Цифрова лихоманка: в чому ризики електронного паспорта

30 березня Верховна Рада України прийняла закон №4355, який прирівнює електронні паспорти до звичайних. Зараз документ направлений на підпис президенту. Відповідно до прийнятих норм, цифровий паспорт громадянина України та цифровий паспорт для виїзду за кордон у застосунку «Дія» матимуть таку ж юридичну силу, як їх пластикові або паперові аналоги. Крім того з 23 серпня 2021 року їх буде зобов'язана приймати кожна організація.

Як ця ідея буде втілена на практиці і чому вона ставить під загрозу безпеку даних громадян, розповів Mind співзасновник ГО «Український кіберальянс» Андрій Баранович.

Що не врахували законодавці, і чи можна вважати реформу остаточною – в матеріалі Mind «Тотальна цифровізація: які підводні камені «закону про електронні паспорти».

Міністерство цифрової трансформації з гордістю заявляє, що Україна – перша країна в світі, в якій з'явився електронний паспорт. Чи варто рватися на перше місце в тій галузі, де ніхто не знає, як забезпечити безпеку і приватність громадян?

Україна не може похвалитися ні рівнем доходів, ні технологіями, яких би не було у наших більш благополучних сусідів по Європі. Не можна також сказати, що інші країни не зацікавлені в автоматизації державного управління, особливо після початку пандемії COVID-19.

Не так давно електронними паспортами зацікавилася Німеччина, яка замість того, щоб створити застосунок для документів, домовилася з Самсунг про те, щоб в нові телефони був вбудований спеціальний чіп для зберігання документів. Ми всі користуємося електронними платежами в застосунках для онлайн-банкінгу, чому ж так само не вчинити з документами?

Чим унікальний паспорт?

Паспорти зроблені так, щоб служити унікальним ідентифікатором. Ні ксерокопія, ні фотографія паспорта в телефоні не мають юридичної сили. Щоб документ важко було скопіювати, паперові паспорти захищені водяними знаками. У більш сучасних ID-картах і біометричних паспортах вся інформація, збережена в пам'яті, підписана цифровим підписом, який неможливо просто скопіювати, не маючи секретного ключа.

Підробка документів карається навіть суворіше, ніж фальшивомонетництво, тому що не тільки приносить шкоду, а й руйнує довіру між людьми. Якщо ви втрачаєте документ, то ви зобов'язані повідомити про це міграційну службу, а якщо паспорт украли, то і поліцію. Програмні документи не унікальні, «Дію» можна відкрити на декількох пристроях, і ви цього навіть не помітите.

Ні поштовий акаунт, ні телефон, ні банківський рахунок не можуть похвалитися тими ж властивостями. Шахраї регулярно цуплять номери мобільних телефонів, віджимають облікові записи різних сервісів і крадуть гроші з рахунків. Але банк ризикує заздалегідь відомою сумою грошей, ризики давно пораховані і закладені у вартість послуг. У разі шахрайства збиток можна покрити страховкою, а якщо сума велика, то банк може попросити додаткове підтвердження телефоном або іншим способом.

Прихильники прискореної цифровізації наполягають на тому, що шахрайство відбувається і з паперовими документами, і вони, звичайно ж, праві. Однак, варто було б приділяти більше уваги тому, щоб боротися з шахрайством у всіх його проявах. З чорними реєстраторами, рейдерством, підробкою документів, витоками з державних баз даних і зловмисними маніпуляціями з реєстрами, замість того, щоб автоматизувати існуючий безлад.

Автоматизація сама по собі не вирішує жодну з існуючих проблем, а прискорює і спрощує вже існуючі процеси. Без сумніву, зараз можна купити бланк паспорта на чорному ринку, так, щоб він не значився, як викрадений, переклеїти там фотографію і використовувати підробку, але якщо те ж саме можна зробити віддалено, вкравши обліковку «Дії», то ризик попастися для лиходія зменшується, а ризики для чесних громадян зростають.

Ризики електронного паспорта

Незважаючи на те, що люди користуються комп'ютерами десятиліттями, ми ще не навчилися робити надійні пристрої, і тим більше надійний софт. У вашому телефоні встановлені десятки програм, які написані невідомо ким, і захопити контроль над телефоном і поцупити обліковий запис «Дії» не складніше, ніж пошту або доступ до соціальних мереж. І отримавши доступ до документів (ідентичних натуральним), зловмисник, по суті справи, отримує «генеральну довіреність» на ваше ім'я. Не кажучи вже про те, що якщо ви поселили у себе «державу в смартфоні», то вона починає збирати додаткові дані про вас.

У Мінцифри кажуть, що «Дія» ніяких даних не збирає, але, зрозуміло, це не так. Оскільки застосунок «Дія» – не більше ніж клієнт від онлайн-сервісу, то він бачить вашу IP-адресу, а також телефон і пошту, і все це з прив'язкою до паспорту. Оскільки «Дія» – такий же державний «сервіс» як і всі інші установи, то вона зобов'язана передавати будь-які дані правоохоронцям. Чи хочете ви в своєму смартфоні «великого брата»? Я – ні.

Особливо, після того, як в естонських ID-картах знайшли уразливості, частину паспортів довелося потім замінити або оновити.

Подібні спроби робилися і в інших країнах, і всі вони, включаючи благополучну Швейцарію, відмовилися від подібних планів через ризик підірвати довіру до виборчої системи, яка є фундаментом демократичної держави і забезпечує легітимність влади. Питання полягає не в тому, як визначити переможця, а в тому, як переконати сторону, яка програла, в тому, що вибори пройшли чесно. У наших умовах, коли будь-яке зіткнення з державою викликає у громадян жах і огиду, вибори в смартфоні – нездійсненна утопія.

Я не закликаю відмовлятися від сучасних технологій і користуватися пергаментами і гусячими перами. Але якщо ми не хочемо, щоб Україна стала першою в світі країною за рівнем шахрайства і «крадіжки особи», то починати варто з чогось простішого. Не завжди добре бути першим.