Додаток «Дія»: вежа скарбів чи скринька Пандори
Про революційний стрибок у діджиталізації та розчарування і небезпеку для користувачів
Після запуску застосунку «Дія» 6 лютого минуло трохи більше двох тижнів. Детальніше про його основні можливості Mind писав у матеріалі «Дія» в дії: як запущено «державу в смартфоні».
Водночас експерти наголошують на ризиках, на які варто зважати користувачам нового застосунку, особливо враховуючи загальнонаціональний характер проєкту.
Фахівець з кібербезпеки Костянтин Корсун пояснив Mind, наскільки «Дія» готова до запуску і в чому криється небезпека цього додатку для українців.
Чому готовність застосунку та його коректна робота під сумнівом
Вже з перших днів або навіть годин стало зрозуміло, що шлях до коректного функціонування застосунку довгий і тернистий. Навіщо було випускати сирий і недостатньо протестований продукт?
Відповідь,напевне, знаходиться вже в політичній площині. Так, у професійному середовищі IT-розробок спеціалісти розуміють, що кожен проєкт має свій «життєвий цикл», змінювати або прискорювати який не варто.
Натомість процесом розробки «Дії» і Мінцифрою керують не спеціалісти у сфері інформаційних технологій (IT), але вони вміють спілкуватись з IT- та аутсорсинговими компаніями.
Керівники міністерства хотіли вкластись у певні терміни, і поспішали із запуском релізу щодо застосунку. Можливо, так відбулось через політичні заяви та бажання приурочити їх виконання до певної дати, наприклад, до «100 днів» роботи нової влади тощо. Замовник-держава тисне на виконавця – «ЕРАМ Україна», щоб отримати гучний результат. І все це в умовах авралу.
Безкоштовно – це добре чи погано?
З одного боку, треба було швидше задовольнити замовника. А з іншого – зрозуміло, що скільки б часу не витратили на «причісування» та шліфування застосунку, після запуску все одно виникнуть помилки в роботі. Так, продукт вийшов дійсно доволі сирий.
Зокрема, невідомо, чи було приділено достатньо уваги шифруванню передачі даних. У цивілізованому світі розуміють, що за таку масштабну роботу, яка ще й має загальнонаціональне значення, зазвичай платять гроші.
Виконавець має відповідати перед замовником за якість продукту та за його захищеність.
Але, як вважають у міністерстві, а зокрема його керівник Михайло Федоров, «роль кібербезпеки трохи перебільшена». Тому буде цілком достатньо як винагороду отримати грант від певного міжнародного фонду. Це непрофесійний підхід. Адже якщо продукт розроблявся безкоштовно, на волонтерських засадах, чи можемо ми вимагати його якості, післягарантійного обслуговування чи усунення недоліків у процесі роботи?
З додатком «Дія» це наразі і відбувається. ЕРАМ у стислі терміни щось зробив і одразу передав Мінцифрі на це «щось» усі права. А Мінцифра створює вже власну IT-команду, яка і розбиратиметься зі всіма недоробками і недоліками.
До речі, нещодавно в Чехії був показовий випадок. Уряд країни запланував на розробку одного веб-порталу 16 млн євро. Керівник якоїсь IT-компанії збурився: його команда теж може це зробити, але безкоштовно. Тож ці волонтери розробили портал за вихідні. Була гучна презентація. Міністра, який планував заплатити таку суму за розробку, звільнили з посади. Та вже за кілька днів цей портал зламали гакери.
Можливо, 16 млн євро – забагато, але волонтерство для високоризикових проектів – це абсолютно неприйнятний шлях.
Чи достатньо захищена авторизація через мобільний зв’язок та банківські застосунки «Приват24» чи «Монобанк»?
Є поняття mobileID, а є bankID. MobilID не є безпечним, адже уся ідентифікаційна інформація міститься на SIM-карті. Безпека ж останньої наразі на дуже низькому рівні.
Принципово інша ситуація із bankID. Вся інформація міститься на сервері банку і користувач визначеним каналом подає запит, авторизується та ідентифікується.
До відома: якщо на смартфоні користувача не встановлений жоден з банківських застосунків, через які передбачено авторизацію «Дії», то новий застосунок буде недоступним до встановлення і використання.
