Провал освітньої платформи «Human»: база персональних даних українських школярів та їх батьків продається в РФ, частина 1

У травні цього року українське суспільство сколихнув кіберскандал – персональні дані (ПД) українців потрапили у відкритий доступ одного з анонімних Telegram-каналів. Та якщо тоді було «злито» дані переважно водійських посвідчень, тепер ми зіткнулися з ще більшою загрозою – у відкритому доступі через необачність чи свідому безвідповідальність розробників IT-продукту «Human» компанії «EVOLUTION Group» (ТОВ «Еволюшн груп») опинилися данні дітей – учнів українських загальноосвітніх шкіл.

Реєстри персональних даних продаються у «даркнеті» вже багато років, тому захист персональних даних як невід’ємна частина сучасного життя ставить перед нами питання: чи може звичайний українець вберегтися від незаконного поширення даних про себе? А якщо йдеться про найцінніше – наших дітей? Так, коли маємо справу зі свідомими і відповідальними розробниками програмного забезпечення. Та це, нажаль, не про «EVOLUTION Group».

У ситуації, коли витоки відбуваються саме з державних реєстрів, захиститися від цього індивідуально вкрай важко. Функцію захисту наших персональних даних ми покладаємо на державу, яка має це робити відповідно до законодавства. У сфері освіти дозволено використання приватних електронних платформ, однак безвідповідальність українських чиновників, які, не здійснюючи їх належної перевірки, заключають контракти, що передбачають збір та обробку персональних даних з нечесними гравцями бізнесу. Це призводить до того, що інформація може потрапити у будь-які, часом зовсім не чисті, руки. Ба більше, українці часто вимушено надають персональну інформацію до державних баз даних, навіть не знаючи, кому держава надає доступ до неї.

Витік даних
Нещодавно у ряді анонімних Telegram-каналів з’явилося повідомлення про те, що продаються персональні дані учнів українських шкіл та їх батьків з системи керування учбовим процесом «Human school», розробленої IT-компанією «EVOLUTION Group».

Зокрема, аналогічні пропозиції з’явилися на спеціалізованих каналах з нелегальної торгівлі базами даних: @DropK777 @BusinesWorldTelegram @kup1_proday @temisng @temibusiness

Журналістів ІНФОРМАТОРа, які натрапили на дане повідомлення, воно неабияк зацікавило. Адже йдеться про дані дітей – учнів українських шкіл. Ми звернули увагу зокрема і на те, що у тексті було підкреслено – «пропозиція актуальна тільки для роботи в РФ».

Журналісти вийшли на зв’язок з продавцем «персональних даних батьків та дітей української освітньої платформи Human» під ніком Chaplin і з’ясували ряд цікавих, і навіть шокуючих деталей.

Журналісти вийшли на зв’язок з продавцем «персональних даних батьків та дітей української освітньої платформи Human» під ніком Chaplin і з’ясували ряд цікавих, і навіть шокуючих деталей.

Виявилося, що продавець дійсно володіє базою даних українських школярів та їх батьків вартістю дві тисячі доларів США «в одні руки».

Там є фотографії, ПІБ, дати народження, телефони та електронні адреси учнів українських шкіл та їх батьків з бази освітньої платформи «Human», розробленої IT-компанією «EVOLUTION Group».

І найголовніше – по Україні «базу вже відпрацьовано», тож вона наразі є актуальною у сусідній країні-агресорі - РФ. Нажаль, витоки персональних даних є не лише одним із інструментів російської гібридної агресії, а і джерелом інформації для криміналітету, зокрема осіб із сексуальними розладами.

Інформація про те, що персональні дані українських дітей продаються в Росії шокує і лякає одночасно. Уникаючи порушень українського законодавства, на цьому етапі журналісти припинили спілкування з продавцем бази «Human» компанії «EVOLUTION Group».

Тож що ж це за така система керування учбовим процесом Human, хто її розробляв і як сталося, що персональні дані десятків тисяч українських школярів та їх батьків тепер продаються в Росії?

Через карантинні заходи закладам освіти України дозволено організовувати освітній процес дистанційно з використанням інформаційних технологій за умови забезпечення вимог законодавства. Зокрема, йдеться і про ведення класного журналу школярів. Саме за програмне забезпечення для його ведення взялися у «EVOLUTION Group».

Дійсно, в сучасних умовах перехід на дистанційне навчання – вимушена необхідність. Але багато учнів та їх батьків вже оцінили зручність таких змін. Ба більше – Україна багата на таланти, і IT-компаній, здатних розробити необхідне, захищене і функціональне програмне забезпечення - більше, ніж достатньо.

Прогресивна ідея щодо дистанційного навчання з використанням інформаційних технологій може бути похованою ще до повного впровадження завдяки «фахівцям», які розробили «Human». Такі гравці IT-ринку як «EVOLUTION Group» ставлять хрест на довірі людей до програмного забезпечення освітніх закладів і проливають негативне світло на впровадження «розумної школи» в Україні.

