"Государство в смартфоне" или подарок врагу? Какие риски для украинцев таит в себе Дія

Юрий Сергиенко
Технологии
11,0 т.
'Государство в смартфоне' или подарок врагу? Какие риски для украинцев таит в себе Дія

Специалисты в сфере IT рассказали о рисках, которые несет в себе Дія. Среди наихудших – использование данных российской разведкой и узурпация власти.

Об этом пишет ZN.UA. Также отмечается, что сама система является закрытой, что является главной претензией со стороны экспертов.

Влияние на украинцев

По словам гендиректора Prozorro Василия Задворного, с помощью Дії могут стимулировать аполитичность, чтобы украинцы не интересовались политическими процессами и соответственно не участвовали в них.

"Именно на идее неучастия граждан в политике и паразитируют современные автократии", – пояснил он.

Возможности для врага

Еще один эксперт – соучредитель Украинского киберальянса Андрей Баранович обратил внимание на то, как данными может воспользоваться страна-агрессор.

По его словам, пока в Дії нет множества услуг, данные не представляют особого интереса для иностранных разведок. Но, по мере подключения новых реестров, все может измениться.

"Есть люди, которые должны скрывать свои данные: работники спецслужб, военные. В интернете они обычно маскируются, предоставляют минимум информации о себе, чтобы просто не оставлять следов. Предположим, такой человек по каким-то причинам нам интересен, но мы не знаем, кто это. Предположим, мы получили доступ к его компьютеру или телефону. Если у него Дія стоит в телефоне или открыта в компьютере, мы моментально получим его полное имя, номер паспорта и всю ту информацию, которую в ином случае было бы очень непросто найти или собрать", – отметил Баранович.

Эксперт считает, что гражданские системы не стоит интегрировать с военными.

"Сейчас только военкоматы будут получать от Дії адреса регистрации военнообязанных, но услуги же будут добавляться. Рано или поздно это будет использовано Россией", – убежден он.

Риски стать жертвой мошенников

Кроме того, Баранович обратил внимание и на риск утечки информации в руки мошенников. Больше всего это касается именно мобильного приложения.

"Достаточно заразить телефон вирусом, дождаться, когда будет открыта Дія, и быстро, пока пользователь не видит, удаленно что-то с ней сделать. Обычный пользователь никогда этого не заметит, и вообще не будет знать, что произошло. А украденный цифровой паспорт в Дії – это не ксерокопия вашего паспорта, которой уже и так владеют десятки учреждений, это действующий по новому закону документ. При этом, как он работает, как защищен и что делать, чтобы его не утратить, люди не знают, а Минцифры не объясняет. Поэтому школьники, с чужой Дієй покупающие алкоголь, – только начало", – предупредил он.

Закрытость Дії

Еще одной опасностью назвали закрытый программный код. Задворный пояснил, что открытый код – это как текст закона.

"Ты знаешь, по каким правилами работает МВД, и это хорошо, это надо знать. Но открытый код не означает, что тебе доступны материалы уголовных дел, это означает лишь то, что ты знаешь, через какое время и куда это дело пойдет, как используются данные", – провел он параллель.

Специалисты подчеркивают, что открытый код дает возможность привлечь неограниченное количество внешних специалистов, которые обнаруживают уязвимости и сообщают разработчикам раньше, чем о них узнают или успеют воспользоваться злоумышленники.

В то же время привлечение этичных хакеров к поиску уязвимостей за вознаграждение может быть полезным для проверки стабильных систем защиты, но не является доказательством безопасности. Также, по их словам, не дает гарантий и соответствие государственному стандарту Комплексной системы защиты информации (КСЗИ).

Специалист по кибербезопасности Владимир Стыран, который участвовал в проверке стабильных систем Дії, говорит, что главная претензия экспертов – непрозрачность приняты решений.

"Bug bounty (привлечение этичных хакеров к поиску уязвимостей), аудиты, КСЗИ, пентесты – это не ответы", – подчеркнул он.

Что можно сделать

Стыран считает, что Министерству цифровой трансформации следует заказать оценку безопасности программной разработки, например, на основе модели зрелости BSIMM от Synopsys. Или собрать признанных экспертов на закрытый брифинг и показать им положение дел, а затем получить объективную рецензию и рекомендации.

Это, уверен он, прекратит поток критики в адрес системы.

Как сообщал OBOZREVATEL, в мае 2020 года украинцы в соцсетях сообщили о якобы взломанном приложении Дія и утечке их персональных данных. Оказалось, что в Telegram заработал бот, который предлагает продать данные – паспорта и водительские права с фото. В Министерстве цифровой трансформации информацию о причастности Дії назвали фейком, но специалисты по кибербезопасности были тогда не столь категоричны. Подробнее читайте в нашем материале.