Наразі уряд працює над питанням доступності мобільного інтернету, але більшою проблемою є те, що це відкритий нешифрований канал. Зараз прості мобільні станції можна купити за досить невеликі гроші та перехоплювати ними дзвінки, СМС тощо.
В ідеалі повинно бути шифрування хоча б тієї частини застосунку, яка встановлена власне на смартфоні користувача. Це забезпечило б хоча й слабенький, але все ж таки захист каналу.
Як застосунок захищає персональні дані
Коли розробників запитують про безпеку застосунку, вони або кажуть, що все нормально і все захищено, або ж уникають відповіді.
З огляду на власний 20-річний досвід у сфері кібербезпеки, я не планую використовувати застосунок «Дія», адже ніхто не гарантує безпеку моїх персональних даних і невідомо, хто і за що відповідатиме в разі їх витоку.
Але ж інші громадяни не всі знаються на цьому питанні. Відтак, з боку Мінцифри просто некоректно активно рекламувати застосунок та його захищеність і не надавати при цьому жодного доказу.
Світова ж практика така: солідна, бажано міжнародна кібербезпекова компанія проводить незалежну перевірку і робить висновки. Хоча заради справедливості варто наголосити, що ідеально захищених застосунків взагалі не існує.
Про інші ризики додатку «Дія»
Незабаром можуть з’явитись фейкові застосунки-близнюки, абсолютно схожі за функціоналом, але з прихованими функціями. Так, шахраї мають можливість отримати повний доступ до телефону користувача – його електронної пошти, фінансової інформації, зокрема, банківських карток або фотографій, які теж можна використовувати, наприклад, для шантажу.
Для цього достатньо примусити користувача завантажити і встановити цей фейк на смартфон. Джерелом розповсюдження може бути посилання на фейковий сайт «Дії», спам-повідомлення на електронну пошту, у Viber, Telegram, QR-код тощо.
Якщо людина вже вирішила почати користуватись застосунком, то єдиний шлях – використовувати офіційні ресурси: сайти застосунку «Дія (diia.gov.ua), Мінцифри чи Кабміну (kmu.gov.ua).
Як наразі працює застосунок
Уже багато користувачів почали стикатись із тим, що застосунок не підтягує потрібний документ чи здійснює це некоректно.Так відбувається, зокрема, через технологічні проблеми несумісності реєстрів. Мінцифра багато пояснює, чому це так: реєстри старі, там страшений безлад тощо. Крім того, в них споконвік хазяйнують чиновники всіх держслужб і безперервно щось там змінюють, дописують, вилучають.
Також навколо реєстрів завжди крутились різного масштабу шахраї, рейдери, бандити. Ось де справжня проблема, адже у нас таких реєстрів понад 300 і там потрібно навести лад.
Основною проблемою застосунку «Дія» є те, що він взагалі існує, адже може звертатись до всіх цих реєстрів і витягувати запитувану інформацію, працюючи практично на незахищеному каналі. Так, з нього зробили «Реєстр реєстрів» – збирача всіх даних і документів.
Коли інформація зосереджена в одному місці, це є надспокусою. Всі будуть знати, що це «вежа скарбів» – її атакуватимуть з усіх боків і врешті-решт зламають.
Цінна інформація не повинна зберігатись в одному місці, навіть якщо вона добре захищена, бо зламати можна все. Це лише питання часу і ресурсів.
Наразі достеменно невідомо, наскільки значними будуть наслідки запровадження застосунку «Дія».
Стосовно персональної безпеки, то кожен відповідає сам за себе, адже українська держава в цифровому світі практично ніяк нас, українців, не захищає.
Отже, вибір – користуватись тим чи іншим застосунком, за користувачем.
Автори матеріалів OpenMind, як правило, зовнішні експерти та дописувачі, що готують матеріал на замовлення редакції. Але їхня точка зору може не збігатися з точкою зору редакції Mind.
Водночас редакція несе відповідальність за достовірність та відповідність викладеної думки реальності, зокрема, здійснює факт-чекінг наведених тверджень та первинну перевірку автора.
Mind також ретельно вибирає теми та колонки, що можуть бути опубліковані в розділі OpenMind, та опрацьовує їх згідно зі стандартами редакції.
