійснює зміну форми господарювання на акціонерне товариство. УНН вирішив розібратися, що зміниться і чи будуть захищені особисті дані 23 мільйонів користувачів “Дії” після такого перетворення.
Шість років тому Міністерство цифрової трансформації представило мобільний додаток і портал “Дія”, що стало втіленням програми “Держава у смартфоні”. Весь час “Дія” функціонувала як держпідприємство. Проте в січні на аналітичній платформі YouControl з’явилися відомості про те, що державне підприємство “Дія” знаходиться в процесі припинення. Як роз’яснила заступниця міністра цифрової трансформації України Валерія Коваль, держпідприємство трансформується у формат акціонерного товариства. У Мінцифри також запевнили, що подібні зміни жодним чином не відіб’ються на функціонуванні застосунку або порталу “Дія”.
Подібної зміни, згідно зі словами Коваль, вимагає актуальне українське законодавство. Наразі всі держпідприємства в Україні повинні змінити свою організаційно-правову форму.
Хочу особливо наголосити: Дія на 100% залишається державною. Вираз “акціонерне товариство” в назві ніяк не передбачає приватизацію. Держава була, є і буде єдиним власником
– підкреслила Коваль.
Занепокоєння з приводу приватизації та торгівлі персональними даними
Юрист Ростислав Кравець висловив думку, що зміна формату юридичної особи дозволить “безперешкодно торгувати інформацією про українців”.
Проте нині існують ризики того, що персональні дані українців будуть продаватися, передаватися, використовуватися третіми особами без їх згоди, оскільки створено акціонерне товариство. Державне підприємство просто не могло цього зробити згідно із законом. Акціонерне товариство може робити все, що завгодно
– зазначив юрист.
Він також акцентував увагу на тому, що питання про те, кому належить право власності на програмне забезпечення “Дії”, також потребує вивчення.
Засновник руху “Права людини” Остап Стахів не виключає, що після переходу “Дії” у форму акціонерного товариства, згодом його можуть приватизувати.
У нас, пригадуєте, багато підприємств переводили в акціонерне товариство, і нам розповідали байку, що ні-ні, ніякої приватизації не буде, державна частка буде стовідсоткова, бла-бла-бла, тут зараз те саме ми чуємо
– зауважив він.
Стахів також не виключає, що в результаті акціонерне товариство буде здійснювати торгівлю персональними даними мільйонів українців.
Ще раз вітаю всіх тих, хто має “Дія”. Знаєте, тепер це дуже зручно купувати і продавати людей. Як то казали ті, що мають додаток… Зараз, натиснув на кнопку – і продав дані. Ну, а разом з тим всім, люди туди позаносили всі свої дані. Від сім’ї, дітей, ідентифікаційний, паспорт
– говорить він.
Кіберексперт: особисті дані українців захищені вкрай погано
Експерт з кібербезпеки Костянтин Корсун у коментарі УНН зауважив, що перереєстрація “Дії” з державного підприємства в акціонерне товариство має суто формальний характер і не вирішує системних проблем із захистом персональних даних мільйонів українців, які використовують додаток.
Це просто папери. По суті, нічого не змінюється і на безпеку даних це не впливає
– стверджує експерт з кібербезпеки.
Разом з тим, Корсун вважає, що рівень захисту персональних даних в державних цифрових системах є критично низьким, фактично “абияк”. Це, за його словами, підтверджує ряд інцидентів, пов’язаних з витоками.
Серед них експерт згадав злам реєстрів Міністерства юстиції у грудні 2024 року, а також кібератаку на “Дію” у січні 2022 року, факт якої, за його словами, згодом був підтверджений рішенням американського суду присяжних. Тоді з “Дії” стався витік даних про 13,5 млн українців.
Окремо Корсун нагадав і про масштабний інцидент з мобільним оператором “Київстар”, який, за його словами, хоча й не призвів до масового витоку даних, проте продемонстрував вразливість навіть найбільших приватних компаній.
Це свідчить про те, що навіть найбагатші комерційні компанії не здатні повністю якісно захистити свої мережі, у тому числі ті, на яких зберігаються дані користувачів. А це приватні компанії з великими бюджетами, з великим штатом співробітників, з пристойними зарплатами і все таке інше. У держсекторі значно все гірше і при цьому не зрозуміло взагалі, хто несе відповідальність за безпеку наших даних на загальнонаціональному рівні, тому що ця відповідальність вона розпилена між різними установами і кожна з них хоче собі бюджет фінансування, якісь повноваження, але на відріз будь-хто відмовляється брати на себе відповідальність у випадку якихось інцидентів
– відзначив експерт з кібербезпеки.
Корсун також заявив, що “Дія” залишається вразливою як до хакерських атак, так і до шахрайства з використанням персональних даних. “Мій досвід, а я слідкую за цим вже 5 років, свідчить, що так, “Дія” вразлива і до хакерських атак, і до шахрайства з використанням персональних даних користувачів”, – зауважив кіберексперт.
Більше того, експерт з кібербезпеки переконаний, що в існуючій концепції та архітектурі “Дію” неможливо зробити безпечною.
“Дія” в цій концепції – це абсолютно цілковита помилка. Це суперечить усій світовій науці і про захист персональних даних, і про кібербезпеку. В такій ідеології, в такій архітектурі, як вона побудована в Україні, її неможливо буде захистити в принципі, тому що фундамент цієї будівлі гнилий. Побудовано все це на гнилому фундаменті
– підкреслив Корсун.
На його думку, проблема також полягає і у відсутності в Україні дієвого законодавства про захист персональних даних та незалежних інституцій контролю, аналогічних тим, що працюють у країнах Західної Європи. Навпаки, зазначає експерт, держава сама просуває цифрові рішення, які несуть ризики як для громадян, так і для національної безпеки.
Отже, стає зрозуміло, що незалежно від форми власності “Дія”, якою користуються мільйони українців, буде залишатися вразливою для хакерських атак та шахрайських дій. Однак перехід до акціонерного товариства може додатково відкрити можливість для торгівлі інформацією.