30 марта Верховная Рада Украины приняла закон №4355, который приравнивает электронные паспорта к обычным. Сейчас документ направлен на подпись президенту. Согласно принятым нормам, цифровой паспорт гражданина Украины и цифровой паспорт для выезда за границу в приложении «Дія» будут иметь такую же юридическую силу, как их пластиковые или бумажные аналоги. Кроме того, с 23 августа 2021 их будет обязана принимать каждая организация.
Как эта идея будет воплощена на практике и почему она ставит под угрозу безопасность данных граждан, рассказал Mind соучредитель ГО «Украинский киберальянс» Андрей Баранович.
Что не учли законодатели, и можно ли считать реформу окончательной – в материале Mind «Тотальная цифровизация: каковы подводные камни «закона об электронных паспортах».
Министерство цифровой трансформации с гордостью заявляет, что Украина – первая страна в мире, в которой появился электронный паспорт. Стоит ли рваться на первое место в той области, где никто не знает, как обеспечить безопасность и приватность граждан?
Украина не может похвастаться ни уровнем доходов, ни технологиями, которых бы не было у наших более благополучных соседей по Европе. Нельзя также сказать, что другие страны не заинтересованы в автоматизации государственного управления, особенно после начала пандемии COVID-19.
Не так давно электронными паспортами заинтересовалась Германия, которая вместо того, чтобы создать приложение для документов, договорилась с Самсунг о том, чтобы в новые телефоны был встроен специальный чип для хранения документов. Мы все пользуемся электронными платежами в приложениях для онлайн-банкинга, почему же точно так же не поступить с документами?
Паспорта сделаны так, чтобы служить уникальным идентификатором. Ни ксерокопия, ни фотография паспорта в телефоне не имеют юридической силы. Чтобы документ трудно было скопировать, бумажные паспорта защищены водяными знаками. В более современных ID-картах и биометрических паспортах вся информация, сохраненная в памяти, подписана цифровой подписью, которую невозможно просто скопировать, не имея секретного ключа.
Подделка документов наказывается даже строже, чем фальшивомонетничество, потому что не только приносит ущерб, но и разрушает доверие между людьми. Если вы теряете документ, то вы обязаны уведомить об этом миграционную службу, а если паспорт украли, то и полицию. Программные документы не уникальны, «Дию» можно открыть на нескольких устройствах и вы этого даже не заметите.
Ни почтовый аккаунт, ни телефон, ни банковский счет не могут похвастаться теми же свойствами. Мошенники регулярно уводят номера мобильных телефонов, отжимают учетные записи различных сервисов и крадут деньги со счетов. Но банк рискует заранее известной суммой денег, риски давно посчитаны и заложены в стоимость услуг. В случае мошенничества ущерб можно покрыть страховкой, а если сумма велика, то банк может попросить дополнительное подтверждение по телефону или другим способом.
Если у мошенника появится копия документов, то открываются дополнительные возможности – заключение сделок, в том числе с недвижимостью, открытие новых предприятий и счетов, возможность выдать себя для другого человека. И риски не всегда легко пересчитать в деньги.
Сторонники ускоренной цифровизации настаивают на том, что мошенничество происходит и с бумажными документами, и они, конечно же, правы. Однако, стоило бы уделять больше внимания тому, чтобы бороться с мошенничеством во всех его проявлениях. С черными регистраторами, рейдерством, подделкой документов, утечками из государственных баз данных и злонамеренными манипуляциями с реестрами, вместо того, чтобы автоматизировать существующий беспорядок.
Автоматизация сама по себе не решает ни одну из существующих проблем, а ускоряет и упрощает уже существующие процессы. Без сомнения, сейчас можно купить бланк паспорта на черном рынке, так чтобы он не числился как украденный, переклеить там фотографию и использовать подделку, но если тоже самое можно сделать удаленно, украв учетку «Дии», то риск попасться для злодея уменьшается, а риски для честных граждан растут.
Несмотря на то, что люди пользуются компьютерами десятилетиями, мы еще не научились делать надежные устройства, и уж тем более надежный софт. В вашем телефоне установлены десятки программ, которые написаны неизвестно кем, и захватить контроль над телефоном и увести учетную запись «Дии» не сложнее, чем почту или доступ к социальным сетям. И заполучив доступ к документам (идентичным натуральным), злоумышленник, по сути дела, получает «генеральную доверенность» на ваше имя. Не говоря уже о том, что если вы поселили у себя «государство в смартфоне», то оно начинает собирать дополнительные данные о вас.
В Минцифры говорят, что «Дия» никаких данных не собирает, но, разумеется, это не так. Так как приложение «Дия» – не более чем клиент от онлайн-сервиса, то оно видит ваш IP-адрес, а также телефон и почту, и все это с привязкой к паспорту. Так как «Дия» – такой же государственный «сервис» как и все остальные учреждения, то она обязана передавать любые данные правоохранителям. Хотите ли вы в своем смартфоне «большого брата»? Я – нет.
Одно из предвыборных обещаний Зеленского – «онлайн-выборы», и тут все совсем плохо. В данный момент единственная страна, где выборы проходят онлайн – Эстония, и даже в маленькой Эстонии с высоким уровнем доверия к государству не все довольны существующей системой.
Особенно, после того, как в эстонских ID-картах находились уязвимости, часть паспортов пришлось затем заменить или обновить.
Подобные попытки предпринимались и в других странах, и все они, включая благополучную Швейцарию, отказались от подобных планов из-за риска подорвать доверие к избирательной системе, которая является фундаментом демократического государства и обеспечивает легитимность власти. Вопрос заключается не в том, как определить победителя, а в том, как убедить проигравшую сторону в том, что выборы прошли честно. В наших условиях, когда любое столкновение с государством вызывает у граждан ужас и омерзение, выборы в смартфоне – несбыточная утопия.
Я не призываю к тому, чтобы отказываться от современных технологий и пользоваться пергаментами и гусиными перьями. Но если мы не хотим, чтобы Украина стала первой в мире страной по уровню мошенничества и «кражи личности», то начинать стоит с чего-нибудь попроще. Не всегда хорошо быть первым.