Pull to refresh

«Жижитализация» по-украински. Или как неумелые реформы ставят под угрозу персональные данные жителей целой страны

Reading time 5 min
Views 13K

Украина - первое в мире государство, приравнявшее электронные паспорта к физическим документам

Е-паспорт отныне имеет одинаковую юридическую силу с бумажным и ID-картой. Пока украинцы отдыхали, наслаждаясь выходными, и праздновали День Независимости (24 августа) - за день до этого, 23 августа вступил в силу новый закон № 1368-ІХ, что закрепляет на наивысшем законодательном уровне определение е-паспортов и полностью приравнивает их к физическим аналогам. Отныне е-паспорта в разработанном правительством мобильном приложении «Дия» можно использовать при путешествиях наземным и авиа транспортом в пределах Украины, в банках, медицинских учреждениях, для получения административных услуг и прочего.

Недавно созданное Министерство цифровой трансформации громко и с гордостью заявляет, что «Украина стала первым государством в мире с цифровыми паспортами, которые имеют такую ​​же юридическую силу, что и бумажные документы.» Но что может скрываться за этой инновацией? Вспомним некоторые из их новостей в недалёком прошлом.

Частично данные темы были рассмотрены в одном из спецвыпусков "IT Guild Ukraine", - часть информации будет приведена далее.

Кредит через «Дию»

Весьма громкая история, которая свидетельствует, что попасть в этот капкан может каждый. Дело было так. Жила себе гражданка, мобильной связью пользовалась по контракту, никаких «Дия» и других подозрительных приложений на телефон НЕ устанавливала. И в марте-месяце случается внезапно такой «сюрприз»: мошенники находят фотокопии паспорта, ИНН в высоком разрешении, меняют в нем фото и помещают на нечто похожее на настоящую обложку. Затем дистанционно открывают себе банковский счет - верификация в таких случаях происходит с помощью видеозвонка. И после этого уже как став полноценным клиентом банка - можно запросить ЭЦП для регистрации в... правильно, в приложении «Дия», и в остальных электронных сервисах предлагаемых Министерством.

Но вот здесь самое интересное: начинается вольница! Кроме оформления кредита можно использовать этот «документ» во всех госучреждениях, селиться в гостиницах, а также медучреждениях, регистрироваться в платежных системах, и много где ещё.

Неплохо так, да?
И сейчас становится теплее: в «Дия» присутствует возможность одновременного входа с нескольких устройств. При входе с нового - логин-сессия на предыдущих НЕ прерывается. Приходит лишь сообщение, что в аккаунт вошли с другого устройства. И все! То есть - это можно сделать абсолютно для всех: без разницы зарегистрирован человек в приложении или же нет.

Я намеренно упустил множество деталей данной схемы - иначе, как говорится, рискую быть неправильно понятным и обвинёным в пропаганде преступных действий. Но они есть! Вопрос подробно изучен. В чем собственно уязвимость? И в первоначальном проектировании - менее достоверный источник служит подтверждением для более достоверного.

Мнимая сертификация

Ещё глава сего министерства, некто Михаил Фёдоров, очень любит хвастаться наличием сертификата комплексной системы защиты информации, вроде полученный от Государственной службы специальной связи. Цитируя его: «Мы получили аттестат соответствия качества, аттестат КСЗИ. Это высокий аттестат, который свидетельствует о том, что приложение "Дия" абсолютно безопасно»- заявил он в октябре прошлого года.

Но давайте копнем немного глубже: за некоторое время до этого был сделан запрос на доступ к публичной информации, и 15 октября 2020 на него был отправлен ответ. С подписью заместителя министра, программного архитектора приложения «Дия» Алексея Выскуба. Переведя цитату из него: «Сейчас Государственным предприятием "Дия" осуществляются мероприятия по построению комплексной системы защиты информации информационно-телекоммуникационной системы портала "Дия"»... то есть, система защиты еще выстраивается, - а сертификат уже получен?

Наверное, свеженазначенный за два месяца до этого глава Государственной службы специальной связи, некто Юрий Щиголь, сделал подарок в обмен на хлебную должность. Поистине, царский.

