Дія набирает популярность в Украине: есть ли у приложения слабые места и где в мире уже создали "государство в смартфоне"
С февраля 2020 года в Украине запустили приложение Дія, которое в будущем призвано объединить все электронные услуги государства. Прямо сейчас оно позволяет сгенерировать паспорт, COVID-сертификат, сменить прописку, оплатить штраф за нарушение правил дорожного движения или получить помощь при рождении ребенка. В Дії зарегистрировано уже более 11 миллионов пользователей, приложение не сходит с первых строчек топа Google Play Store и App Store.
Но задумывались ли вы, что будет, если личные данные четверти населения страны попадут не в те руки? Об этом читайте подробнее в материале OBOZREVATEL.
На что способна Дія?
"Государство в смартфоне" – одно из главных обещаний президента Владимира Зеленского. Публично мобильное приложение с цифровыми документами Дія (сокращенно от "Держава і я") презентовали зимой 2020-го. И за почти два года его аудитория выросла до 11 миллионов пользователей.
Неудивительно, ведь функционал Дії действительно впечатляет – тут тебе и ID-карта, и загранпаспорт, и водительские права, и даже студенческий. Сейчас на госпортале можно получить почти 70 услуг онлайн – в частности, зарегистрироваться как физическое лицо-предприниматель, оформить справку о несудимости или доходах, получить помощь при рождении ребенка или кредит, запросить выписку из реестра или зарегистрировать автомобиль. Полный список услуг можно посмотреть здесь.
Весной Верховная Рада приняла законопроект №4355, согласно которому цифровой паспорт гражданина Украины и цифровой загранпаспорт в Дії получают такую же юридическую силу, как их физические аналоги. Но настоящий взлет приложения связан с появлением COVID-сертификатов, которые позволяют избежать карантинных ограничений. По словам министра цифровой трансформации Михаила Федорова, ежедневно аудитория Дії растет на 50-70 тысяч человек.
"Я думаю, что со стартом программы выплаты 1 000 гривен єПідтримка начнется очередной рост количества пользователей", – отмечал он в одном из интервью. К слову, как получить деньги за вакцинацию, можно прочитать в пошаговой инструкции OBOZREVATEL тут.
Есть ли у Дії слабые места?
Несмотря на все удобство Дії, эксперты в сфере кибербезопасности отмечают: не все так хорошо, как рассказывает власть.
Проблема №1
"Прежде всего стоит напомнить, что мобильные телефоны гораздо менее безопасны, чем нам хотелось бы. На черном рынке взломанный смартфон с установленным вредоносным ПО стоит около пяти долларов. И если в случае с онлайн-банкингом вы рискуете заранее известной суммой, то доступ к документам открывает бесконечные возможности для мошенников – кредиты, открытие фирм-однодневок и тому подобное", – говорит политический хакер Украинского киберальянса Шон Таунсенд.
Весной произошел громкий скандал, связанный с мошенничеством с использованием Дії. Женщине начали названивать коллекторы, поскольку неизвестные лица оформили на нее кредит с помощью цифровых документов. И хотя сумма была небольшая (всего 2 700 гривен), проценты набежали значительные – почти 12 тысяч гривен. После этого случая Министерство отключило микрофинансовые организации от госприложения, но объявления о "кредите через Дію можно найти и сейчас.
Проблема №2
Одна из самых больших претензий экспертного сообщества к Дії – закрытость. Что находится "под капотом" продукта – неизвестно. Там могут оказаться как новые разработки, так и "склеенные скотчем" остатки старых. Общественности доступны только гарантии разработчиков, заверения министра Федорова и короткое пояснение на сайте Дії.
Спросите, а как поступают в других странах? Как минимум, делают открытым исходный код программы, чтобы независимые специалисты могли проверить приложение или сервис на предмет безопасности и уязвимостей. Так, например, документация государственных цифровых услуг Сингапура доступна на одном из крупнейших веб-сервисов для совместной разработки программного обеспечения GitHub, там также есть и украинская система электронных публичных закупок Prozorro.
"Минцифры отказывается признавать существующие проблемы, документации нет, независимых аудитов безопасности нет. По мере того, как в Дії реализовываются все новые и новые услуги и объединяются данные из различных реестров, риски растут. Документации по-прежнему нет. Доходит до того, что ведомство в ответ на запросы журналистов и активистов присылает намеренно поврежденные файлы", – отмечает киберэксперт.
Проблема №3
Идентификация пользователей Дії происходит с помощью BankID, а дальше приложение подтягивает данные из государственных реестров. Но к технологии верификации личности есть вопросы. В июне на сайте президента появилась петиция об отставке замглавы ОП Олега Татарова, которую подписал пользователь с именем "Biden Joe" (Байден Джо – президент США). В Госспецсвязи позже назвали случившееся целенаправленной хакерской атакой с помощью похищенного ключа усовершенствованной электронной подписи, который сгенерировали в ПриватБанке.
Как это возможно? Схема достаточно проста: злоумышленники несколько раз звонят на телефонный номер или пополняют его на мелкие суммы денег, потом в отделении связи заявляют, что потеряли sim-карту, называют последние действия (звонки и пополнения) и получают новую карточку с этим же номером. А после этого мошенникам остается инициировать восстановление пароля в ПриватБанке и получить его в SMS на украденный номер.
