вівторок, 8 жовтня 2024 | ПРО ПРОЄКТ | КОНТАКТИ

Призрак «Пети»: Почему разработчики приложения «Дия» должны убедить нас в его кибербезопасности После масштабной хакерской атаки 2017 года страшно даже представить, что будет, если к функционалу с документами украинцев или возможностью голосовать получат доступ злоумышленники

На протяжении четырех дней после презентации мобильного приложения «Дия» его скачали более миллиона пользователей – таким количеством похвастались в министерстве цифровой трансформации.

В приложении уже можно загрузить цифровые водительские права и техпаспорт, до конца года власть обещает оцифровать еще 50 самых популярных услуг. В тестовом режиме создали кабинет застройщика, в котором алгоритм будет решать: давать лицензию на строительство, или нет. Совсем скоро украинцы также получат доступ к внутренним и зарубежным цифровым паспортам. Также в планах властей возможность голосовать на выборах непосредственно при помощи смартфона.

Кажется, это действительно цифровая революция – обещанное «государство в смартфоне». Впрочем, после масштабной хакерской атаки 2017-го года страшно даже представить, что будет, если к функционалу с документами украинцев или возможностью голосовать получат доступ злоумышленники.

Приложение разработали за средства международных организаций-доноров, также в его создании на волонтерских началах приняли участие некоторые украинские ИТ-компании. На сайте сервиса отмечается, что хранить свои данные на нем вполне безопасно, ибо «Дия» – хорошо защищенная платформа.

«Она находится в надежном дата-центре и отвечает мировым стандартам защиты от киберугроз. Кроме того, «Дия» сохраняет минимум информации о своих пользователях. Все данные мы передаем и храним исключительно в шифрованном виде, а для части критических данных используем блокчейн-технологию распределенного хранения данных. Ничего лучшего в мире пока не придумали», – говорят учредители.

Общей фразой и ограничился соучредитель приложения Владимир Брусиловский: «Мы достаточно основательно изучали вопрос, чтобы не было утечки каких-либо персональных данных, уменьшили все возможные риски».

Впрочем, специалист по информационной безопасности с 20-летним опытом, организатор ежегодной конференции по кибербезопасности UISGCON Константин Корсун считает, что для того, чтобы называть какое-то приложение безопасным, необходимо это сначала доказать.

«Разработчики заявляют, что приложение безопасно, но это голословное утверждение, которое требует определенных доказательств. Надо назвать, какие меры безопасности были предприняты, как это проверялось, кем, какие компании или люди, назвать фамилии. Также слышал некоторые отзывы профессионального сообщества, что существуют подозрения – с кодом приложения и самой архитектурой есть проблемы», – рассказывает Корсун.

Когда разрабатываются приложения, поясняет эксперт, то перед релизом они предоставляются независимой специализированной компании для тестирования на предмет безопасности. Затем устраняются недостатки, осуществляется повторное тестирование, снова устраняются недостатки, и после этого уже должен состояться полноценный релиз. Или же не состояться, если выявлены большие проблемы по безопасности.

«Мне кажется, что этим разработчики «Дия» не заморачивались, поэтому я считаю, что признавать безопасным это приложение пока нельзя. Главная проблема – абсолютное большинство разработчиков сначала пишут приложение, а потом «натягивают» на него безопасность. А должно быть наоборот, чтобы безопасность учитывалась уже во время проектирования, архитектуры и разработки самого приложения, на каждом этапе», – говорит Корсун.

Вместо этого, он отмечает, что если «натянуть» безопасность на уже готовое приложение, то корректно это работать не будет и разработчики будут вынуждены постоянно латать дыры в системе.

«Я не уверен, насколько скоро, но проблемы с безопасностью безусловно вылезут. Возможно, это произойдет позже, потому что с программным обеспечением «M.E.Doc» все было хорошо несколько лет, пока не взорвалось так, что треть экономики Украины не работала несколько месяцев (атака вируса Not.Petya в 2017 году, – ред.). У них там не было никакой безопасности и понимания, все думали, что все нормально работает и ничего не происходит. А потом бабах – и все случилось. Так же может быть и в данном случае», – отметил эксперт.

В сети Интернет активно обсуждают безопасность приложения, мнения людей разделились. Пользователь Игорь Бигдан написал: «Вообще говорить о защищенности и качестве кода можно будет только после публикации этого кода на гитхабе. А до того это игра в верю/не верю».

«Вспоминаю страницы истории, как люди были против автомобилей, самолетов и машин! Что только они не писали и не говорили тогда! Запрещали всеми силами и методами! Особенно мужики в рясах старались… Но, время их перетерло в порошок. Так будет и сейчас», – пишет в свою очередь Николай Омельченко.

Министр цифровой трансформации Украины Михаил Федоров в своей колонке утверждает, что защита персональных данных в мобильном приложении «Дия» выполнена по лучшими практиками безопасности для решений такого типа, использован подход «глубокой защиты» (defense-in-depth).

«Кроме того, вместе с IT-специалистами EPAM мы серьезно подошли к тестированию нашего приложения. В частности, провели так называемые пен-тесты, то есть тестирование программы безопасности. По сути, мы попробовали, в том числе – с привлечением внешних ИТ-специалистов, «хакнуть» «Дию», чтобы выявить все уязвимые места. Это позволяет мне сказать, что «Дия» на сегодняшний день является достаточно защищенным приложением», – отметил он.

В общем, пользоваться приложением «Дия» или нет – каждый решает сам, ведь если в систему проникнут злоумышленники, последствия могут быть масштабные. Вместе с тем, цели у разработчиков амбициозные, так что если приложение окажется достаточно защищенным – это станет настоящим цифровым прорывом.

Ирина Жукевич / Depo.ua
Поділіться цим