Коли держава тікає в кущі: як мільйон персональних даних опинились онлайн.
Якось дослідник кібербезпеки Джейк Діксон знайшов у вільному доступі на одному хмарному хостингу майже мільйон скан-копій документів українських громадян: паспорти, довідки з податковими номерами, водійські посвідчення і все інше, що так люблять шахраї*.
Заради справедливості уточню: документів було 992 978, і не всі вони містили персональні дані. Хоча по суті це мало що змінює.
Судячи з їхнього характеру, ймовірно, ці документи збиралися приватними сертифікаційними центрами, які інспектували автомобілі, що завозилися в Україну – у тому числі іноземними компаніями та навіть посольствами. Скоріше за все, від заявників вимагалося надіслати копії відповідних документів, які й зберігалися — тепер уже зрозуміло як.
Діксон (громадянин Ірландії, мешкає в Естонії) виявив цю проблему ще в березні 2022 року і, як сумлінний фахівець, одразу повідомив про неї українські державні органи. Ну, так завжди роблять професіонали — це щось типу кодексу честі, чи якось так.
Він зв’язався з організацією CERT-UA при Держспецзв’язку — яку я мав честь і біль створювати у 2005–2008 роках, забезпечив її міжнародну акредитацію, але залишив у 2009-му. Після чого організація негайно почала деградацію.
Але повернімося до нашого кейсу.
Попри паніку в держструктурах на той час (початок повномасштабного вторгнення), CERT-UA у відповідь Діксону попросила надати більше інформації — а потім замовкла на три роки. Буквально.
І всі ці три роки майже мільйон документів продовжував валятися у відкритому доступі. А все нові й нові документи завантажувалися туди аж до 1 квітня 2025 року.
Цією історією нещодавно зацікавилися журналісти видання Kyiv Independent, і їм вдалося поспілкуватися з представником CERT-UA — якимось Антоном Кобилянським. Який повідомив, що, ймовірно, відповідальність за ці дані несе Міністерство цифрової трансформації — і далі відмовився коментувати. Цікаво, як далі склалася доля бідного Антона після такого богохульства.
Міністерство цифрових трансформаторів, звісно, теж заперечило свою відповідальність за витік даних. Так само, як і Міністерство розвитку громад і територій, яке видавало ліцензії приватним сертифікаційним центрам.
Висновок, який зробив Kyiv Independent із цієї історії: українські державні дані «потужно централізовано», однак відповідальність за них — «ретельно розпорошено». (Окрема подяка за вишукане thoroughly dispersed, моє шанування.)
Це, власне, саме те, про що я кажу різними словами вже майже 10 років: у нас цілих 11 «основних суб’єктів забезпечення кібербезпеки», але у випадку інциденту крайнього не знайдеш.
Коли йдеться про гранти, бюджети, фінансування, штати, закупівлі, турпоїздки за кордон з «обміну досвідом» — тут усі наввипередки біжать і кричать: «Я тут головний по кібербезпеці, я!»
А от коли трапляється гучний інцидент — усі ті захиснички тікають по кущах, заперечують свою провину та прикидаються купкою гною.
При цьому всі старі кіберпроблеми України нахабно продовжують себе не вирішувати.
Попри одинадцятий рік активної кібервійни, в Україні досі немає єдиного центру національної кібербезпеки. Який був би сформований на професійній основі, через відкриті конкурсні процедури, за участю відомих міжнародних експертів. Який став би не тільки ідеологічним хабом та точкою довіри всередині країни, але й мозковим центром — базою для стратегічного розвитку кіберзаконодавства та його адаптації до законодавства ЄС. І такий центр також слугував би єдиною точкою входу для іноземних партнерів — для швидкої взаємодії з ними, щоб надавати відповідь протягом 3 хвилин, а не 3 років. І по суті, а не відписки.
Щоб кожен у країні та за її межами точно знав: ось ця організація відповідає за кібербезпеку в Україні. Наразі ж привласнювати такий статус продовжують щонайменше чотири структури: ДССЗЗІ, НКЦК РНБО, ДКІБ СБУ та Мінцифра.
Тим часом зе-депутати продовжують заклеювати дірки у трупі гнилого, корумпованого Держспецзв’язку, накачуючи цього совкового Франкенштейна все новими каральними повноваженнями. «Слуги» разом із «ригами» напхали в закон 4336-IX окремі норми європейського NIS2 упереміш зі своїми корупційно-репресивними хатєлками — і гордо називають це «законом про кібербезпеку».
Але реальність — ось вона, «на землі».
Про неї у 2025 році пишуть англомовні видання, і вона очевидна «західним партнерам» — причому неозброєним оком.
А захист персональних даних в Україні — то взагалі десь на рівні Сомалі.
Про що може йтися, якщо головний порушник — віцепрем’єр-міністр?
P.S. Цікавий факт: попри відмову всіх держструктур узяти відповідальність за цей випадок, якимось дивним чином із 1 квітня 2025 документи почали зникати з вільного доступу. Дивина. Miracle.