«С таким же успехом личные данные украинцев можно было отправить прямо на Лубянку». Какие риски несёт приложение «Дія»?

Новое государственное приложение «Дія» может поставить под угрозу сохранность документов и личных данных миллионов украинцев: программу разрабатывала «сторонняя» команда, связанная с Россией, а госорганы уже показали свою неспособность обеспечить кибербезопасность граждан.

Сегодня в Киеве лично президент Владимир Зеленский презентовал государственное мобильное приложение «Дія». Оно по задумке власти должно стать универсальной платформой для «электронного государства».

В нём, как анонсирует министр цифровой трансформации Михаил Фёдоров, будут храниться различные документы: от студенческих билетов и страховок до паспортов. На сегодня там присутствуют 6 миллионов оцифрованных водительских прав и 5 миллионов свидетельств регистрации авто («техпаспортов»). Но на фоне постоянных скандалов с утечками информации и взломами баз данных по всему миру, возникает вопрос, насколько безопасным будет хранение личных данных и важнейших документов граждан Украины не просто в одном месте, а в мобильном приложении и его серверах. K750 решил разобраться в этом вопросе.

Просто «старый софт»…

Первые тревожные «звоночки» на самом деле прозвучали еще накануне.

Так, например, в середине января выяснилось, что в открытом доступе находятся паспортные данные и резюме тысяч украинских граждан, которые подавали документы на получение должностей в госслужбе. Любой пользователь интернета мог, введя определенный адрес в браузере, скачать скан-копии их паспортов или изучить другие, как принято говорить, «чувствительные» данные.

 

Неизвестно, как долго в принципе эти документы были открыты, но «дыру в безопасности» не закрывали в течение нескольких часов даже после того, как о ней вовсю говорили в соцсетях и некоторых СМИ. Отметим, что Министерство цифровой трансформации не проявило особого интереса к произошедшему (хотя именно Минцифры отвечает теперь за защиту информации), министр Кабинета министров Дмитрий Дубилет «отделался» комментарием «это старый софт, скоро обновим его…». Впоследствии никто из высокопоставленных чиновников наказания за произошедшее не понёс. Даже несмотря на то, что о «дыре» написали десятки СМИ не только в Украине, но и в мире.

 

Другой «звоночек», который также несправедливо остался без должного внимания: корреспондент издания ЛІГА.Tech Евгений Барилюк выяснил, что по крайней мере на момент бета-тестирования сайт и сервера государственного приложения «Дія»… располагались в США. В отличие, например, от серверов реестров Минюста и судебной власти, которые всё-таки находятся в Украине.

Хотя речь идёт о тестовом периоде, уже на тот момент для приложения оцифровали те самые 6 миллионов водительских прав и 5 миллионов техпаспортов украинских граждан. Которые, надо полагать, и оказались на американских серверах.

Сколько стоит ваша личность?

А что же с самим приложением? Можно ли доверять ПО, которое, как ожидается, установит на свой смартфон каждый «продвинутый украинец»?

«Белый хакер», скрывающийся за псевдонимом Sean Brian Townsend, который в частности сообщил о проблеме с доступом к личным данным потенциальных госслужащих, в своём недавнем фейсбук-посте разгромил саму идею «загнать» паспорта в смартфоны: «Телефон — проходной двор. Поинтересуйтесь у банкиров сколько денег было украдено через mobile banking, цифры там очень впечатляющие. Но деньги можно застраховать, можно заложить потери от краж в стоимость услуги, а сколько стоит ваша личность?… Так что вся эта «телефонизация» паспортной системы приведёт к самой грандиозной утечке данных за всю историю. Не делайте так, пожалуйста. У нас в государственных институтах и так зияющие дыры, если начать дырявые институты запихивать в дырявые устройства, то будет просто катастрофа».

В комментарии для K750 подтвердила эти опасения и Лидия Четверик, директор компании IT-SAFETY, которая специализируется на обеспечении кибербезопасности для организаций всех форм собственности. Специалисты компании отмечают, что при разработке любых мобильных приложений «приглашенными» специалистами возможно подключение сторонних библиотек или интеграция опасного кода в само ПО. Кроме того, разработчики могут оставлять «слабые места» на будущее, чтобы воспользоваться ими уже после установки.

Дмитрий Софина, CEO Winstars Technology LLC, компании, которая занимается в частности разработкой мобильных приложений, в комментарии K750 также назвал распространённой проблему, когда разработчики пытаются получить дополнительную информацию о пользователях: «Получением персональных данных грешат часто (например, приложение «калькулятор» требует доступ к вашим контактам или геоданным) для получения определённой базы для рекламы или собственных исследований, но, конечно, есть и недобросовестные разработчики, которые хотят получить банковские данные или получить информацию для шантажа».