Каждый ли на своём месте?

Компетенция личностей, которые исполняют подобную дичь, вызывает массу вопросов. Пожалуй, слово «баунти» ассоциируется у них с чем иным, как с шоколадкой... Ведь после так называемого «баг-баунти», который длился аж одну неделю, где целых 4 участника нашли аж 6 уязвимостей (на всех) - сомнений в этом точно не остаётся.

По сути, здесь у них было немного вариантов:

  • Если заявить, что использован весь бюджет - значит, была найдена куча уязвимостей! Бюджет проекта был слит на непрофессионалов.

  • Даже если пол-бюджета - всё равно, столько денег можно отдать за серьёзные уязвимости. И снова расклад не в пользу Министерства.

  • Если бы вообще затиснули всё до копейки, поделив между собой - так тоже нельзя: люди разочаруются, и больше не придут.

  • А то как они поступили, в глазах коррупционеров и доморощенных жижитализаторов выглядит Соломоновым решением: и баг-баунти провели, и уязвимости типа нашли, - галочки можно ставить.

Так вот, как говорили нам еще учителя в школах - от того, что у соседа спишешь, у самого ума не прибавится. Глядя на последнее интервью...

Здесь уже впору говорить не о Министре цифровой трансформации, - а о цифровой трансформации Министра. Начав самых что ни на есть основ матчасти.

Еще дополнительно эти аспекты были рассмотрены в интервью с Константином Корсуном - одним из ведущих специалистов по кибербезопасности в Украине на тему «Кибербезопасность в МинЦифри»:

Корявая «жижитализация» обернулась тюремным заключением

Совсем недавно имел место подобный случай для 71-летнего жителя города Нетешин. Городской суд этого районного центра Хмельницкой области утвердил соглашение о признании вины в мошенничестве предусмотренном частью 3 статьи 190 Уголовного кодекса Украины между 71-летним младшим научным сотрудником Нетешинского краеведческого музея В. и прокуратурой. Соответствующее решение опубликовано в судебном реестре. По версии следствия, в апреле 2021 В. узнал из СМИ о возможности получить 8000 гривен из госбюджета. В. подал заявку через приложение «Дия», хотя продолжал получать зарплату в полном объеме, даже когда город Нетешин попал в «красную» зону. 12 мая он получил деньги. Музейщика обвинили в мошенничестве, совершенном путем незаконных операций с использованием электронно-вычислительной техники. Преступление наказывается лишением свободы от трех до восьми лет. Поскольку В. пошёл на сделку со следствием и признал вину, суд назначил ему наказание в виде трех лет лишения свободы условно с испытательным сроком в один год.

В этой новости, как говорится, прекрасно всё. И то, что обвиняемый продолжал работать. И то, что всё оформлялось сугубо через приложение. И судья, который натянул сову на глобус. Неужели не происходило ни верификации данных при проверке после подачи заявки? И даже подпись не была нужна!

В который раз хотим спросить - насколько безопасно это приложение? Насколько защищённым является такая вот «уравниловка»?

Почему авторизация выполняется только с помощью номера телефона? А как же 2FA (Two-Factor Authentication, или двухфакторная авторизация по словам министра Фьёдорова) и стандарт PCI DSS. Ведь с помощью «Дия» можно выполнять ряд банковских и финансовых операций. Например, есть определенные государственные органы, недобросовестные работники которых имеют возможность клонировать сим-карту в своих целях.

Какие еще преимущества, недостатки, может даже угрозы видите Вы в этом нововведении? Поделитесь опытом подобных реализаций в своих странах. Были ли какие-нибудь инциденты связанные с безопасностью и утечкой данных?

Only registered users can participate in poll. Log in, please.
Кто должен нести ответственность за cохранность персональных данных государственных электронных сервисов и приложений?
15.08% Президент 38
32.94% Министр 83
15.87% Solution architect 40
4.37% Разработчики, своей головой 11
1.59% Фрилансеры которые подписались на баг-баунти 4
30.16% Никто, сам виноват что в такой стране живёшь 76
252 users voted. 107 users abstained.
Tags:
Hubs:
+8
Comments 130
Comments Comments 130

Articles