Чем опасна «Дія»: Эксперты составили список проблем

Гражданам Украины все настойчивее навязывают приложение «Дія» как безальтернативное средство предоставления государственных электронных услуг. Но у «Дії» есть ряд серьезных проблем, утверждают эксперты. Как с ее архитектурной моделью, так и с качеством реализации.

Украинские специалисты по кибербезопасности предупреждали о возможных проблемах еще до запуска первой версии «Дії». Замечали серьезные недостатки также после публичного запуска этого приложения. Публично и непублично настаивали на недопустимости игнорирования существующих проблем. Но разработчики и идеологи «Дії» продолжают «не замечать» критики. И это уже приводит к реализации некоторых рисков.

Андрей Баранович, Андрей Перцюх, Артем Карпинский, Константин Корсун, Кир Важницкий, Александр Мацько и Роман Химич проанализировали все аспекты деятельности приложения и представили в Сеть открытый отчет о полученных результатах.
Приводим его фрагменты. С полным текстом можно ознакомиться

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

.

Что не так с приложением «Дія»

1. В приложении «Дія» нарушен один из базовых принципов в области удаленной (электронной) идентификации – разграничение инструментов идентификации по уровням доверия. Например, для идентификации пользователя высокого уровня доверия, которым должен быть владелец цифрового паспорта, в «Дії» разрешено использовать BankID – программный инструмент со всего лишь средним уровнем доверия. Между тем неоднократно доказано, что BankID в нынешнем виде не обеспечивает достаточной безопасности и уязвим для примитивных атак.
2. Несмотря на многочисленные заявления разных чиновников, «Дія» собирает, хранит и обрабатывает персональные данные. А именно регистрирует, накапливает, адаптирует, изменяет, обновляет, использует и распространяет. Об этом прямо написано на сайте «Дії» и в разделе «Меню/Сообщения об обработке персональных данных» мобильного приложения.
3. Есть возможность перехватить данные при проверке е-документов. При предоставлении цифровых документов паспортные данные человека могут скрыто копироваться в телефон считывающего, поэтому давать на считывание своих данных «Дію» можно только работникам полиции в форме, при предъявлении служебного удостоверения или значка с номером. Эти же данные проходят через инфраструктуру Минцифры, но неизвестно как они обрабатываются.
4. Возможно мошенничество с использованием «Дії». В настоящее время существует возможность удаленно открыть банковский счет с использованием приложения «Дія». В настоящее время известно о не менее нескольких случаях несанкционированного входа злоумышленников в учетные записи жертв приложения и с последующим совершением противоправных действий в отношении пострадавших в корыстных целях (оформить кредит на владельца телефона, купить товар в магазине в рассрочку, совершить другие злоупотребления). Но сами возможности мошенников существуют в случае похищения телефона. Таких случаев только по официальной статистике в среднем 4566 в месяц (данные за 2021 год).
5. Минцыфры в лице Государственного предприятия «Дія» имеет техническую возможность следить за владельцами смартфонов, на которых установлено данное приложение. Такое слежение, хранение логов активности и их обработка — ничем не регламентированы, а ГП «Дія», выпускающее приложение, не проходит регулярные независимые проверки и постоянно от них отказывается, что не является подтверждением благих намерений со стороны команды, разрабатывающей и поддерживающей функционирование приложения.
6. Производитель «Дії» может дистанционно установить на мобильный телефон пользователя «обновление с дополнительными функциями», то есть, шпионскую версию приложения. Таким образом, пользователь даже не будет знать о проведении негласных действий наблюдения, законность которых может быть подвергнута сомнению. «Дія» запрашивает самые широкие привилегии в мобильном телефоне — от камеры (микрофон в комплекте) до дискового хранилища. Следовательно, все необходимые права уже предоставлены и дополнительного запроса не будет. Известны случаи, когда и преступники получали полный контроль над смартфонами и всеми установленными в нем приложениями. Зачастую пользователи об этом даже не догадывались.
7. Невозможность самостоятельно заблокировать свой аккаунт в «Дії» (опция Opt-Out). Фактически, возможность активировать аккаунт в приложении существует у каждого гражданина Украины, получившего ID-карту или загранпаспорт с биометрическим чипом (документы, содержащие цифровые фото). При этом не имеет значения есть ли у гражданина намерение пользоваться своим аккаунтом (учетная запись) – такая возможность все равно существует, и ею может воспользоваться постороннее лицо без ведома легального пользователя. Теперь этим пользуются мошенники для похищения кредитных средств, оформленных на людей, которые по разным причинам не активировали свою учетную запись. Но в дальнейшем эту же возможность угона цифровой личности можно применить и для других юридически значимых действий без ведома лица: регистрации места жительства, вызова с суд, операций с недвижимостью, голосования на выборах и т.д.
