Дія набирає популярності в Україні: чи має застосунок слабкі місця і де у світі вже створили "державу у смартфоні"

Дію встановили вже понад 11 млн українців, але експерти мають питання до застосунку

З лютого 2020 року в Україні запустили застосунок Дія, який у майбутньому покликаний об'єднати всі електронні послуги держави. Зараз він дозволяє згенерувати паспорт, COVID-сертифікат, змінити прописку, сплатити штраф за порушення правил дорожнього руху або отримати допомогу при народженні дитини. У Дії зареєстровано вже понад 11 мільйонів користувачів, програма не сходить з перших рядків топу Google Play Store та App Store.

Але чи замислювалися ви, що буде, якщо особисті дані чверті населення країни потраплять не в ті руки? Про це читайте докладніше в матеріалі OBOZREVATEL.

На що здатна Дія?

"Держава у смартфоні" – одна з головних обіцянок президента Володимира Зеленського. Публічно мобільний застосунок із цифровими документами Дія (скорочено від "Держава і я") презентували взимку 2020-го. І за майже два роки його аудиторія зросла до 11 мільйонів користувачів.

Не дивно, адже функціонал Дії справді вражає – тут тобі і ID-картка, і закордонний паспорт, і посвідчення водія, і навіть студентський. Зараз на держпорталі можна отримати майже 70 послуг онлайн – зокрема, зареєструватися як фізична особа-підприємець, оформити довідку про несудимість або доходи, отримати допомогу при народженні дитини або кредит, запросити виписку з реєстру чи зареєструвати автомобіль. Повний список послуг можна переглянути тут.

Навесні Верховна Рада ухвалила законопроєкт №4355, згідно з яким цифровий паспорт громадянина України та цифровий закордонний паспорт у Дії отримують таку саму юридичну силу, як їхні фізичні аналоги. Але справжній зліт програми пов'язаний з появою сертифікатів COVID, які дозволяють уникнути карантинних обмежень. За словами міністра цифрової трансформації Михайла Федорова, щодня аудиторія Дії зростає на 50-70 тисяч людей.

"Я думаю, що зі стартом програми виплати 1 000 гривень єПідтримка розпочнеться чергове зростання кількості користувачів", – зазначав він в одному з інтерв'ю. До речі, як отримати гроші за вакцинацію, ви можете прочитати в покроковій інструкції OBOZREVATEL тут.

Чи має Дія слабкі місця?

Попри всю зручність Дії, експерти у сфері кібербезпеки зазначають: не все так добре, як розповідає влада.

Проблема №1

"Насамперед варто нагадати, що мобільні телефони набагато менш безпечні, ніж нам хотілося б. На чорному ринку зламаний смартфон зі встановленим шкідливим ПЗ коштує близько п'яти доларів. І якщо у випадку з онлайн-банкінгом ви ризикуєте заздалегідь відомою сумою, то доступ до документів відкриває нескінченні можливості для шахраїв – кредити, відкриття фірм-одноденок тощо", – каже політичний хакер Українського кіберальянсу Шон Таунсенд.

Навесні стався гучний скандал, пов'язаний із шахрайством із використанням Дії. Жінці почали телефонувати колектори, оскільки невідомі особи оформили на неї кредит за допомогою цифрових документів. І хоча сума була невелика (всього 2700 гривень), відсотки набігли значні – майже 12 тисяч гривень. Після цього випадку Міністерство від'єднало мікрофінансові організації від держзастосунку, але оголошення про "кредит через Дію" можна знайти і зараз.

Проблема №2

Одна з найбільших претензій експертної спільноти до Дії – закритість. Що розміщено під капотом продукту – невідомо. Там можуть виявитися як нові розробки, так і "склеєні скотчем" залишки старих. Громадськості доступні лише гарантії розробників, запевнення міністра Федорова та коротке пояснення на сайті Дії.

Запитайте, а як роблять в інших країнах? Щонайменше роблять відкритим вихідний код програми, щоб незалежні фахівці могли перевірити програму чи сервіс щодо безпеки та вразливостей. Так, наприклад, документація державних цифрових послуг Сінгапуру доступна на одному з найбільших вебсервісів для спільної розробки програмного забезпечення GitHub, там є і українська система електронних публічних закупівель Prozorro.

"Мінцифри відмовляється визнавати наявні проблеми, документації немає, незалежних аудитів безпеки немає. У міру того, як у Дії реалізовуються все нові та нові послуги та об'єднуються дані з різних реєстрів, ризики зростають. Документації, як і раніше, немає. Доходить до того, що відомство у відповідь на запити журналістів та активістів надсилає навмисно пошкоджені файли", – зазначає кіберексперт.

Через Дію дозволили оформляти пенсії та субсидії

Проблема №3

Ідентифікація користувачів Дії відбувається за допомогою BankID, а далі програма підтягує дані з державних реєстрів. Але до технології верифікації особи є питання. У червні на сайті президента з'явилася петиція про відставку заступника голови ВП Олега Татарова, яку підписав користувач з ім'ям "Biden Joe" (Байден Джо – президент США). У Держспецзв'язку пізніше назвали це цілеспрямованою хакерською атакою за допомогою викраденого ключа вдосконаленого електронного підпису, який згенерували в ПриватБанку.

Як це можливо? Схема досить проста: зловмисники кілька разів дзвонять на телефонний номер або поповнюють його на дрібні суми грошей, потім у відділенні зв'язку заявляють, що втратили sim-картку, називають останні дії (дзвінки та поповнення) та отримують нову картку з цим же номером. А після цього шахраям залишається ініціювати відновлення пароля у ПриватБанку та отримати його в SMS на вкрадений номер.

