Прежде чем отдать эти функции в частные руки, необходимо внедрить важные реформы, иначе доверие к новой системе будет слабым, а пользователи рискуют своими данными, считает IT-эксперт.
Накануне стало известно, что госкорпорация "Правительство для граждан" планирует передать часть своих функций в частный сектор. Это позволит предпринимателям обслуживать клиентов через свои системы, передает inbusiness.kz. Однако возникает главный вопрос: насколько безопасно передавать эти функции бизнесу и не приведет ли это к утечкам персональных данных?
По мнению IT-эксперта Сергея Ахметова, президента Казахстанской ассоциации Big Data и аналитики, главный риск — это безопасность данных. Предприниматели будут выполнять роль операторов: принимать заявки и передавать их в госорганы. Им не должны давать доступ к личной информации граждан. Например, система может работать через API, где предприниматель видит только статус заявки ("Принято" или "Отклонено") без деталей.
"Использование стандартов вроде ISO/IEC 27001 и защищенных каналов связи снижает риск утечек. В Европе также применяются нормы GDPR, где компании обязаны уведомлять пострадавших в случае утечки данных в течение 72 часов и нести ответственность перед ними. Однако в Казахстане пока нет таких чётких требований, и практика показывает, что это создает слабые места в системе", — отметил эксперт.
Он перечислил несколько преимуществ в передаче функций бизнесу. Во-первых, это снижение нагрузки на госорганы. Частные компании смогут брать на себя часть задач и ускорять обслуживание. Во-вторых, более гибкий и современный сервис — бизнес быстрее внедряет новые технологии и ориентируется на удобство пользователей. В-третьих, экономия ресурсов, когда государство сокращает затраты на персонал и инфраструктуру.
Но вместе с этим есть и недостатки. Контроль становится сложнее. Больше участников означает больше точек для возможных нарушений. Увеличиваются риски утечек данных. Сложнее будет предотвратить утечки и злоупотребления.
Также возможны и коррупционные схемы. Частные компании могут предлагать "ускорение" за плату или искать другие способы обойти правила.
Кто будет проводить аудит? И каковы гарантии для пользователей?
По словам Сергея Ахметова, неясно, будут ли проверками заниматься независимые компании или всё останется под контролем госструктур. В успешных примерах в таких странах, как Эстония, аудит проводит независимая компания, и сами пользователи имеют доступ к своим данным, что повышает доверие к системе. В Казахстане таких гарантий пока нет, что вызывает опасения.
В Европе компании обязаны уведомлять пострадавших о любых утечках данных в течение 72 часов. При этом там штрафы за утечку данных могут достигать до 4% годового оборота компании.
В Казахстане пока нет прозрачных механизмов уведомления и нет обязательных норм по компенсации пользователям. Кроме того, нет чётких штрафных механизмов, или они не работают должным образом, что снижает мотивацию компаний следовать правилам безопасности.
Если же данные пользователей утекут, то вопрос компенсаций также остается открытым. Хотя в ряде стран создают страховые фонды или компенсационные программы для пострадавших.
На взгляд IT-эксперта, для Казахстана было бы логичным предусмотреть подобную практику, чтобы пользователи могли рассчитывать на защиту своих прав и получение компенсации в случае утечек.
"Специфика Казахстана такова, что даже при малейшей уязвимости находятся люди, которые умудряются этим воспользоваться. Примеров достаточно: в ЦОНах прописывают чужих людей в квартирах без согласия владельцев, и борьба с этим нарушением тянется годами. Это показывает, что даже с рабочими системами риск злоупотреблений остается высоким. Я думаю, мы ещё не готовы к такому шагу", — подчеркнул Сергей Ахметов.
По его словам, прежде чем передавать функции бизнесу, необходимо:
- cоздать независимую систему аудита с доступом к результатам для общества;
- ввести обязательные штрафы и строгие правила для компаний, нарушающих безопасность данных;
- разработать систему компенсаций для пользователей, чтобы они могли получать защиту в случае утечек.
Без этих мер доверие к новой системе будет слабым, а пользователи будут рисковать своими данными. Пока такие реформы не внедрены, передача функций бизнесу может обернуться новыми проблемами, а не улучшениями, уверен эксперт.
Между тем в адрес госкорпорации "Правительство для граждан" мы направили официальный запрос с целью узнать причины такого решения, а также гарантии безопасности и что подразумевается под "своей системой", которая будет внедрена предпринимателями.