Недавно главе государства отчитывалось МВД. После выступления Президента, где он озвучил наиболее «чувствительные» направления работы ведомства, ему показали проекты, над которыми сейчас трудится ведомство. Один из них — «Дактилоскопическая регистрация». Собирать наши «пальцы» на обязательной основе начнут уже с 1 января 2024 года, что закреплено в соответствующем законе. То есть до полномасштабного сбора «самых персональных данных» палец-фотография — всего полгода, а в нашем государстве до сих пор нет адекватного ущербу наказания за утечку личных данных казахстанцев. И ведь не откажешься от регистрации в базе, иначе — штраф
Защита данных — «рука-лицо»
Почему так важно беречь эту информацию: сервис позволит получать документы, удостоверяющие личность. Постепенно все данные казахстанцев будут оцифрованы. Еще немного, и у нас ничего аналогового не останется. С одной стороны, хорошо. С другой — опасно. Конечно, этого невозможно избежать, но чем выше степень цифровизации общества, тем выше риски утечки данных. В то же время высокие риски — не повод стоять на месте и полагаться только на «бумажные» технологии.
При высоком уровне цифровизации необходим и соответствующий подход к обеспечению безопасности данных. А с этим, по мнению экспертов, в государстве пока наблюдаются сложности. Повторим, нет адекватного ущербу наказания за утечку персональных данных, а организация, которая должна искать «дыры», — это Комитет по информационной безопасности. По идее он не должен входить в состав Министерства цифрового развития, инноваций и аэрокосмической промышленности РК (МЦРИАП). Ведь подобное может ограничить его возможности, утверждают эксперты. Комитет, находясь в структуре МЦРИАП, принимать адекватные меры (штрафы, «уголовку» и т.д.) к «материнской» организации, которая осуществляет всеобщую цифровизацию, по понятным причинам, не будет.
И такой порядок чиновников пока устраивает, ведь любое новое требование безопасности данных (повышение ответственности) тормозит столь приоритетную цифровизацию. А любые проволочки не вписываются в план работ, сроки, ожидаемые результаты и задачи, которые неоднократно ставил Президент перед Минцифры. Ведь и так проект «Дактилоскопическая регистрация» очень сильно затянули. Сначала хотели ввести в 2021 году, потом перенесли на январь 2023-го. Ну а позже — на январь 2024-го. Поэтому запускать, по всей видимости, будут, как есть — с той сравнительно низкой ответственностью за утечку данных, которая предусмотрена отечественным законодательством. И ведь даже планов по ужесточению законов в этой части не озвучено. Для сравнения возьмем страны Евросоюза, где штрафы могут достигать сотен миллионов евро.
Наказание за «отсутствие пальцев»
Отношения в этой сфере регулирует Закон «О дактилоскопической и геномной регистрации». Обязательная дактилоскопическая регистрация с января 2024 года будет применяться в отношении всех граждан, достигших 16-летнего возраста. Нормы закона так и поясняют — нужен документ (восстанавливаешь, перевыпускаешь, получаешь и не проходил этой процедуры раньше), будь добр, «сдай пальчики». Это касается не только граждан Казахстана, но и иностранцев, что получают удостоверение моряка или оформляют вид на жительство. Уклониться, судя по нормам закона, нельзя. Ответственность за отказ прописана в статье 443-1 КоАП РК, где указано — если гражданин РК не хочет проходить дактилоскопическую регистрацию, то ему придется заплатить штраф в размере двух МРП (один МРП на 2023 год — 3450 тенге). С иностранцами жестче — административное выдворение за пределы страны. И будет все это работать, напомним, уже с января 2024 года.
Круче папиллярной вязи
Уточним, что сейчас речи об обязательной геномной регистрации всех граждан Казахстана пока не идет. Этой процедуре на неукоснительной основе подвергают только преступников, которые совершили тяжкие или особо тяжкие, а также преступления против половой неприкосновенности, в том числе несовершеннолетних. К сведению, также подлежат сохранению геномные данные, полученные из биоматериалов, собранных во время следствия, и геномные данные родственников пропавших граждан. Неопознанные трупы, к слову, тоже в базе.
Кстати, а как быть, если оправдали? Удалят ли геномные данные? Если удалят, то когда? Закон сообщает, что в течение года после вступления оправдательного приговора в силу. Что касается осужденных преступников, то информация об их геноме будет храниться до 25 лет после установления факта смерти. Если факт смерти не установлен, то до даты, когда ему исполнилось 100 лет. Иными словами, выскочить просто так на свободу не только с чистой совестью, но и с чистой картой геномной информации базы осужденных, по закону, выходит, не получится — база будет «помнить» о нем всю его жизнь, а после — еще немного.
Вероятность, что со временем геномная регистрация (так же как дактилоскопическая) станет обязательной для каждого человека, довольно высока. Через какое конкретно время, никто сейчас сказать не возьмется — 10, 20, 30 лет… Однако механизм есть и инфраструктура — тоже. Начнут постепенно. Сначала в базу включат тех, кто провинился административно или просто попал в сферу интересов правоохранительных органов. Позже добавят тех, кто обратился за медицинской помощью. Например, встал на портал для получения возможности сделать операцию. А после — и вовсе в роддоме. Резон вполне объясним — эти данные о личности, налогоплательщике, избирателе, потребителе как минимум полезны. Кроме того, они позволят фиксировать и проводить анализ генетического кода, который передается «от отца к сыну». Следить, например, за тем, как сказывается на поколениях состояние окружающей среды в конкретном регионе. Или начнут искать связь особенностей нашего генома с нашими потребительскими предпочтениями, а может, и политическими взглядами.