"Biden Joe" – не перший такий випадок, до цього був фальшивий підпис "Рябошапки" та цифровий підпис "Кернеса". У всіх трьох випадках розслідування проведено не було, і немає жодних гарантій, що завтра один із багатьох центрів сертифікації ключів не випустить цифрового підпису на ваше ім'я. Оволодіти Дією не складніше, ніж завести доступ до банку, а крадіжки через ДБО (Дистанційне банківське обслуговування) в Україні, на жаль, не рідкість. Я не раз знаходив електронний підпис різних людей у відкритому доступі (будь-який охочий може пошукати файли jks на Прозорро), не думаю, що із застосунком Дія буде складніше", – додає Таунсенд.

Проблема №4

Держава та правоохоронні органи отримують велику кількість чутливої інформації – так відкривається величезний простір для зловживань, вважають експерти.

Дія – чудовий інструмент для стеження, і навіть якщо цими можливостями поліція не користується зараз, то така спокуса може виникнути в майбутньому. Те, що Міністерство називає "документами", насправді витяг із реєстру. Коли ви показуєте Дію, то і той, кого перевіряють, і перевіряльник відразу залишають сліди в логах міністерства. Я здивований тим, що багато співгромадян цілком справедливо виступають проти "sim-карток за паспортом" та інтернет-стеження, і водночас ставлять собі держзастосунок, який відразу ж пов'язує номер телефону, e-mail, IP-адресу з паспортом, ІПН та іншими документами. Те, що до цих даних захоче отримати доступ поліція та СБУ – винятково питання часу", – вважає Таунсенд.

А як в інших країнах?

У Мінцифри часто наводять приклад досвіду Естонії, яка почала розробку програми електронного уряду ще в 90-х. Першою цифровою послугою став електронний банкінг. А сьогодні Естонія стала державою з цифровими виборами, освітою, правосуддям, охороною здоров'я, поліцією, оподаткуванням та бізнесом. Усього – близько чотирьох тисяч послуг.

Основний елемент естонської цифрової держави не є мобільними програмами, а ID-картками, які почали видавати в 2002 році. Їх наявність дозволяє підписувати документи електронним підписом, голосувати на виборах, реєструвати бізнес, ID-картки використовуються у фінансових операціях, у медицині та для оплати проїзду чи штрафів.

Але все знову впирається у питання безпеки. В Естонії для того, щоб під'єднатися до порталу держпослуг або взяти участь в онлайн-голосуванні, необхідно використовувати особисту ідентифікаційну смарт-картку, цифровий підпис та окремий пристрій – кард-рідер (такий є у кожного громадянина, який має ID-картку). Як наслідок, громадянин отримує потрійний ступінь захисту власних даних.

Система "електронного громадянства" в Естонії

Крім того, кожна дія посадової особи, яка запитує інформацію про людину в онлайн-порталі, залишає свій слід. І якщо громадянину здається, що його дані були переглянуті необґрунтовано, він може звернутися зі скаргою до Інспекції захисту даних – підрозділу Міністерства юстиції.

У Німеччині кілька місяців тому спробували впровадити електронні посвідчення, але проєкт дуже швидко згорнули через прогалини в безпеці програми. "Google та Apple думають про те, як зробити документи в телефоні, але готових рішень немає, потрібні зміни в телефонах на апаратному рівні, просто софту недостатньо", – каже Таунсенд.

У Туреччині існує схожа на українську система електронного уряду. Вона називається e-Devlet kapısı, "Портал електронного уряду". Користувачі отримують доступ до сайту за допомогою ID-карток, логіну з паролем або онлайн-банкінгу. У Туреччині онлайн можна застрахуватися, пройти судово-медичну експертизу, сплатити рахунки.

Головне досягнення Великобританії – об'єднання практично всіх порталів із державними послугами в один сайт. Є в них інші цікаві фішки, наприклад, можливість повідомити тільки один орган про народження або смерть – і повідомлення буде розіслано в усі організації. Також у систему електронної держави інтегровано систему охорони здоров'я – усі дані про лікарів та пацієнтів зберігаються в одному місці.

На тлі пандемії коронавірусу влада Китаю розробила спеціальний додаток, який віддалено нагадує український Дій.Вдома. У програмі відображається все – поїздки в транспорті, походи в супермаркети і торгові центри, виїзди за межі провінції. І якщо в людини виявляють коронавірус, то за допомогою додатка влада виявляє всіх осіб, які контактували із зараженим.

"Люди, які їздили до Діснейленду минулими вихідними, зараз змушені сидіти на карантині. Усе через те, що в парку була жінка з COVID-19. Уряд за допомогою коду відстежив, куди вона ходила і з ким спілкувалася. І всіх контактних осіб посадили на самоізоляцію. Жінка повинна була надати всю цю інформацію, тому що за її приховування можуть навіть ув'язнити", – розповідала українка Яна, яка проживає в Китаї.

Дія набирає популярності в Україні: чи має застосунок слабкі місця і де у світі вже створили "державу у смартфоні"

Начебто звучить непогано, адже КНР стала одним із лідерів боротьби з коронавірусом. Але китайська влада не зупинилася на цьому і ввела державну систему соціального рейтингу. Кожному громадянинові видається певна кількість балів чи кредитів і потім за якісь порушення чи провини їх кількість зменшується. Це відображається в особистій базі даних та QR-коді, який є у кожної людини і який прив'язаний до месенджера WeChat. Якщо рейтинг падає нижче за певний рівень, то в людини починаються деякі труднощі. Спочатку невеликі: наприклад, ви повинні платити великий депозит, якщо берете на прокат велосипед або машину. Якщо людина втрачає більше балів, то їй буде складніше влаштуватися на роботу або купити авіа- та залізничні квитки.