С момента презентации сервиса «Дія» прошло уже два месяца, его функционал понемногу увеличивается: кроме прав и техпаспорта с 3 апреля уже доступны онлайн 27 публичных услуг, среди которых – первые упрощенные услуги для физических лиц-предпринимателей.
«Раньше, чтобы открыть ФЛП, необходимо было заполнить сложную форму из 58 строк – теперь их только 12. Так же стало возможным значительно проще и быстрее изменить виды предпринимательской деятельности или вообще прекратить ее. Верю, что такое упрощение в предоставлении государственных услуг будет способствовать предпринимательству, борьбе с коррупцией и самое главное – росту экономики нашего государства», – заявил вице-премьер-министр Украины – министр цифровой трансформации Михаил Федоров.
Впрочем, чем больше личных данных обрабатывает «Дія», тем больше интересует безопасность использования этого сервиса. Отмечается, что серверы портала «Дія» находятся в Украине, а для дополнительной защиты разработчики используют инфраструктуру компании Amazon, которая частично расположена в Германии. В то же время, для оптимизации трафика, сервис «Дія» использует сертификат американской компании Cloudflare.
Специалист по информационной безопасности с 20-летним опытом, организатор ежегодной конференции по кибербезопасности UISGCON Константин Корсун отмечает: использовать Cloudflare, Amazon или услуги других известных международных провайдеров – это хорошо с точки зрения безопасности и соотношения цены и качества, но это косвенно противоречит требованиям действующего законодательства.
Так, по его словам, согласно статье 8 закона Украины «о защите информации в информационно-телекоммуникационных системах», которая говорит, что государственный информационный ресурс, которым бесспорно являются все программные продукты сервиса «Дія», должен использовать комплексную систему защиты информации с подтвержденным соответствием.
«По мнению специалистов, разработать такую комплексную систему для государственного информационного ресурса с использованием зарубежных облачных провайдеров невозможно. Я просил представителей «Дія» показать аттестат соответствия на комплексную систему защиты, хотя сам выступал против этой системы как устаревшего набора устаревших правил, которые совсем не отражают современных тенденций кибербезопасности. Но даже этого устаревшего г*вна Минцифры, которому подчиняется Государственная служба специальной связи и защиты информации Украины, которая выдает эти аттестаты соответствия, даже этого они не сделали», – говорит Корсун.
Он объясняет, что работу государственного информационного ресурса без этого аттестата проводить нельзя, а его нет.
Впрочем, это еще не все несоответствия сервиса «Дія», дело в том, что облачные провайдеры преимущественно зарегистрированы на территории США или других стран, и находятся под их юрисдикцией. Поэтому если правоохранительные органы запросят что-то у компании относительно этого трафика, который у них проходит – компания его отдаст.
«В Минцифры утверждают, что данные зашифрованы, но какой длиной ключа они зашифрованы, насколько сложно их было бы расшифровать, особенно со стороны облачного провайдера? Особенно по запросу правоохранительных органов США. Трафик от украинского пользователя идет к Cloudflare и Amazon, возвращается снова на украинский хостинг и потом уже возвращается обратно к пользователю. Как обеспечена безопасность этого всего, насколько вообще законно принудительно заворачивать трафик государственного украинского ресурса через зарубежный хостинг и каким образом обеспечивается его безопасность с той стороны от перехвата, шифрования, запроса иностранных правоохранительных органов?», – отмечает эксперт.
То есть получается, что наш трафик будет условно доступен другим государствам, а в этом трафике множество персональных данных украинцев.
На странице Константина Корсуна в Facebook он начал дискуссию на эту тему среди коллег, и в комментарии «пришел» советник вице-премьер-министра министра цифровой трансформации и руководитель проекта в сервисе «Дія» Мстислав Баник. Он заверил, что с безопасностью в «Дія» все в порядке.
«Защита персональных данных на портале «Дія» выполнена согласно с лучшими практиками безопасности для решений такого типа, использован подход «глубокой защиты» (defense-in-depth). Также проведены соответствующие пен-тесты, то есть тестирование безопасности приложения. Архитектура «Дія» построена таким образом, что на серверной части программы не осуществляется постоянное хранение персональных данных пользователей. При этом информация в каналах передачи данных передается в зашифрованном виде, а на некоторых этапах – используется двойное шифрование», – написал Баник.
Впрочем, никакой конкретики он не предоставил и на вопрос Корсуна не ответил, зато попытался успокоить: «Не волнуйтесь, все моменты мы предусмотрели. Все подробности мы расскажем позже. Следите за новостями!».
Тем временем, 29 марта Кабмин внес изменения в постановление №211 «о предотвращении распространения на территории Украины острой респираторной болезни COVID-19, вызванной коронавирусом SARS-CoV-2». В документе с изменениями в пункте №8 говорится: Министерству цифровой трансформации к 5 апреля 2020 г. разработать и внедрить электронный сервис для проведения мониторинга соблюдения самоизоляции и/или обсервации лицами, указанными в пунктах 3-1 и 3-2 настоящего постановления.
Таким образом, единый государственный веб-портал электронных услуг, а именно портал «Дія», получил разрешение следить за украинцами. В документе говорится о периоде карантина, но функции слежения, вероятно, будут сохранены и в дальнейшем.
Поэтому пока все большее количество украинцев, благодаря новым функциям будут загружать приложение «Дія» на свои смартфоны и вносить туда свои данные – спецслужбы Украины будут получать все больше возможностей отслеживать каждый их шаг.
Министр цифровой трансформации Михаил Федоров пояснил, что в течение 14 дней человеку, который находится на обсервации, будет приходить до 10 push-сообщений в день. Нужно будет сделать свое фото, и во время осуществления фотографии будет включаться геолокация.
«Если будет нарушен режим карантина, а неиспользование приложения по сути будет нарушением режима карантина, уже существуют определенные урегулированные суммы штрафов, которые человеку нужно будет заплатить», – добавил Федоров.
«Я и несколько коллег с самого начала поняли, что это приложение на копейку предоставляет вам какие-либо преимущества, но на гривну вам же добавляет проблем. Потому что вы сами отдаете товарищу майору все свои данные, актуализируете их, уточняете, и сами отдаете контролирующим правоохранительным органам мощный инструмент слежения за собой», – говорит Константин Корсун.
Он добавляет, что украинцы не могут знать, какие права и какие привилегии имеет установленное приложение «Дія», ведь публичные доказательства безопасности, приватности и анонимности доказательств такой безопасности предоставлены не были.
«Кроме того, что не было убедительных доказательств его безопасности, внешних от условно преступников хакеров, анонимность и приватность – это тоже очень важно. Многие наши соотечественники пренебрегают ими, но вот теперь все увидят, как это приложение может быть использовано против пользователя. Например, ты войдешь в какую-то зону, а тебе телефон будет кричать «стой, назад, вы оштрафованы», я не знаю, что еще можно нафантазировать относительно того, что может делать это приложение. Может, оно заблокирует телефон или вызовет полицию и привяжет к вашей геолокации», – отметил Корсун.
Так, эксперт считает, что «Дія» изначально было «полицейским» приложением и не рекомендует спешить его устанавливать.
Сначала создатели «Дії» не давали четких ответов о защите программы и кода, ссылаясь на тестовый режим, впоследствии – просто красноречиво убеждали, что у них все в порядке. Чего ждать теперь, когда сервис «Дія» начнут использовать для шпионажа за украинцами?
Ирина Жукевич / Depo.ua