8. Риски фальсификации выборов в смартфоне. Непосредственно Президент Зеленский и глава Минцифры Федоров неоднократно озвучивали тезисы об их главной цели – голосовании на выборах через смартфон. Вероятно, подразумевается использование для этого приложения «Дія». Большой негативный опыт фальсификаций на традиционных выборах свидетельствует о больших рисках. А реализация такой идеи содержит угрозу национальной безопасности и попытку свержения конституционного строя путем фальсификации избирательного процесса онлайн. В общем, во время онлайн-выборов невозможно обеспечить секретность голосования, голосования без принуждения и одновременно провести прозрачный пересчет голосов. Ни одна страна Мира (кроме Эстонии) пока не решилась провести онлайн выборы.
9. Риски «повестки через Дію». Риск стать жертвой сомнительных и противоправных действий со стороны государства или третьих лиц через внедрение и легитимизацию «автоматического гарантированного сообщения» граждан о предупреждении, повестке, вызове в суд и подобных действиях. Это также неоднократно озвученная цель Минцифры, которая может быть реализована и добавит украинцам проблем. Представим ситуацию, когда по каким-то причинам гражданин не пользуется, или больше не пользуется приложением «Дія», на которое приходит сообщение о вызове в суд из-за иска в отношении собственности гражданина. Юридически, отправленное такое сообщение является признаком фактического сообщения. Следовательно, непоявление гражданина в суде или несвоевременное представление запроса о переносе судебного заседания по любой причине дает возможность (государству, мошенникам, «черным регистраторам» и т.п.) манипуляций в судебном процессе не в пользу гражданина.
10. Отсутствие доступа к Интернету. Согласно заявлениям разработчиков приложения «Дія», приложение не хранит электронные документы граждан, при этом изображения с данными документа – хранятся в смартфоне. Но легитимность их отображения в смартфоне можно проверить только при наличии доступа в Интернет. Недавние события в Казахстане (когда во время протестов власти выключали доступ в Интернет) показали, что похожая ситуация вполне может произойти при определенных условиях и в Украине. В случае длительного отсутствия доступа к Интернету, документы в «Дії» станут только нелегитимными картинками в смартфоне. Аналогичная ситуация актуальна в некоторых районах Украины, где сейчас отсутствует или нестабильный доступ в Интернет. В таких условиях возникает необходимость всегда носить с собой бумажные или пластиковые документы, что ставит под вопрос целесообразность установки и использования приложения.
11. Не все граждане имеют возможность пользоваться приложением. Для использования «Дії» необходим современный смартфон, но не все могут его приобрести. Это реальная проблема из-за принудительного ограничения предоставления определенных функций исключительно через приложение (например, сертификатов о вакцинации). Также не везде в стране есть доступ в Интернет. Некоторым людям (особенно старшего возраста) трудно вводить пин-коды, поэтому для них их родственники либо все пин-коды снимают, либо ставят коды типа 1111. Действие с простым пин-кодом – это очень опасно.
12. Сосредоточение сверхбольших прав у администраторов «Дії» и отсутствие системы мониторинга и предохранителей их работы приводит к появлению огромного искушения для таких администраторов, которые могут за определенное поощрение или под принуждением собрать информацию об определенных аспектах жизни граждан и передать эту информацию в пользу третьих лиц. собственный административный доступ к третьим лицам. Например, существует вероятность существования возможности создания запроса в любой подключенный реестр, который внесет изменения или даже приведет к потере данных или даже их уничтожению, поскольку выполнен он с правами администраторов.
13. Минцифры предусматривает возложение значительного количества рисков использования приложения на его пользователей. В смартфоне пользователя хранятся все его е-документы, удостоверяющие личность, согласно Закону Украины приравненные к бумажным/пластиковым. При этом нигде не определяются должным образом правила пользования приложением, требования к безопасному доступу к нему, правила кибер-гигиены при пользовании смартфоном, потенциальные риски компрометации и т.д.
14. В сфере функционирования «Дії» почти отсутствует законодательное регулирование. Формально электронные документы приравнены к официальным нечетким фразам в Законе Украины «О внесении изменений в Закон Украины «О Едином государственном демографическом реестре и документах, подтверждающих гражданство Украины, удостоверяют личность или ее специальный статус»: «е-паспорт — паспорт гражданина Украины в форме электронного отображения информации, содержащейся в паспорте гражданина Украины». Но ни в одном Законе Украины не определены технические и технологические параметры таких е-документов, требования к процессу разработки приложения и его эксплуатации, приемлемые технологии и их согласованность, возможности независимого (в том числе общественного) контроля этих процессов, привязка к существующим международным стандартам и многое другое.
15. Создание искусственной монополии. Граждан Украины принуждают пользоваться приложением «Дія», не оставляя им альтернатив. Так, сертификаты вакцинации долгое время можно получить исключительно через данное приложение , хотя альтернативное техническое решение было готово к запуску за несколько месяцев до запуска такого решения в «Дії». Заявки на получение 8000 грн компенсации для ФОПам в связи с карантинными ограничительными мероприятиями и «ковидной» тысячи гривен — также можно было сделать только через «Дію».
