"Держава у смартфоні" чи подарунок ворогу? Які ризики для українців таїть у собі Дія

3 хвилини
10,9 т.
'Держава у смартфоні' чи подарунок ворогу? Які ризики для українців таїть у собі Дія

Фахівці у сфері IT розповіли про ризики, які містить у собі Дія. Серед найгірших – використання даних російською розвідкою та узурпація влади.

Про це пише ZN.UA. Також зазначається, що сама система закрита, що є головною претензією з боку експертів.

Вплив на українців

За словами гендиректора Prozorro Василя Задворного, за допомогою Дії можуть стимулювати аполітичність, щоб українці не цікавилися політичними процесами та відповідно не брали участі у них.

"Саме на ідеї неучасті громадян у політиці паразитують сучасні автократії", – пояснив він.

Можливості для ворога

Ще один експерт – співзасновник Українського кіберальянсу Андрій Баранович – звернув увагу на те, як даними може скористатися країна-агресор.

Відео дня

За його словами, поки в Дії немає безлічі послуг, дані не становлять особливого інтересу для іноземних розвідок. Але, в разі підключення нових реєстрів, усе може змінитися.

"Є люди, які повинні приховувати свої дані: працівники спецслужб, військові. В інтернеті вони зазвичай маскуються, надають мінімум інформації про себе, щоб просто не залишати слідів. Припустимо, така людина з якихось причин нам цікава, але ми не знаємо, хто це... Припустимо, ми отримали доступ до його комп'ютера або телефону. Якщо у нього Дія стоїть у телефоні або відкрита в комп'ютері, ми миттєво отримаємо його повне ім'я, номер паспорта і всю ту інформацію, яку в іншому випадку було б дуже непросто знайти або зібрати", – зазначив Баранович.

Експерт вважає, що цивільні системи не варто інтегрувати з військовими.

"Зараз тільки військкомати отримуватимуть від Дії адреси реєстрації військовозобов'язаних, але ж послуги додаватимуться. Рано чи пізно це буде використано Росією", – переконаний він.

Ризики стати жертвою шахраїв

Окрім того, Баранович звернув увагу і на ризик витоку інформації до рук шахраїв. Найбільше це стосується саме мобільного додатку.

"Досить заразити телефон вірусом, дочекатися, коли буде відкрита Дія, і швидко, поки користувач не бачить, віддалено щось з нею зробити. Звичайний користувач ніколи цього не помітить і взагалі не знатиме, що сталося. А вкрадений цифровий паспорт у Дії – це не ксерокопія вашого паспорта, якою вже й так володіють десятки установ, це чинний за новим законом документ, водночас як він працює, як захищений і що робити, щоб його не втратити, люди не знають, а Мінцифри не пояснює. Тому школярі, які з чужою Дією купують алкоголь, – тільки початок", – попередив він.

Закритість Дії

Ще однією небезпекою назвали закритий програмний код. Задворний пояснив, що відкритий код – це як текст закону.

"Ти знаєш, за якими правилами працює МВС, і це добре, це треба знати. Але відкритий код не означає, що тобі доступні матеріали кримінальних справ, це лише те, що ти знаєш, через який час і куди ця справа піде, як використовуються дані", – провів він паралель.

Фахівці наголошують, що відкритий код дає можливість залучити необмежену кількість зовнішніх фахівців, які виявляють уразливості та повідомляють розробникам раніше, ніж про них дізнаються чи встигнуть скористатися зловмисники.

Водночас залучення етичних хакерів до пошуку вразливостей за винагороду може бути корисним для перевірки стабільних систем захисту, але не є доказом безпеки. Також, за їхніми словами, не дає гарантій та відповідність державному стандарту Комплексної системи захисту інформації (КСЗІ).

Фахівець з кібербезпеки Володимир Стиран, який брав участь у перевірці стабільних систем Дії, каже, що головна претензія експертів – непрозорість ухвалених рішень.

"Bug bounty (залучення етичних хакерів до пошуку вразливостей), аудити, КСЗІ, пентести – це не відповіді", – наголосив він.

Що можна зробити

Стиран вважає, що Міністерству цифрової трансформації необхідно замовити оцінку безпеки програмної розробки, наприклад, на основі моделі зрілості BSIMM від Synopsys. Або зібрати визнаних експертів на закритий брифінг та показати їм стан справ, а потім отримати об'єктивну рецензію та рекомендації.

Це, впевнений він, припинить потік критики на адресу системи.

Як повідомляв OBOZREVATEL, у травні 2020 року українці в соцмережах повідомили про нібито зламаний додаток Дія та витік їхніх персональних даних. Виявилося, що в Telegram запрацював бот, який пропонує продати дані – паспорта та посвідчення водія з фото. У Міністерстві цифрової трансформації інформацію про причетність Дії назвали фейком, але фахівці з кібербезпеки були тоді не такими категоричними. Докладніше читайте в нашому матеріалі.