Росіяни в усі можливі (й не лише законні) способи збирають інформацію про громадських активістів, волонтерів, правозахисників, журналістів, голів об’єднаних територіальних громад, щоби потім, після окупації міст і сіл, знаходити їх і знищувати. Так, під час окупації Херсона колаборанти спільно з російськими військовими розшукували активних людей, які потенційно могли вести спротив і допомагати Збройним силам України. Звільнені від окупантів громади Харківщини відкрили численні історії про те, як росіяни знущалися, катували та вбивали проукраїнських людей.

Експертка зі штучного інтелекту, медіаграмотності та адвокації законодавчих змін, юристка громадської організації «Лабораторія цифрової безпеки» Тетяна Авдєєва розповіла «Детектору медіа», як захистити свої персональні дані, які є шляхи безпечної комунікації, зокрема під час війни, а також які дані окупанти можуть використати проти нас.

Тетяна Авдєєва

— Тетяно, нагадайте, що таке персональні дані та як ворог може використати їх проти активістів, волонтерів, журналістів?

— Персональні дані, відповідно до закону про їх захист, — це відомості чи сукупність відомостей про фізичну особу, які дозволяють її ідентифікувати. Причому ідентифікувати досить конкретно, не за належністю до певної групи (наприклад, за етнічною чи расовою ознакою), а ідентифікувати конкретну особу. Це викликає чимало запитань, бо якщо в нас, наприклад, поширюються анонімізовані дані, це означає, що вони не будуть персональними. Тобто це не буде конфіденційною інформацією.

Варіантів використання персональних даних багато. Починаючи від індивідуальних переслідувань — наприклад, як в окупованому Херсоні, коли переслідували активістів, журналістів, представників медіа, правозахисників, — так і для того, щоби планувати воєнні операції. Знання статистичної інформації є дуже корисними при будь-якому плануванні, зокрема і воєнних операцій. Можна також перешкоджати конкретним людям, які є активістами чи волонтерами, погрожувати їм, якщо в них є родичі на тимчасово окупованих територіях, а вони волонтерять на підконтрольній Україні території.

— На що варто звертати увагу, аби убезпечити себе від витоку персональних даних і потрапляння їх до ворога?

— Є різниця між тим, чи збір даних є державним чи приватним.

Наприклад, у нас є державний Реєстр волонтерів. Його веде податкова служба для того, щоб волонтери, які збирають гроші на приватні картки, не підпадали під оподаткування.

Читайте також:

• Помилки волонтерів, через які вони можуть мати проблеми із законом
• Волонтери і податки. Кабінет Міністрів оновив перелік засобів і послуг, які вважаються благодійною допомогою

Тому що, по суті, це благодійна допомога, яка не має оподатковуватися. Хоча інші гроші, які заходять на приватні картки, часто є нелегальним підприємництвом. Тобто коли люди намагаються уникнути оподаткування шляхом просто прямих переказів оплати за якісь товари на їхню приватну картку. Для того, щоб волонтери не кваліфікувалися податковою службою як ті, хто незаконно отримує гроші, вони реєструються в Реєстрі волонтерів. Так податкова знає, що ця особа — волонтер і не проводить жодних фінансових махінацій.

Що тут важливо? По-перше, реєстр є державним. За своєю суттю він нічим не відрізняється від, наприклад, «Дії» або Реєстру платників податків. Це відразу індикатор того, що він досить безпечний. На противагу, якщо громадські організації або фонди створюють свої реєстри, тут питання стоїть трохи гостріше.

«Приватні ініціативи — це завжди ризиковано. Завжди потрібно перевіряти, хто саме створює такі реєстри».

Це такий базовий краштест, крок, який потрібно зробити, аби перевірити, що це за організація. Якщо це безпечні організації, це може свідчити про те, що принаймні суб'єкт, який створює реєстр, безпечний.

Але виникають супутні питання. Навіть якщо організація добросовісна, чи здатна вона належно організувати безпеку даних? Чи на безпечних серверах ці дані зберігають? Де саме розташовані сервери? Це місцева організація, яка розташовує сервери на місцевому рівні, чи, наприклад, на територіях, прилеглих до окупованих або до кордону з державою-агресоркою?