16. На приложение отсутствует документация в открытом доступе: инструкция пользователя, общее и техническое описание приложения, описание его структуры и функций, модели функционирования, применяемых технологий, инфраструктуры, схемы каналов передачи данных, правил пользования приложением, гарантийные обязательства производителя, соответствие требованиям по защите персональных данных и т.д. Несмотря на многочисленные попытки специалистов и журналистов получить эти документы от Минцифры, подобные запросы либо игнорируются, либо предоставляются заведомо поврежденные данные без возможности их воспроизведения.
17. Разработчик приложения не публикует исходный код своего продукта. Согласно существующим международным практикам, исходный код публикуют, прежде всего, для подтверждения отсутствия скрытых программных функций продукта. Такими функциями могут быть следующие: функция отслеживания пользователя, сбор данных о модели его смартфона, операционная система, день, время и геолокация, пользование определенными функциями приложения, взаимодействие с другими приложениями и приложениями, использование мессенджеров, посещение определенных Интернет-страниц, произвольное считывание информации из файловой системы и подобные скрытые функции. Исходный код также мог бы засвидетельствовать наличие или отсутствие возможности загружать обновления, которые содержали бы функции слежения за пользователями.
18. Разработчики приложения «Дія» скрывают сведения о независимом внешнем аудите (оценке) безопасности своего продукта. Согласно существующим международным практикам, тестировать продукт должны специалисты, которые не имели и не имеют отношения к его разработке, чем исключается возможный конфликт интересов. Непредоставление подобных отчетов может свидетельствовать об отсутствии проведения тестирований (оценок) безопасности приложения.
19. Сомнительность объективности проведения государственной экспертизы приложения. Любой государственный информационный ресурс, которым является «Дія», должен пройти государственную экспертизу и получить положительное экспертное заключение по созданию и реализации Комплексной системы защиты информации (КСЗИ). Минцифры продолжает скрывать аттестат соответствия КСЗИ. В настоящее время он не доступен общественности, хотя не является и не может быть документом с ограниченным доступом.
20. Техническая поддержка приложения «Дія» находится на низком уровне: с ним трудно контактировать, а жалобы пользователей и большинства случаев остаются без должного внимания. При этом средняя зарплата в Государственном предприятии «Дія», разрабатывающем одноименный продукт, составляет 47 211 грн. Замечания экспертов и профессионалов о недостатках построения и функционирования приложения – игнорируются, что наводит на мысль, что данный проект скорее политический, чем технологический. Вместе с тем, реакция на критику и манера коммуникации руководителей проекта «Дія» с экспертами является грубым, нетерпимым и хамским. Отдельные должностные лица позволяют себе публично унижать оппонентов и даже угрожать им. Довольно часто в качестве контраргумента на объективную критику звучит: нас заказали.
21. Возможность неограниченного клонирования документов в приложении. Традиционно государство не позволяет существование даже одной копии бумажного/пластикового документа, удостоверяющего личность, в первую очередь паспорта. Причем подделка документов относится к серьезным уголовным преступлениям (статья 358. Подделка документов, печатей, штампов и бланков, сбыт или использование поддельных документов, печатей, штампов). В случае же цифровых паспортов государство позволяет одновременное сосуществование идентичных экземпляров на разных устройствах, то есть их копирование/клонирование. На этот счет у специалистов возникают вопросы: какими причинами вызваны столь противоположные подходы? Сколько экземпляров е-паспорта могут существовать одновременно: пять, десять, сто, тысяча? Где именно зафиксирована норма по количеству экземпляров, в каком документе Минцыфры? Почему в случае е-документов отказались от принципа личного присутствия, как это сделано, например, в Эстонии, на чей регулярно ссылается Минцыфры? Традиционные бумажные документы издаются исключительно при личном присутствии человека, чье лицо удостоверяют. Это позволяет реализовать ответственность должностного лица, выдаваемого этими документами. Предусмотрена ли персональная ответственность работников разработчика в случае завладения чужим е-паспортом?
22. Непрозрачность порядка использования приложения «Дія» организациями. Минцыфры запретило использование цифровых паспортов МФО (микрокредитные организации) из-за единственного задокументированного случая злоупотребления. При этом никаким регуляторным актом не определено: при каких условиях этот запрет будет отменен и какие критерии его применения в других случаях (например, почтовыми компаниями).

Нужно, войти или зарегистрироваться для просмотра скрытого текста.

 

Не пользуюсь и не собираюсь пользоваться. Даже если будет нагиб, буду иметь "оф." кнопочный тел.