Тож чому договір про надання ПП було підписано саме з «EVOLUTION Group», які нездатні забезпечити ані надійний захист персональних даних, ані розробити зручний та необхідний функціонал?

Прихована контора
Компанія-розробник програмного забезпечення «Human» - продуктова IT компанія «EVOLUTION Group». Її єдиними продуктами є система керування учбовим процесом «Human school» і система створення, розповсюдження та проходження уроків і тестів «Human lessons». Дивно, що у компанії останню систему називають продуктом, адже вона наразі критично недопрацьована і, звісно, не функціонує.

Дивним виглядає і те, що на сайті компанії немає інформації про її адресу. Єдині контакти – це електронні пошти та телефони.

На сайті Youcontrol, де зберігаються повні досьє на кожну компанію України, зазначено, що ТОВ "ЕВОЛЮШН ГРУП" знаходиться за адресою: м. Київ, Подільський район, вул. Оболонська, будинок 41, офіс 1.

Та виявилося, що це лише юридична адреса компанії, і насправді у будівлі, яка представляє собою багатоквартирний житловий будинок, немає ані офісу, ані навіть вивіски «EVOLUTION Group».

У той самий час на сайті «Human» є кілька світлин «робочого процесу» співробітників компанії, на яких видно просторий офіс щонайменше на два поверхи, який ну ніяким чином не може знаходитися у квартирному будинку по вулиці Оболонській, 41.

Ба більше, дизайн приміщення, дорогі меблі та фурнітура приводять до висновку, що «EVOLUTION Group» насправді знаходиться в одному з елітних бізнес-центрів столиці.

Насправді, це типова схема для ненадійних фірм – не вказувати адресу офісу, де фактично працюють співробітники компанії. Коли адреса є тільки у реєстрації, а насправді місцезнаходження офісу компанії відоме тільки співробітникам, і базується він у престижному центрі з вартістю оренди в десятки тисяч доларів щомісяця.

Тож чому у «EVOLUTION Group» ховаються від людей? Як можна довірити інформацію про найцінніше – наших дітей – фірмі, яка приховує дані про себе?

Програмне забезпечення Human
Згідно з Наказом Міністерства освіти та науки від 02.09.2020 № 1096 журнал в електронній формі є інформаційною телекомунікаційною системою, інформація в якій має бути захищена від несанкціонованого знищення або змінення (модифікації). А обсяг персональних даних при веденні журналу здійснюватися із забезпеченням захисту персональних даних відповідно до законодавства.

Втім, як виявилося, компанія «EVOLUTION Group» стала переможцем двох тендерів, проведених київською владою, однак не змогла захистити свою базу даних. Ба більше – у компанії цим не збиралися займатися з самого початку розробки «Human», докладно виклавши свою позицію на сайті. Виходячи з даних сайту, продавець програмного забезпечення не несе взагалі ніякої відповідальності за конфіденційність персональних даних.

І, як наслідок, функціонування «HUMAN» здійснюється з численними порушеннями норм законодавства.

Надалі детально розглянемо всі порушення, до яких свідомо чи ні вдалися у «EVOLUTION Group» і до чого це призвело.

Гриф МОН
Оскільки платформа Human є електронним засобом загального призначення, що включає автоматизовану систему управління та бази даних школи, то перед використанням у закладах освіти вона підлягала «грифуванню» згідно п.1.5.6. Порядку надання навчальній літературі, засобам навчання і навчальному обладнанню грифів та свідоцтв МОН (затвердженому наказом МОН від 17.06.2008 № 537 із змінами).

Наразі очікується рішення МОН та Мінцифри щодо регулювання діяльності приватних платформ, оскільки 24 листопада набув чинності новий порядок грифування, який вже не включає електронні засоби загального призначення.

Однак, на момент проведення тендерів, платформа Human не пройшла експертизу відповідної комісії МОН та не мала грифу МОН. Згідно Електронного реєстру надання грифів та свідоцтв МОН пропозиції щодо КП «Human» все ще знаходяться на розгляді відповідної комісії МОН (рукопис на опрацюванні з 01.07.20).

Тобто жодного офіційного тестування програмного забезпечення «Human» IT-компанії «EVOLUTION Group» проведено не було.

Захист конфіденційних даних
Згідно зі статтею 8 Закону «Про захист інформації в інформаційно-телекомунікаційних системах», інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації (КСЗІ) з підтвердженою відповідністю. Відповідно до ст. 11, 21. Закону «Про інформацію» конфіденційна інформація є інформацією з обмеженим доступом. До конфіденційної інформації про фізичну особу належать дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження.