Так само, якщо організація звертається до іноземних технологій. Чи не є ці технології російськими або китайськими? Чи не використовують вони програмне забезпечення, розроблене в Росії, Китаї чи Білорусі? Таке, на жаль, теж трапляється, особливо якщо забезпечення 2017 чи 2018 року. Часто воно може бути розроблене російськими чи білоруськими компаніями, так званими компаніями в екзилі. Тобто тими, які виїхали до Європи чи в ОАЕ.

Так само потрібно подивитися, чи має компанія розроблені протоколи кібербезпеки, наскільки вона ознайомлена із законодавством про захист даних, особливо на період дії воєнного стану. Тому що реєстри волонтерів не мають зберігати у відкритому доступі.

— Які приховані та наявні загрози можуть бути для волонтерів під час війни, якщо, до прикладу, громадський реєстр волонтерів буде в публічному доступі?

— Держава має інформацію про індивідуальних волонтерів, є Реєстр громадських організацій і благодійних фондів, які займаються волонтерською чи благодійною діяльністю. Інше питання — чи можна таку інформацію не надавати на запит про доступ до публічної інформації.

З одного боку, логічно було б мати можливість отримати таку інформацію. Проте виникає питання, хто може зробити цей запит. На жаль, в Україні багато колаборантів, які займаються наведенням ракет або здають позиції українських військових, здають волонтерів, правозахисників, журналістів.

«Складно перевірити належно, чи конкретна особа не є колаборантом».

Наприклад, мені зараз не спадає на думку жоден ефективний механізм, який зміг би допомогти перевірити людину. Реєстр може запитувати дані українського паспорта, проте це нічого не дасть: особа все одно може вводити дані паспорта чи ідентифікаційного коду, а далі запитувати всю необхідну інформацію та зливати її ворогу. Це може бути, наприклад, запит про кількість волонтерів у Херсонській області чи кількість волонтерів на деокупованих територіях. Це досить ризиковано. У такому разі надання конкретної інформації про конкретну особу є небезпечним.

Інше питання — адвокатські запити. Там трохи інша специфіка, вони регулюються окремо. І в нас можуть бути запити на доступ до публічної інформації, коли у відповідь людина зможе отримати знеособлені дані. Наприклад, реальну статистику за кількістю волонтерів у певному регіоні без їхніх імен, прізвищ, адрес, віку, будь-яких інших даних, які допоможуть їх ідентифікувати напряму.

— Чи знаєте ви конкретні випадки недоброчесного збирання персональних даних під час війни?

— Нещодавно я робила велике дослідження для Асоціації українських моніторів дотримання прав людини в діяльності правоохоронних органів. Дослідження стосувалося збирання персональних даних гуманітарними організаціями. З'ясувалося, що в українських організаціях, які займаються наданням гуманітарної допомоги, є досить багато проблем через те, що не розроблені політики захисту даних і рівень цифрової безпеки низький. Лабораторія цифрової безпеки проводить тренінги для правозахисників, активістів, медіа, аби пояснити всі ці загрози.

Також помітно, що багато організацій, на жаль, не задумуються про розроблення протоколів кібербезпеки. Про, наприклад, двофакторну автентифікацію; про те, щоб у них був фізичний ключ доступу до конкретних папок із персональними даними на комп'ютері. Це свідчить про те, що дуже багато організацій не те щоби нехтують, але щонайменше не пріоритезують питання цифрової безпеки та кібербезпеки.

Як наслідок, якщо вони працюють із персональними даними клієнтів або отримувачів допомоги, то вони їх наражають на небезпеку, навіть несвідомо. Суто через те, що вони самі про це не замислюються.

З юридичної точки зору проблема виникає, коли організації не до кінця пояснюють отримувачам допомоги, яка мета збирання даних. Мені здається, що така ж проблема існує в розрізі отримання інформації про волонтерів, наприклад, коли їм хочуть надавати премії. Коли людям, чию інформацію збирають, не до кінця пояснюють мету, спосіб збирання даних і де їх можуть використати.

На жаль, у нашому суспільстві культура захисту даних ще не надто висока. Особливо в організаціях, які не напряму працюють із персональними даними, а дотично.

— Ви за місяць презентуєте результати дослідження. Чи можете коротко анонсувати головні тези, до яких ви прийшли?

— Ми розглядали роботу організацій, які надають гуманітарну допомогу в Україні, в розрізі цифрової безпеки. З початку повномасштабного вторгнення кількість гуманітарних організацій зросла ледве не на 300%. Відповідно, багато організацій є молодими. Складно перевірити, чи організацію справді створили з метою допомоги, чи це шахрайська ініціатива. У рекомендаціях ми зазначили, що краще звертатися по допомогу до перевірених організацій, зокрема якщо вони просять великий перелік даних, аби отримати допомогу.

