Тотальний онлайн

Телеграм-боти збирають інформацію, поки правоохоронці розводять руками

V конференція Асоціації правників України з ІТ-права відбулася в режимі онлайн. Провідні фахівці юридичного та ІТ-ринку обговорили всі можливі аспекти галузі та дали інструкцію для застосування заходів кібербезпеки, розглянули останні законодавчі новації та питання (не)свободи слова в Інтернеті.

Захист даних

Ключова складова кіберсвіту, без якого його б не існувало, — безпека та всі її аспекти — стала темою першої сесії. Новації українського законодавства щодо захисту даних і можливі шляхи його гармонізації з міжнародними стандартами розглянув радник Sayenko Kharenko Аріо Дехгані. Спікер нагадав, що чинному закону «Про захист персональних даних» недавно виповнилось 11 років. Тож з огляду на стрімкий технологічний процес очевидно, що правове регулювання суттєво застаріло, а європейські країни в цьому питанні значно випередили Україну.

Та два роки тому була ухвалена оновлена «Конвенція 108+» і затверджено регламент Європейського Союзу GDPR (загальний регламент захисту даних), який встановлює чіткі правила регулювання у сфері кібербезпеки. Документи було вивчено й врешті напрацьовано законопроект «Про захист персональних даних», який детально й розглянув спікер. «Ідеальної безпеки даних не існує. Усвідомте це — і ви наблизитеся до максимального рівня кіберзахисту», — зауважив А.Дехгані.

А от практичні аспекти впровадження заходів безпеки даних клієнтів і працівників у фінустановах в умовах пандемії розглянув спеціаліст із захисту персональних даних в АТ КБ «ПриватБанк» Артем Кобрін. Серед організаційних заходів спікер назвав: визначення порядку доступу до персональних даних працівників розпорядника; визначення порядку ведення обліку операцій, пов’язаних із обробкою персональних даних суб’єкта та доступом до них; розробку плану дій на випадок несанкціонованого доступу до даних; регулярне навчання співробітників, які працюють з даними.

Серед практичних моментів, окрім постійного навчання колег, А.Кобрін згадав про оновлення внутрішніх політик і процесів; попередній аудит і перевірку контрагентів, процесорів і співконтролерів; упровадження підходів до проектованої орієнтованості.

Застарілі підходи

Та механізми кібербезпеки можуть задіюватися не лише на користь — часто вона стає інструментом тиску на компанію. Про це та запобіжники таких історій розповів CEO ProtectMaster Микита Книш. За його словами, наявні підходи до роботи сучасних правоохоронних органів давно застарілі — вони допомагають, проте не захищають. «Хороший спеціаліст коштує хороших грошей, як і хороший звіт коштує хороших грошей. Тому в наших правоохоронних органах не роблять якісні звіти — вони не мають такої можливості», — зазначив М.Книш. При цьому у світі давно використовується OSINT Framework, який дозволяє збирати інформацію про людину, виходячи із розміщених документів. Саме його використовують ІТ-компанії, які допомагають правоохоронним органам у пошуку злочинців.

«Та іноді ми стикаємося з певними обмеженнями українського законодавства в контексті доступу до даних. А якщо брати її не з відкритих джерел? Це легко в країні, де продається все», — додав М.Книш. Спікер навів кілька прикладів легкого доступу до будь-яких даних особи, зокрема, через телеграм-боти. Причому поширення такої інформації в Україні не буде порушенням закону.

Більше про те, хто саме має нести відповідальність за забезпечення кібербезпеки в компанії розповів операційний директор 10Guards Віталій Якушев. Він зауважив, що відповідь на це питання в законі є — відповідальність несе керівник, а от яку саме — невідомо. Водночас у багатьох компаніях упевнені, що це зона відповідальності технічних спеціалістів. Та це не так. Спікер зауважив, що кібербезпеки не існуватиме без наявності хоча б одного компоненту: процеси, люди та їх обізнаність про кібергігієну і технології.

Платежі та Інтернет

У рамках іншої сесії член ради комітету АПУ з питань телекомунікацій, інформаційних технологій та Інтернету Ілона Чута виступила із доповіддю про реалії е-комерсу.

Перша зі згаданих історій стосувалася LiqPay, Приват24 і касових апаратів. Спікер підкреслила, що онлайн-купівля послуг зручна для користувача, але не для магазину. Питання полягало у визначенні їх готівковими чи безготівковими. І.Чута зауважила, що в законі зазначено — РРО не потрібне при здійсненні розрахунків за послуги виключно за допомогою банківських дистанційних систем. Інша справа стосувалася питання фінмоніторингу — був заблокований рахунок ФОПа через зняття готівки на 2 млн грн. Тут важливо довести доцільність зняття значної суми.

Фінальну сесію присвятили свободі слова в інтернеті. Радник ЮФ «Василь Кісіль і Партнери» Олександр Мельник констатував: «Відключення від соцмереж не є обмеженням свободи слова». Один з найвідоміших останніх прикладів в цьому контексті — блокування акаунтів 45-го президента США Доналда Трампа. Світ сприйняв такі дії неоднозначно, в більшості — негативно. Спікер спробував довести, що вони, навпаки, є утвердженням свободи слова.

О.Мельник згадав, що в 1996 році був прийнятий закон про «пристойність у сфері комунікацій», де було сказано, яких саме заходів мають уживати провайдери для перешкоджання негативному контенту. Завдяки йому був збудований Інтернет — найвільніша на сьогодні мережа. Спікер назвав даний акт найважливішим із законів, що захищають свободу слова у Всесвітній мережі. При цьому захищені й права соцмереж модерувати контент на власних теренах. Серед найгучніших прикладів їх відстоювання — справа «Fun v. Facebook».