«Выявить такой код невозможно, если никто не проводит „код-ревью“ и смотрит на так называемые „коммиты“. Если разработчик один, то отследить наличие опасного кода почти невозможно, — отмечает Лидия Четверик. — Заказчику всегда нужно следить за процессом размещения приложения в Play Market и его тестированием. Если разработчик сознательно спрятал в приложении „бэкдор“, который нельзя отследить, но он станет доступным при определенных условиях — это выявить почти невозможно для человека, который не имеет технических знаний. Перед размещением приложения, можно провести код-ревью и тестирование с проверкой логов, чтобы узнать уровень безопасности этого приложения. В этом могут помочь специалисты IT-SAFETY».

Итак, не только конкретное приложение «Дія», но и любое мобильное приложение может быть опасным и передавать личные данные «на сторону», если выполняются всего два пункта:

  • разработкой занимается сторонняя команда
  • заказчик не обладает достаточной компетенцией, чтобы контролировать и проверять работу исполнителя.

К сожалению для украинцев, в случае приложения «Дія» выполняются оба этих условия.

Министерство цифровой трансформации не только не скрывало, но и постоянно преподносило как своё достижение, что ПО «Дія» занимаются программисты EPAM. На протяжении разработки и тестирования часто говорили об этом и в самой компании EPAM.

В пресс-службе Министерства цифровой трансформации проигнорировали запрос K750 о деталях сотрудничества с EPAM. (Возможно, игнорирование связано с озвученной в октябре идеей министра Михаила Фёдорова «Традиционное понятие „пресс-служба“ должно прекратить свое существование…». С другой стороны тогда же он говорил, что «основная задача коммуникации сейчас — объяснить людям, куда движется страна и на что направлены реформы» ().

Тем не менее на запрос K750 ответили в самой EPAM Ukraine. В компании нам сообщили, что итогом работы EPAM «стало приложение с базовым функционалом, доступным пользователю, и готовой архитектурой, которая дает возможность дальнейшего расширения перечня цифровых документов и добавления других опций. Над UX/UI приложения работали коллеги из Spiilka Design Buro».

Также в команде разработчиков сообщили, что продолжат работу до конца февраля: «Мы закончим внедрение нескольких новых опций и, возможно, успеем завершить интеграцию ID-карточек. К этому сроку также планируем завершить процесс передачи знаний IТ-команде Минцифры, которую сейчас активно формируют. Приложение и вся сопутствующая документация будет передана Министерству».

IT без T

Второй пункт — технические компетенции заказчика, то есть государства в лице Минцифры — также под вопросом. Дело в том, что как бы это смешно или грустно ни звучало, но в руководстве Минцифры почти нет «технарей» и совсем нет «кодеров»-программистов или экспертов в кибербезопасности.

  • Сам министр Михаил Фёдоров, как известно, выпускник факультета социологии и управления и владелец бизнеса по SMM и digital-рекламе.
  • Мстислав Баник, которого называют руководителем проекта «Дія» — digital-маркетолог и SMM-специалист, как и сам министр.
  • Замминистра Людмила Рабчинская — юрист, до недавнего времени работала судьей и адвокатом, а её назначение сопровождалось небольшим скандалом, так как она является женой министра юстиции Дениса Малюськи.
  • Замминистра Валерия Ионан — выходец из рекламного и маркетингового бизнеса.
  • Замминистра Александр Шелестфинансист по образованию, работавший в банках и инвестиционной сфере, занимавшийся IT-направлением только как аналитик BRDO (структуры, из которой новая власть «призвала» многих специалистов, включая премьер министра Алексея Гончарука)
  • Замминистра Александр Борняков — «серийный предприниматель», основной бизнес которого — арбитраж трафика, то есть интернет-реклама.

И только первый замминистра Алексей Вискуб — «инженер-системотехник» (системный администратор) по образованию, который тем не менее с самого своего выпуска из вуза (в 2003 году) непрерывно работал только в государственных органах разного уровня.

То есть никто из руководителей министерства банально не имеет никаких навыков и знаний, чтобы разобраться в том, что за мобильное приложение «по их заказу» разрабатывают. Сам министр Михаил Фёдоров не так давно «посыпался» на довольно простом вопросе о кибербезопасности.