Згідно затвердженого МОН зразку Класного журналу, під час його ведення обробляються ПІБ учня та батьків, телефон, адреса, дата народження, дані щодо групи здоров’я, інформація про освіту. Оскільки в «Human» обробляються дані, що є обов’язковими для ведення паперового Класного журналу, тобто конфіденційні дані про особу, які є інформацією з обмеженим доступом, робота в «Human» повинна здійснюватися із застосуванням КСЗІ.

Однак, технічні завдання (ТЗ) на проведення тендерів 2019 та 2020 років не містили зобов’язань до системи-переможця щодо наявності КСЗІ (ми ще повернемося до того, що тендер писався «під Human», - ред.). Формулювання лише «базових» вимог у ТЗ 2020 р. свідчить, що за рік роботи не було проведено експертизу «Human» та не отримано Атестат відповідності КСЗІ на цю програму. В Політиці конфіденційності «Human» зазначено, що постачальник хмарних послуг, на серверах якого зберігається Human, знаходиться на території України і має КСЗІ, однак відсутня назва постачальника.

На сайтах КП «ГІОЦ» чи Київміськдерждміністрації відсутня інформація щодо серверів, на яких зберігаються бази даних киян та КСЗІ цих серверів.
Згідно листа КП «ГІОЦ» на органи управління освіти м. Києва «єдине рішення розгорнуто та налаштовано на міському центрі обробки даних, який має належний Атестат відповідності КСЗІ від 20.12.2019 № 20972». Однак не зазначено, мова йде про Human, чи «інше рішення», яке забезпечить його безпеку. При цьому відсутня адреса дата-центру, дані щодо його потужності, копія Атестату відповідності (на фізичні сервери чи хмарне середовище?), дані щодо кількості серверів, які використовує Human, копія Договору між ТОВ "ЕВОЛЮШН ГРУП" та дата-центром, в якому викладені умови зберігання даних на сервері.

У зазначеному листі ГІОЦ також поінформовано, що обмін даними із закладами освіти забезпечується за захищеними каналами міської сервісної мережевої інфраструктури, що підтверджено Атестатом відповідності КСЗІ (від 14.11.2019 №20558). Цей Атестат відповідності виданий на ІТС міської сервісної мережевої структури СКП «Київтелесервіс», що забезпечує захист інформації лише у внутрішній корпоративній мережі комунальних організацій.

Однак, в інструкціях користувачів відсутнє зобов’язання, щоб адміністратори шкіл заходили на платформу обов’язково з авторизованих у школі робочих місць, які під’єднані до міської мережі. Вчителі та учні також працюють на платформі через власні комп’ютерні засоби (ноутбуки, планшети, мобільні телефони, - ред.), порядок захисту яких нічим не регулюється.

Згідно Розпорядження КМДА від 03.07.2018 № 1135 (Положення про забезпечення захисту інформації в інформаційно-телекомунікаційних системах …, - ред. ) в комунальних закладах м. Києва заборонено використовувати програмне забезпечення, що не входить до Переліку програмного забезпечення, яке допускається до використання. Незважаючи на закупівлю ліцензій програми Human ще у 2019 р., ця програма не була включена до Переліку програмного забезпечення, дозволеного для використання у комунальних підприємствах м. Києва. Перелік затверджено 29.08.2018 р. Департаментом інформаційно-комунікаційних технологій КМДА та опубліковано на сайті «Київтелесервіс». Протягом 2019-2020 рр. ані на сайті КМДА, ані на сайті Департаменту інформаційно-комунікаційних технологій КМДА, ані на сайті СКП «Київтелесервіс» не було внесено змін чи оновлено перелік.

Оскільки Human пропонує свої послуги не лише в м. Києві, а й в інших містах України, з порушенням законодавства також відбувається зберігання конфіденційної інформації користувачів та шкіл інших міст України.

Ураховуючи викладене можна зробити висновок про існування факту обробки інформації з обмеженим доступом в КП Human за відсутності атестата відповідності на КСЗІ, що є порушенням законодавства з питань захисту інформації.

Захист від вірусів
В КП Human не забезпечується захист від комп’ютерних вірусів, що згідно законодавства обов’язково має бути передбачено в системах.

Згідно п.16 Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах (постанова КМУ від 29.03.2006 р. № 373), в усіх системах має забезпечуватися захист інформації від несанкціонованих дій, у тому числі від комп’ютерних вірусів.

Однак, згідно п. 2 Розділу XIII. Умов та правил використання ТОВ "Еволюшн Груп" «не гарантує використання платформи без перебоїв, помилок чи наявності на платформі вірусів… ТОВ "Еволюшн Груп" не гарантує безпеку будь-якої інформації, що передається на чи з цієї платформи».

Тобто на одній платформі створюються електронні документи (що містять конфіденційну інформацію та мають бути належно захищені, - ред.) та соціальна мережа, у якій користувачі можуть розмістити будь-яку інформацію з вірусом, що може нанести шкоду документації.

Другу частину статтi читайте за посиланням.