Приложение «Дія»: башня сокровищ или ящик Пандоры

После запуска приложения «Дія» (6 февраля) прошло чуть больше двух недель. Подробнее о его основных возможностях Mind писал в материале «Дія» в действии: как запустили «государство в смартфоне».

Однако эксперты отмечают риски, на которые стоит обращать внимание пользователям нового приложения, особенно учитывая общенациональный характер проекта.

Специалист по кибербезопасности Константин Корсун объяснил Mind, насколько «Дія» готова к запуску и в чем кроется опасность этого приложения для украинцев.

Почему готовность приложения и его корректная работа под вопросом

Уже с первых дней или даже часов стало понятно, что путь к корректной работе приложения долог и тернист. Зачем было выпускать сырой и недостаточно протестированный продукт?

Ответ, наверное, находится уже в политической плоскости. Профессионалы в сфере IT-разработок понимают, что каждый проект имеет свой «жизненный цикл», изменять или ускорять который не стоит.

Зато процессом разработки приложения «Дїя» и Минцифрой руководят не специалисты в сфере информационных технологий (IT), но они умеют общаться с IT- и аутсорсинговыми компаниями.

Руководители министерства хотели уложиться в определенные сроки и спешили с запуском релиза о приложении. Возможно, так произошло из-за политических заявлений и желания приурочить их выполнение к определенной дате, например, к «100 дням» работы новой власти и др. Заказчик –государство давит на исполнителя – «ЕРАМ Украина», чтобы получить громкий результат. И все это в условиях аврала.

Бесплатно – это хорошо или плохо?

С одной стороны, надо было быстрее удовлетворить заказчика. А с другой – понятно, что, сколько бы времени ни потратили на «причесывание» и шлифовку приложения, после запуска все равно возникнут ошибки в работе. Таким образом продукт получился действительно довольно сырой.

В частности, неизвестно, было ли уделено достаточно внимания шифрованию передачи данных. В цивилизованном мире понимают, что за такую масштабную работу, которая имеет еще и общенациональное значение, обычно платят деньги.

Исполнитель должен отвечать перед заказчиком за качество продукта и за его защищенность.

Но, как считают в министерстве,  в частности его руководитель Михаил Федоров, «роль кибербезопасности несколько преувеличена». Поэтому вполне достаточно будет в качестве вознаграждения получить грант от определенного международного фонда. Но это непрофессиональный подход. Ведь если продукт разрабатывался бесплатно, на волонтерских началах, можем ли мы требовать качества, послегарантийного обслуживания или устранения недостатков в процессе работы?

Это пока и происходит с приложением «Дія». ЕРАМ в сжатые сроки что-то сделал и сразу передал Минцифре на это «что-то» все права. А Минцифра создает уже собственную IT-команду, которая и будет разбираться со всеми недоработками и недостатками.

Кстати, недавно в Чехии был показательный случай. Правительство страны запланировало на разработку одного веб-портала 16 млн евро. Руководитель какой-то IT-компании возмутился: его команда тоже может это сделать, но бесплатно. Поэтому они разработали портал за выходные. Была громкая презентация. Министра, который планировал заплатить такую сумму за разработку, уволили. Но уже через несколько дней этот портал взломали хакеры.

Возможно, 16 млн евро – много, но волонтерство для высокорисковых проектов – это абсолютно неприемлемый путь.

Достаточно ли защищена авторизация через мобильную связь и банковские приложения «Приват24» или «Монобанк»?

Есть понятие mobileID, а есть bankID. MobilID не является безопасным, ведь вся идентификационная информация на SIM-карте. Безопасность же последней пока находится на очень низком уровне.

Принципиально иная ситуация с bankID. Вся информация содержится на сервере банка и пользователь по определенному каналу подает запрос, авторизуется и идентифицируется.

Сейчас правительство работает над вопросом доступности мобильного интернета, но большой проблемой является то, что это открытый нешифрованный канал. Сейчас простые мобильные станции можно купить за достаточно небольшие деньги и с их помощью перехватывать звонки, СМС и т. д.

В идеале должно быть шифрование хотя бы той части приложения, которая установлена собственно на смартфоне пользователя. Это обеспечило бы хотя бы и слабую, но все же защиту канала.

Как приложение защищает персональные данные

Когда разработчиков спрашивают о безопасности приложения, они либо говорят, что все нормально и все защищены, либо уходят от ответа.

Учитывая собственный 20-летний опыт в сфере кибербезопасности, я не планирую использовать приложение «Дія», ведь никто не гарантирует безопасность моих персональных данных и неизвестно, кто и за что будет отвечать в случае их утечки.

Но не все граждане знают об этой проблеме. Поэтому со стороны Минцифры просто некорректно активно рекламировать приложение и его защищенность, не предоставляя при этом никаких доказательств.

Мировая же практика такова: солидная, желательно международная компания, обеспечивающая кибербезопасность, проводит независимую проверку и делает выводы. Хотя справедливости ради стоит отметить, что идеально защищенных приложений вообще не существует.

О других рисках приложении «Дія»

Вскоре могут появиться фейковые приложения-близнецы, абсолютно схожие по функционалу, но со скрытыми функциями. Так мошенники могут получить полный доступ к телефону пользователя – его электронной почте, финансовой информации, в частности, банковским карточкам или фотографиям, которые тоже можно использовать, например, для шантажа.

Для этого достаточно заставить пользователя загрузить и установить этот фейк на смартфон. Источником распространения может быть ссылка на фейковый сайт «Дія», спам-сообщение на электронную почту, в Viber, Telegram, QR-код и т. д.

Если человек уже решил начать пользоваться приложением, то единственный путь – использовать официальные ресурсы: сайты приложения «Дія» (diia.gov.ua), Минцифры или Кабмина (kmu.gov.ua).

Как сейчас работает приложение

Уже многие пользователи начали сталкиваться с тем, что приложение не подтягивает нужный документ или осуществляет это некоректно.

Так происходит, в частности, из-за технологических проблем несовместимости реестров. Минцифра много объясняет, почему это так: реестры старые, там страшный беспорядок и т. д. Кроме того, в них испокон веков хозяйничают чиновники всех госслужб и непрерывно что-то там меняют, дописывают, изымают.

Также вокруг реестров всегда крутились разного масштаба мошенники, рейдеры, бандиты. Вот где настоящая проблема, ведь у нас таких реестров более 300 и там нужно навести порядок.

Основной проблемой приложения «Дія» является то, что оно вообще существует, ведь может обращаться ко всем этим реестрам и извлекать запрашиваемую информацию, работая практически на незащищенном канале. Таким образом из него сделали «Реестр реестров» – сборщика всех данных и документов.

Когда информация сосредоточена в одном месте, это огромное искушение. Все будут знать, что это «башня сокровищ» – ее будут атаковать со всех сторон и в конце концов взломают.

Пока точно не известно, насколько значительными будут последствия введения приложения «Дія».

Что касается личной безопасности, то каждый отвечает сам за себя, ведь украинское государство в цифровом мире практически никак нас, украинцев, не защищает.

А значит, выбор – пользоваться тем или иным приложением – за пользователем.