Для населення на окупованих територіях надзвичайно важливо намагатися не отримувати гуманітарну допомогу від держави-агресорки. Також не варто брати участь у так званих переписах населення на окупованих територіях, які проводить держава-агресорка. Особливо важливо не розкривати дані про військовослужбовців, членів їхніх сімей, громадських активістів, журналістів, культурних діячів, правозахисників тощо. Тому що дуже часто такі переписи населення проводять саме з метою отримання цієї інформації. Так само варто дотримуватись базових правил кібербезпеки. Лабораторія цифрової безпеки розробила продукт, який називається «Як?». Це ресурс, який допомагає посилити цифровий захист ваших акаунтів, налаштувати приватність, фільтри від спаму та небезпечних ініціатив на різних ресурсах, починаючи від браузерів і закінчуючи соціальними мережами та месенджерами.

— Громадські організації та благодійні фонди переважно збирають персональні дані на вимогу донорських організацій. Чи завжди такий збір деталізованої інформації доцільний і чому він може наражати на небезпеку людей на прифронтових і тимчасово окупованих територіях?

— Тут важливо, аби українські організації мали змогу комунікувати з донором і говорити, що чим більше даних вони збирають, тим більше наражають людей на небезпеку. Часто це проблема саме донорських організацій, тому що вони так формують політики або звітні форми. Вони містять розбивку за статтю, соціальним статусом тощо. Потрібно комунікувати, що іноді важливо надати гуманітарну допомогу та сформувати звіт у загальній формі, чи в анонімізованій, чи у псевдонімізованій — для того, щоб ця інформація згодом не завдала шкоди людям.

— Чи є поступ у цьому питанні та розуміння міжнародних організацій і донорів, що ці дані можуть бути використані проти людей?

— На жаль, раз на раз не випадає. Деякі організації справді йдуть на поступки. Говорять, що можна вказувати приблизний вік людини, несправжнє ім’я та прізвище, не робити розбивку за статтю й не вказувати точну кількість дітей у родині. Проте, на жаль, це працює не завжди. Дуже часто організації, які допомагають у прифронтових регіонах, або в так званій сірій зоні, не хочуть співпрацювати з донорськими установами, які мають жорсткі звітні форми. Саме через те, що це може наражати людей на небезпеку.

Тетяна Авдєєва

— Як Росія використовує персональні дані українців, зокрема волонтерів, журналістів, активістів проти них?

— Це може бути індивідуальний шантаж конкретних волонтерів, можуть бути кампанії дезінформації. В одній близькосхідній державі була проблема з тим, що багато дезінформаційних кампаній поширювалося про організації, що надають гуманітарну допомогу. Як наслідок, їх сприймали вороже й навіть були випадки, коли представників таких організацій розстрілювали збройні сили. Відповідно, організації просто припинили працювати в районі на певний час через те, що турбувалися про безпеку свого персоналу.

Також можуть бути випадки, коли Росія переслідує осіб, чиї дані має, затримує їх. Можуть на міжнародному рівні проводити кампанії дезінформації, людину можуть додати до списку Інтерполу або в якихось державах особа може перебувати в розшуку. Також Росія може відкривати проти активних людей кримінальні провадження. Найчастіше вона шантажує тих, чиї дані має. Особливо якщо в особи є родич на окупованих територіях або в Збройних силах України.

— Як персональні дані можуть потрапити до рук ворога?

— Є три основних способи. Перший — це злам баз даних. Це відбувалося вже з початку повномасштабного вторгнення. Були атаки на бази даних. Не до кінця відомо, чи були реально витоки даних, чи вдалося швидко перешкодити цьому. Друге — це внутрішні зливання даних. На жаль, таке теж трапляється, бо в Україні є колаборанти. Якщо колаборант, наприклад, працює на державній службі, має посаду держслужбовця та доступ до даних, то їх можуть злити країні-агресору. Третій варіант — це дані з відкритих джерел. Волонтерська робота, правозахисна або журналістська — публічні. Люди можуть вести власний блог або публікувати у власних соціальних мережах інформацію, яка цікава для ворога. Я би радила волонтерам, журналістам, правозахисникам, активістам не поширювати про себе надмірну кількість інформації. Не поширювати чутливі дані осіб, із якими вони працюють. Щонайменше без їхньої згоди та без попередження про те, які ризики це несе. Якщо ви все ж щось публікуєте, маєте турбуватися про безпеку.