В любом случае данные, в конце концов, будут собраны, и основы механизма их охраны, а также адекватное наказание за их утечку надо продумывать и закладывать уже сегодня. Как определить, каким образом наказывать? Представьте, что кто-то по своей халатности или ввиду определенного умысла «слил» в сеть всю вашу жизнь. И это не просто как будто оказаться голым на людях. В будущем — это оказаться голым и на улице! Ведь информация такого характера начнет работать в качестве инструмента подтверждения личности. И при высоком уровне цифровизации система будет слушать инструкции нашего цифрового образа, чтобы, предположим, сменить право собственности на недвижимость, взять заем, а может, сделать какой-то другой важный выбор.
Кто ответственен за сбор и хранение
Конечно, такой уровень интеграции геномной информации граждан Казахстана в государственную систему пока недостижим. Более того, с нынешним положением по части безопасности данных еще и опасен. Нам бы защитить то, что есть сейчас и что добавится с 2024 года — лица и отпечатки пальцев. Один из наиболее действенных способов, по мнению экспертного сообщества, — репрессивный. То есть тотальное ужесточение ответственности за утечку персональных данных. Сейчас объясним.
Что происходит сегодня? По нормам упомянутого закона собирают и хранят эти данные органы внутренних дел «путем формирования электронного информационного ресурса». Можно сказать, сервера или «облака». Так вот, по статье 79 КоАП ответственность за несоблюдение мер по защите персональных данных подразумевает максимальное наказание в виде штрафа в 1000 МРП (один МРП — 3450 тенге). Это в случае, если речь идет о субъекте крупного предпринимательства. Существует также и уголовная ответственность за утечку упомянутого рода данных (статьи 147 и 211 УК РК) — до семи лет тюрьмы.
Однако, и мы об этом не раз говорили, предусмотренная ответственность не адекватна возможному ущербу от утечки персональных данных. Ведь штрафы для крупного бизнеса копеечные, а уголовное наказание для исполнителя (его сделают крайним) — мера неэффективная. На его место, вновь повторим эту мысль, придет другой, а подход к обеспечению безопасности наших данных у организации не изменится. Поэтому чуть ли не единственным вариантом, считают независимые эксперты, является введение оборотных штрафов для бизнеса и обязательное отстранение от должности как минимум вторых лиц с лишением права занимать аналогичные позиции в будущем, если речь идет о государственном ведомстве. Можно и посадить, но это на усмотрение суда, который рассмотрит причиненный утечкой ущерб. Эксперты считают, что пока в обществе к компрометации личных данных граждан не будут относиться как, например, к коррупции, ситуация не поменяется.
Говоря о неадекватной ущербу от утечек ответственности, вновь хочется вспомнить и сказать о тотальной безалаберности при работе с нашими данными и отсутствии реальных показательных дел с обязательным наказанием виновных. Вспомните, в сеть утекли данные 11 миллионов казахстанцев — тишина. На постоянной основе утекают данные из систем банков второго уровня (о недавней утечке сообщало в открытых источниках АО «Государственная техническая служба») — тоже тишина.
Как считает уважаемый читатель — продолжилась бы такая практика в будущем, если бы уволили, например, заместителя отраслевого министра или руководителя какого-либо профильного комитета? Да мы бы и рады сами защититься, но ведь, напомним, от передачи своих данных в общий котел уклониться не получится.
Цифровая гигиена по-индийски
В Индии есть интересная система, которая содержит в себе практически все данные гражданина — отпечатки пальцев, скан сетчатки глаза, информацию об имуществе, счетах. Название ее — AADHAAR. В переводе с хинди — «основание». Система считается одной из самых крупных в мире, так как содержит персональную информацию о более чем миллиарде человек. И вот в 2017 году выясняется, что данные были скомпрометированы. Причем не по причине атак со стороны, а ввиду неаккуратного обращения с ними представителей государственных органов. Разбирательство длилось долго — государство отчаянно отпиралось, а журналиста, опубликовавшего данные о крупнейшей утечке данных (на тот момент информация о почти 88 процентах граждан Индии находилась в системе), привлекли за распространение фейка. Но позже, после того как базы оказались в прямой доступности, уполномоченному ведомству все же пришлось признать утечку. Частично.
В Индии работал (на то время точно) центр изучения интернета и общества CIS. И «напрягся»в первую очередь он. Его специалисты указали, что, имея личные данные как минимум (на то время — май 2017 года) 135 миллионов человек, злоумышленники имели «отличную возможность воссоздать часть правительственной базы и начать конструировать очень убедительные поддельные личности». А такое грозило в том числе всплеском финансового мошенничества, писал в то время журнал «Хакер» (да, тот самый, о котором вновь вспомнили ввиду ареста его бывшего редактора Никиты Кислицина). Случай с такого рода утечками в Индии не единичен — цифровизация у них на высоком уровне. Вот недавно там «потекла» база CoWIN, где содержатся данные о вакцинированных гражданах. И вновь вроде как никто не виновен.
А вообще, наши страны в чем-то похожи. Как минимум в степени проникновения цифры в нашу жизнь и в том, что и у нас не торопятся искать крайнего за утечку персональных данных любого масштаба.
Даулет Алтаев