 

Теоретически работу министерства должен был бы контролировать соответствующий комитет Верховной Рады: пусть и не технические вопросы, но хотя бы организационные. Но и тут гражданам Украины надеяться на баланс и жёсткий контроль не приходится. Возглавляет комитет цифровой трансформации друг и партнёр Михаила Фёдорова по фирме SMM studio Михаил Крячко (тоже, к слову, гуманитарий по образованию). Ещё два места в комитете занимают однопартийцы и земляки Фёдорова и Крячко из Запорожья Сергей Штепа и Роман Соха (фотограф и финансист). В этом же комитете можно найти и старожилов украинской политики Сергея Ларина и Владимира Арьева, также имеющих  слабое отношение к IT-сфере.

Добкин, «Почта России», Лубянка

Ну и наконец стоит сказать несколько слов о EPAM, разработчике «Дія». EPAM Ukraine, официально занимавшаяся разработкой, это лишь часть международной корпорации без определенной географической привязки. Поэтому говорить о том, что государственное украинское приложение создавалось силами украинских же программистов — по крайней мере рано.

В частности EPAM успешно работает в России, является одним из крупнейших в РФ разработчиков и… получает заказы от российских государственных органов на разработку систем, близких по сути к электронному правительству. EPAM как корпорация не был замечен в каких-то особо тёплых отношениях с Кремлём, но очевидно, что без согласия «оттуда» компания не могла бы и оставаться одним из лидеров России в такой сфере как высокие технологии. Президент и сооснователь EPAM Аркадий Добкин, к тому же входит в руководство некоммерческой организации с говорящим названием «Руссофт», а работу корпорации в странах бывшего СССР координирует россиянин Василий Агафонов.

Мы не можем утверждать, использовались ли для приложения «Дія» наработки компании для правительств других стран, включая Россию и Казахстан, или участие программистов из России. Но, к сожалению, не можем и исключать этого. В EPAM нам сообщили следующее: «Хотя EPAM и имеет опыт разработки цифровых решений для других государств, приложение „Дія“ было создано без ориентирования на конкретные программные продукты, которые существуют на рынке. Основой для приложения, его функционала, пользовательского опыта стала концепция, предложенная Министерством цифровой трансформации».

Напомним, что одной из главных причин запрета российского программного обеспечения в Украине (антивирусов, бухгалтерских программ и т.д.) были не экономические санкции или риск пропаганды, а… интересы кибербезопасности! Указанное ПО могло беспрепятственно собирать и отправлять «третьим лицам» не только личные данные украинцев, но и информацию с рабочих компьютеров на предприятиях и в органах власти.

(смотреть с 7:30)

«Если есть хоть малейшая вероятность, что на разработку приложения „Дія“ хотя бы „одним глазком посмотрели“ программисты из России или связанные с Россией, это вызывает очень большую обеспокоенность, — отметил в комментарии K750 эксперт по вопросам кибербезопасности, пожелавший сохранить конфиденциальность. — Приложение получит доступ к десяткам миллионов документов украинцев, а в перспективе — вероятно и к данным на смартфонах, и к геолокации, и к платежным данным (ведь уже анонсирована возможность покупать через приложение билеты на поезд). Если есть риск, что такая информация будет „утекать“ за границу, то с таким же успехом базы данных можно было просто передать на Лубянку или в Кремль».

Святослав Григорьев

Фото на обложке https://promining.net/

Читайте также: Министерство цифровой информации открыло выставку о безопасности детей в Сети. Что с этой выставкой не так?

 

P.S. Дмитро Софина, CEO Winstars Technology LLC, про правила безпеки при робті з мобільними додатками:

1. Завантажуйте додатки лише перевірений компаній (Apple, Google, Microsoft або Вашого банку чи мобільного оператору і т.д.);
2. Перевіряйте уважніше, інформацію про виробника додатку, особливо в інтернеті. Чи має він ділову репутацію, чи дійсно продаж додаткові це бізнес для компанії цієї і т.д.;
3. Зверніть уваги які доступи вимагає застосунок. Якщо гра хоче отримати доступ до ваших медіа файлів чи контактів, то потрібно задуматись, навіщо це їй;
4. Максимально уважно потрібно ставитись до безкоштовних додатків, так як гарний продукт має на меті заробіток і все що безкоштовно не завжди добре;
5. Шахраї часто не роблять продукт ідеальний, тому обирайте дійсно потужні додатки, де видно складну і довгу роботу + оцінки та коментарі….

І навіть після цього, уважно дивіться, за активністю Вашого додатку, благо сучасні OS Android та iOS дозволяють це промоніторити, і самі не залишайте в телефоні ті речі, які можуть бути використані проти Вас (паролі, банківські дані, таємниці, компрометуючий контент і т.д.).