— Як потурбуватися про свою цифрову безпеку та захистити свої персональні дані?

— Двофакторна автентифікація — одна з перших дій, яку варто зробити. Також відстежувати фішингові листи, не натискати на будь-які файли чи посилання, які приходять на пошту. Коли донатите, слід відстежувати, з ким співпрацюєте та кому надсилаєте гроші, або як ця особа поводиться потім із цими коштами. Тобто донатити на безпечні ініціативи. Також максимально убезпечити свій профіль від сторонніх осіб.

— Як пересвідчитися, що лист, який прийшов на пошту про начебто вхід у ваш профіль гугл чи в месенджери з іншого девайсу, є справжнім?

— Якщо ви маєте двофакторну автентифікацію, завжди будете отримувати такі повідомлення. Це нормально. Але, справді, буває, приходять фішингові листи. Фішинг — це спроба отримати персональні дані, або виманити гроші, або будь-який інший вид інтернет-шахрайства.

— То як відрізнити фішинг від справжніх листів?

— Якщо вам приходить на пошту лист, де йдеться, що була спроба несанкціонованого входу у ваш акаунт, будь ласка, змініть пароль без вимоги надіслати персональні дані у відповідь, або перейти за посиланням, або відкрити будь-який файл — швидше за все, це служба підтримки. Тому що ви далі можете зайти через застосунок у систему та змінити пароль. Ніхто сторонній, жоден посередник не буде залучений у це. Тоді, ймовірно, це безпечний лист і правдива інформація.

Якщо ж вам пропонують відкрити файл, причому в якомусь дивному розширенні, або вас просять перейти за посиланням, або просять у відповідь на повідомлення надати свої персональні дані, зокрема дані банківських карток, або вас просять написати за певною адресою — все це може бути фішингом.

Тобто за дивними посиланнями не переходити, дивні застосунки не завантажувати й не відкривати дивні файли. Це базові правила, яких потрібно дотримуватися всім, щоб убезпечити себе від, щонайменше, фішингу і шахрайства або ж шкідливого програмного забезпечення, яке може встановитися на комп'ютер чи телефон, і потім просто відстежувати те, що людина робить. Особливо коли йдеться про активістів чи правозахисників, які працюють із вразливими групами.

— Як часто трапляються такі історії?

— Найчастіше вони трапляються хвилями. Тобто починаються розсилки так званих «листів щастя» на пошту. Я пам'ятаю, до повномасштабного вторгнення розсилалися листи начебто від Нацполіції. Тоді Лабораторія цифрової безпеки перевіряла це, дивилася, що це за листи, якого походження, співпрацювала з «Гуглом» для того, щоби з'ясувати, що це за поштові скриньки. Коли з'ясувалося, що це фішинг, ми направляли запити щодо блокування цих поштових скриньок як шахрайських.

Також варто бути уважними, коли вам у персональні повідомлення пише хтось із друзів із проханням зайняти 500 гривень на тиждень. Або коли вам пишуть у приватні повідомлення щодо якихось волонтерських ініціатив. У цілому з волонтерськими ініціативами та донатами, на жаль, сьогодні потрібно бути обережними, перевіряти джерело такої інформації, перевіряти, що це за збір. Наприклад, варто поцікавитися, чи цей конкретний волонтер уже проводив збори, чи є звіти про попередні кошти, чи є у волонтера зв'язок із конкретною бригадою тощо.

— Чи безпечно комунікувати телефоном, зокрема, якщо йдеться про волонтерів, які працюють із прифронтовими громадами і військовими? 

— Телефоном насправді досить небезпечно користуватись, якщо йдеться про дзвінки на окуповані території для евакуації людей. На окупованих територіях інфраструктура для зв'язку встановлена Росією, тобто окупаційною владою. Відповідно існує можливість технічно втручатися в сигнал і записувати телефонні розмови. Якщо йдеться про допомогу військовим чи взаємодію з військовими, бажано цього теж не робити. Бажано використовувати не телефон, а захищені телефонні дзвінки в месенджерах через шифрування, наприклад, Signal.

Зображення з обкладинки Towfiqu barbhuiya / Unsplash, фото Sasha Gulich, фейсбук-сторінка Тетяни Авдєєвої