Якось дослідник кібербезпеки Джейк Діксон (Jake Dixon) знайшов у вільному доступ на одному хмарному хостингу майже мільйон скан-копій документів українських громадян: паспорти, довідки з податковими номерами, водійські посвідчення і все інше, що так люблять шахраї. (Заради справедливості уточню, що документів було 992,978 і не усі вони містили персональні дані. Хоча суті це особливо не міняє.) (Попередня новина пояснює, чому таке в державі відбувається – А.).
Судячи з їх характеру, ймовірно, ці документи збиралися приватними сертифікаційними центрами, які інспектували автомобілі, що завозяться в Україну – у тому числі іноземними компаніями та навіть посольствами. Скоріш за все, від заявників вимагалося надіслати копії відповідних документів, які зберігалися тепер вже зрозуміло як.
Діксон (громадянин Ірландії, мешкає в Естонії) виявив цю проблему ще у березні 2022 і як сумлінний фахівець, одразу повідомив про неї українські державні органи. Ну так завжди роблять професіонали, це шось типу кодексу честі, чи якось так.ґ
Зв’язався він з організацією є CERT-UA Держспецзв’язку – яку я мав честь та біль створити у 2005-2008, забезпечив її міжнародну акредитацію, але залишив їх у 2009, після чого організація негайно почала деградацію.
Але повернемося до нашого кейсу.
Попри паніку у держструктурах на той період (початок повномасштабного вторгнення), CERT-UA у відповідь Діксону попросили надати більше інформації – але після того замовкли на три роки.
Буквально.
Й усі ці три роки мільйон документів продовжував валятися у відкритому доступі. А все новій й нові документи завантажувалися туди аж до 1 квітня 2025.
Цією історією нещодавно зацікавилися журналісти видання Kyiv Independent і їм вдалося нещодавно поспілкуватися з представником CERT-UA якимось Антоном Кобилянським. Який повідомив, що, ймовірно, відповідальність за ці дані несе міністерство цифрової трансформації – і далі відмовився коментувати. Цікаво як далі склалася доля бідного Антона після такого богохульства.
Міністерство цифрових трансформаторів – звісно – також заперечило звою відповідальність за витік даних.
Так само, як і відмовилося від відповідальності Міністерство розвитку громад і територій, яке видавало ліцензії приватним сертифікаційним центрам автомобілів.
Висновок, який зробили Kyiv Independent з цієї історії: українські державні дані “потужно централізовано”; однак відповідальність за державні дані – “ретельно розпорошено” (окрема подяка за вишукане thoroughly dispersed, моє шанування).
Це, власне, рівно те, про що я говорю різними словами вже майже 10 років: у нас цілих 11 “основних суб’єктів забезпечення кібербезпеки”, але у випадку інциденту – крайнього не знайдеш.
Коли мова йде про гранти, бюджети, фінансування, штати, закупівлі, турпоїздки за кордон з “обміну досвідом” – тут усі наввипередки біжать і кричать “Я тут головний по кібербезпеці, я!”.
А от коли трапляється гучний інцидент – усі ті захищальники тікають по кущам , заперечують свою провину та прикидаються купкою гною.
Але при цьому усі старі кібер-проблеми України нахабно продовжують себе не вирішувати.
Попри 11-й рік активної кібервійни, в Україні досі немає єдиного центру національної кібербезпеки. Який би був сформований на професійній основі, через відкриті конкурсні процедури, за участю відомих міжнародних експертів. Який би став не тільки ідеологічним хабом та точкою довіри всередині країни, але також мізковим центром, базою для стратегічного розвитку кібер-законодавства та його адаптації з законодавством ЄС. І такий центр також слугував би єдиною точкою входу для іноземних партнерів – для швидкої взаємодії з ними, щоб надавати відповідь протягом 3 хвилин, а не 3 років. І по суті, а не відписки.
Щоб кожен у країні та за її межами точно знав – ось ця організація відповідає за кібербезпеку в Україні. Наразі ж присвоювати такий статус продовжують щонайменше 4 організації: ДСС331, НКЦК РНБО, ДКІБ СБУ і та ж мінцифра.
Тим часом зе-депутати продовжують заклеювати дірки у трупі гнилого корумпованого Держспецзв’язку, накачуючи цього совкового франкенштейна все новими каральними повноваженнями.
“Слуги” разом з “ригами” напхали в закон 4336-IX окремі норми європейського NIS2 вперемішку зі своїми корупційно-репресивним хатєлками – і гордо називають це “законом про кібербезпеку”.
Але реальність – ось вона, “на землі”.
Про неї у 2025 році пишуть англомовні видання і вона очевидна “західним партнерам”, причому неозброєним оком.
А захист персональних даних в Україні – то взагалі десь на рівні Сомалі.
Про що може йти мова якщо головний порушник – віце-прем’єр-міністр?
P.S.: Цікавий факт – попри відмову усіх держструктур взяти відповідальність за цей випадок, якимось дивним чином з 1 квітня 2025 документи почали зникати з вільного доступу.
Дивина.
Miracle.
Автор: Костянтин Корсун, експерт з кібербезпеки. У 2000-2005 заступник керівника відділу боротьби з комп’ютерною злочинністю при Департаменті контррозвідки СБУ. Засновник та перший керівник CERT-UA. Колишній директор та співзасновник української кібер-компанії; сторінка автора у Фейсбук
Зображення з відкритих джерел