В начале этого года стартовала сдача деклараций индивидуальными предпринимателями, учредителями и руководителями юрлиц, а также их супругами по форме 250. Однако часть экспертного сообщества и сами декларанты опасаются, что их данные могут попасть в руки злоумышленников.
Средь бела дня
Обязательство о декларировании имущества и доходов зафиксировано в Налоговом кодексе. С 2021 года периметр декларирования постепенно расширялся: сначала о доходах должны были отчитываться госслужащие, затем к ним присоединились сотрудники государственного и квазигосударственного секторов, а с этого года – индивидуальные предприниматели, руководители и учредители юрлиц, а также их супруги. Сегодня сдавать декларации обязаны не менее 2,3 млн человек. Со следующего года требование о декларировании распространится на всех граждан Казахстана.
Во входной декларации об активах и обязательствах (форма 250), которая была сдана в начале января, индивидуальная предпринимательница, пожелавшая остаться неназванной (её полные данные имеются в распоряжении редакции), указала имеющиеся у неё 10 млн тенге наличными. Через несколько недель её квартиру ограбили. Злоумышленники, по словам потерпевшей, искали именно деньги, потому что другие ценности они оставили нетронутыми.
Добычей преступников стала сумма значительно меньше указанной в декларации потерпевшей, так как основную её часть она хранила вне дома. Женщина уверена, что наводкой на её квартиру стала именно указанная в декларации сумма. «Ни до, ни после у нас краж не было. У нас даже если ходят домушники, они берут ценные вещи, могут сумки забрать, кошельки, верхнюю одежду, золото. В данном случае было видно, что люди искали именно тайник с деньгами», – считает предпринимательница.
Уголовное дело полицией города не начато. По её словам, следователи отказались открывать дело из-за небольшой суммы похищенного.
Чувствительность персональных данных
На сайте Комитета государственных доходов Минфина в открытом доступе опубликованы индивидуальные идентификационные номера отчитавшихся в первую и вторую волны всеобщего декларирования в 2021–2023 годах (госслужащие, работники государственных учреждений, квазигоскомпаний и их супруги). Идентификационные номера, а их несколько десятков тысяч, опубликованы без привязки к каким-либо другим персональным данным. Однако по ИИН с помощью государственных и сторонних ресурсов можно получить дополнительные сведения, такие как ФИО, наличие супруга/супруги, адрес проживания, наличие авто, задолженности по налогам, кредитам, штрафам, информацию по ИП, а также сведения о том, стоит ли обладатель данного ИИН в очереди на жилье и сколько телефонных номеров на него зарегистрировано.
Эксперт по кибербезопасности и IT Евгений Питолин говорит о возможности получить информацию о долгах по налогам, кредитам и штрафам через мобильные приложения банков, зная только ИИН и ФИО. «На базе этой информации можно уже сформировать несколько фишинговых сценариев разговора, где, манипулируя этими данными и угрожая, можно выманить какие-то деньги или новые данные.
Совсем плохо, если вместе с ИИН доступны другие данные или копии документов, – в этом случае мошенники могут взять на вас кредиты или совершить иные преступления, связанные с кражей личности», – поясняет он.
Питолин говорит и о возможности получить информацию о наличии зарегистрированных компаний, судебных решений, банкротств.
Несмотря на то что данные – чувствительные, их раскрытие не противоречит Конституции РК, говорит управляющий партнёр юридической фирмы Salyqtez Айдар Масатбаев. Статья 18 Основного закона Казахстана гласит о праве на тайну некоторой части личной жизни, «но сразу же во втором пункте статьи Конституции написано, что данное право неприкосновенности банковских счетов и личных переписок может быть ограничено законом. Конституция делает откуп нижестоящим нормативным актом о том, что в случае необходимости они могут данное право ограничивать».
База потекла
Персональные данные декларантов злоумышленники могут получить и в том случае, если база декларантов утечет в сеть. «Если мыслить теоретически, то системы любого ведомства могут быть уязвимы через следующие векторы атаки: уязвимости в текущем ПО (отсутствие своевременно установленных патчей безопасности), проблемы с интеграцией с другими поставщиками систем (атаки преступников на цепочки поставщиков), а также инсайд и человеческие ошибки (реакция на фишинг, поддельные ссылки в почте и мессенджерах). Также потенциально возможны DDoS-атаки на сайты и онлайн-сервисы», – рассуждает о слабых местах государственных систем Евгений Питолин.
В целом никакая IT-система не может давать 100% защиты от хакерских атак, считает эксперт.
Злоумышленники регулярно проверяют уязвимость баз, пытаются найти дыры – и часто делают это быстрее самих защитников информационных систем. Питолин отмечает, что утечки, атаки могут и будут происходить, так как Казахстан активно развивается в сфере цифровизации.
Масатбаев указывает на многочисленные случаи утечки персональных данных казахстанцев. По его мнению, государственные серверы не отличаются надёжной защитой от утечки информации. Однако если по физлицам периодически происходят утечки, то по юрлицам такого ещё не наблюдалось.
Мытарь вне подозрений
Ещё один гипотетический сценарий, при котором злоумышленники получают доступ к персональным данным декларантов, – передача информации недобросовестными сотрудниками налоговой службы.
Однако такой подход наименее вероятен, поскольку вытащить данные из базы, не оставив никаких следов, сотрудники Комитета госдоходов (КГД) не могут. Как сообщили корреспонденту «Курсива» в департаменте госдоходов Алматы, декларация того или иного физического или юридического лица доступна не всем налоговикам. Доступ к ней возможен только по служебной надобности – его имеют только определенные сотрудники по приказу руководства и для проведения камерального контроля, то есть проверки.
В случае, если декларант имеет подозрения касательно того, что его персональные данные попали к злоумышленникам, он может написать заявление через e-Otinish. На основании заявления будет проведено служебное расследование и установлена ответственность для сотрудника, который допустил утечку данных. Законом предусмотрена дисциплинарная ответственность. В первый раз выносится предупреждение, во второй раз – дисциплинарное взыскание, а после этого сотрудника направляют на дисциплинарный совет.
В системах КГД ведётся история входа в них сотрудников комитета. В этой истории можно отследить IP-адрес сотрудника, время и дату входа.
Все на полиграф
Информация о том, что те или иные данные казахстанцев оказываются в распоряжении злоумышленников, появляется регулярно.
Основатель группы компаний «Учет» и сопредседатель партии Respublica Максим Барышев предлагает использовать положения законов «О персональных данных и их защите» и «О банках и банковской деятельности в Республике Казахстан» в нормах о всеобщем декларировании.
По словам Барышева, государство должно обеспечить декларантов должным уровнем защиты таких чувствительных персональных данных, как личное имущество. Барышев также считает, что за утечку этих данных должна быть предусмотрена уголовная ответственность. Человек, чья вина доказана, не может отделаться лишь предупреждением, штрафом или увольнением.
Партиец обращает внимание на необходимость иметь систему строгого допуска людей к таким базам данных. «Это должны быть спецпроверка КНБ обязательно, проверка на местах и, возможно, даже проверка на детекторе лжи», – поясняет он.