"Biden Joe" – не первый такой случай, до этого была фальшивая подпись "Рябошапки" и цифровая подпись "Кернеса". Во всех трех случаях расследование проведено не было, и нет никаких гарантий, что завтра один из многих центров сертификации ключей не выпустит цифровую подпись на ваше имя. Завладеть Дією не сложнее, чем завести доступ к банку, а кражи через ДБО (Дистанционное банковское обслуживание) в Украине, к сожалению, не редкость. Я не раз находил электронную подпись различных людей в открытом доступе (любой желающий может поискать файлы jks на Прозорро), не думаю, что с приложением Дія будет сложнее", – добавляет Таунсенд.
Проблема №4
Государство и правоохранительные органы получают большое количество чувствительной информации – так открывается огромное пространство для злоупотреблений, считают эксперты.
Дія – прекрасный инструмент для слежки, и даже если этими возможностями полиция не пользуется сейчас, то такой соблазн может возникнуть в будущем. То, что Министерство называет "документами", на самом деле выписка из реестра. Когда вы показываете Дію, то и проверяемый, и проверяющий тут же оставляют следы в логах министерства. Я удивлен тем, что многие сограждане вполне справедливо выступают против "sim-карт по паспорту" и интернет-слежки, и при этом ставят себе госприложение, которое тут же связывает номер телефона, e-mail, IP-адрес с паспортом, ИНН и другими документами. То, что к этим данным захочет получить доступ полиция и СБУ – исключительно вопрос времени", – считает Таунсенд.
А как в других странах?
В Минцифры часто приводят в пример опыт Эстонии, которая начала разработку программы электронного правительства еще в 90-х. Первой цифровой услугой стал электронный банкинг. А сегодня Эстония стала государством с цифровыми выборами, образованием, правосудием, здравоохранением, полицией, налогообложением и бизнесом. Всего – около четырех тысяч услуг.
Основной элемент эстонского цифрового государства не мобильные приложения, а ID-карты, которые начали выдавать в 2002 году. Их наличие позволяет подписывать документы электронной подписью, голосовать на выборах, регистрировать бизнес, ID-карты используются в финансовых операциях, в медицине и для оплаты проезда или штрафов.
Но все снова упирается в вопрос безопасности. В Эстонии для того, чтобы подключиться к порталу госуслуг или принять участие в онлайн-голосовании, необходимо использовать личную идентификационную смарт-карту, цифровую подпись и отдельное устройство – кард-ридер (такой есть у каждого гражданина, имеющего ID-карту). В итоге гражданин получает тройную степень защиты собственных данных.
Кроме того, каждое действие должностного лица, которое запрашивает информацию о человеке в онлайн-портале, оставляет свой след. И если гражданину кажется, что его данные были просмотрены необоснованно, он может обратиться с жалобой в Инспекцию по защите данных – подразделение Министерства юстиции.
В Германии несколько месяцев назад попытались внедрить электронные права, но проект очень быстро свернули из-за пробелов в безопасности приложения. "Google и Apple думают о том, как сделать документы в телефоне, но готовых решений нет, требуются изменения в телефонах на аппаратном уровне, просто софта недостаточно", – говорит Таунсенд.
В Турции существует похожая на украинскую система электронного правительства. Она называется e-Devlet kapısı, "Портал электронного правительства". Пользователи получают доступ к сайту с помощью ID-карт, логина с паролем или онлайн-банкинга. В Турции онлайн можно застраховаться, пройти судебно-медицинскую экспертизу, оплатить счета.
Главное достижение Великобритании – объединение практически всех порталов с государственными услугами в один сайт. Есть у них и другие интересные фишки, например, возможность уведомить только один орган о рождении или смерти – и сообщение будет разослано во все организации. Также в систему электронного государства интегрирована система здравоохранения – все данные о врачах и пациентах хранятся в одном месте.
На фоне пандемии коронавируса власть Китая разработала специальное приложение, которое отдаленное напоминает украинское Дій.Вдома. В программе отображается буквально все – поездки в транспорте, походы в супермаркеты и торговые центры, выезды за пределы провинции. И если у человека обнаруживают коронавирус, то с помощью приложения власть выявляет всех лиц, которые контактировали с зараженным.
"Люди, которые ездили в Диснейленд на прошлых выходных, сейчас вынуждены сидеть на карантине. Все из-за того, что в парке была женщина с COVID-19. Правительство с помощью кода отследило, куда она ходила и с кем общалась. И всех контактных лиц посадили на самоизоляцию. Женщина должна была предоставить всю эту информацию, потому что за ее сокрытие могут даже посадить в тюрьму", – рассказывала украинка Яна, проживающая в Китае.
Вроде бы звучит неплохо, ведь КНР стала одним из лидеров по борьбе с коронавирусом. Но китайские власти не остановились на этом и ввели государственную систему социального рейтинга. Каждому гражданину выдается некое количество баллов или кредитов и затем за какие-то нарушения или проступки их количество уменьшается. Это отражается в личной базе данных и QR-коде, который есть у каждого человека и который привязан к мессенджеру WeChat. Если рейтинг падает ниже определенного уровня, то у человека начинаются некоторые затруднения. Сначала небольшие: например, вы должны будете платить большой депозит, если берете на прокат велосипед или машину. Если человек теряет больше баллов, то ему будет сложнее устроиться на работу или купить авиа- и железнодорожные билеты.