Дивина

Якось дослідник кібербезпеки Джейк Діксон (Jake Dixon) знайшов у вільному доступі на одному хмарному хостингу майже мільйон скан-копій документів українських громадян: паспорти, довідки з податковими номерами, водійські посвідчення і все інше, що так люблять шахраї (заради справедливості уточню, що документів було 992 978 і не усі вони містили персональні дані. Хоча суті це особливо не змінює).

Судячи з їхнього характеру, ймовірно, ці документи збиралися приватними сертифікаційними центрами, які інспектували автомобілі, що завозяться в Україну, зокрема іноземними компаніями та навіть посольствами. Найімовірніше, від заявників вимагалося надіслати копії відповідних документів, які зберігалися тепер вже зрозуміло як.

Діксон (громадянин Ірландії, мешкає в Естонії) виявив цю проблему ще у березні 2022-го і як сумлінний фахівець одразу повідомив про неї українські державні органи. Ну так завжди роблять професіонали, це щось на кшталт кодексу честі, чи якось так.

Зв’язався він з організацією CERT-UA Держспецзв’язку, яку я мав честь та біль створити у 2005-2008 рр., забезпечив її міжнародну акредитацію, але залишив їх у 2009-му, після чого організація негайно почала деградацію.

Але повернімося до нашого кейсу. 

Попри паніку у держструктурах на той період (початок повномасштабного вторгнення), CERT-UA у відповідь Діксону попросили надати більше інформації – але після того замовкли на три роки. Буквально.

Й усі ці три роки мільйон документів продовжував валятися у відкритому доступі. А все новій й нові документи завантажувалися туди аж до 1 квітня 2025-го.

Цією історією нещодавно зацікавилися журналісти видання Kyiv Independent і їм вдалося нещодавно поспілкуватися з представником CERT-UA якимось Антоном Кобилянським. Який повідомив, що, ймовірно, відповідальність за ці дані несе міністерство цифрової трансформації – і далі відмовився коментувати. Цікаво, як далі склалася доля бідного Антона після такого богохульства.

Міністерство цифрових трансформаторів – звісно – також заперечило звою відповідальність за витік даних. Так само, як і відмовилося від відповідальності Міністерство розвитку громад і територій, яке видавало ліцензії приватним сертифікаційним центрам автомобілів.

Висновок, який зробили Kyiv Independent з цієї історії: українські державні дані «потужно централізовано»; однак відповідальність за державні дані – «ретельно розпорошено» (окрема подяка за вишукане thoroughly dispersed, моє шанування).

Це, власне, саме те, про що я говорю різними словами вже майже 10 років: у нас цілих 11 «основних суб’єктів забезпечення кібербезпеки», але у випадку інциденту – крайнього не знайдеш.

Коли йдеться про ґранти, бюджети, фінансування, штати, закупівлі, турпоїздки за кордон з «обміну досвідом» – тут усі наввипередки біжать і кричать «Я тут головний з кібербезпеки, я!». 

А от коли трапляється гучний інцидент – усі ті захищальники тікають по кущах, заперечують свою провину та прикидаються купкою гною.

Але при цьому усі старі кіберпроблеми України нахабно продовжують себе не розв’язувати.

Попри 11-й рік активної кібервійни, в Україні досі немає єдиного центру національної кібербезпеки. Який би був сформований на професійній основі, через відкриті конкурсні процедури, за участі відомих міжнародних експертів. Який би став не тільки ідеологічним хабом та точкою довіри всередині країни, але також мозковим центром, базою для стратегічного розвитку кіберзаконодавства та його адаптації до законодавства ЄС. І такий центр також слугував би єдиною точкою входу для іноземних партнерів – для швидкої взаємодії з ними, щоб надавати відповідь протягом 3 хвилин, а не 3 років. І по суті, а не відписки.

Щоб кожен у країні та за її межами точно знав – ось ця організація відповідає за кібербезпеку в Україні. Наразі ж присвоювати такий статус продовжують щонайменше 4 організації: ДСС331, НКЦК РНБО, ДКІБ СБУ та Мінцифри.

Тим часом зе-депутати продовжують заклеювати дірки у трупі гнилого корумпованого Держспецзв’язку, накачуючи цього совкового франкенштейна все новими каральними повноваженнями. «Слуги» разом з «ригами» напхали в закон 4336-IX окремі норми європейського NIS2 вперемішку зі своїми корупційно-репресивним хотілками – і гордо називають це «законом про кібербезпеку».

Але реальність – ось вона, «на землі».

Про неї у 2025 році пишуть англомовні видання і вона очевидна «західним партнерам», причому неозброєним оком.

А захист персональних даних в Україні – то взагалі десь на рівні Сомалі. 

Про що можна говорити, якщо головний порушник – віцепрем’єр-міністр?

P.S.: Цікавий факт: попри відмову усіх держструктур взяти відповідальність за цей випадок, якимось дивним чином з 1 квітня 2025 документи почали зникати з вільного доступу. Дивина. Miracle.