Что нужно знать о безопасности государственного приложения Дія

О запуске приложения «Дія» слышал чуть ли не каждый украинец. В основном слышали то, что это и есть то самое «государство в смартфоне». Но что известно о его безопасности? — Павел Белоусов, эксперт Школы цифровой безопасности DSS380 на NV.ua.

Напомним, k750 ранее посвятил большой материал теме (не)безопасности приложения “Дія”.

На данный момент в приложении «Дія» доступны водительские права и «техпаспорт» в электронном виде.

Пока что это маленькая часть того, что оцифровали из запланированного, но вот уже к весне, например, в приложение обещают добавить ID паспорт и студенческий. И тут точно многие зададутся (хотелось бы верить) вопросом — а что же с безопасностью данных и можно ли вообще вот этому всему доверять?

Действительно, вопрос безопасности данных как никогда актуален. Рассмотрим, что на сегодня нам известно о потенциальных угрозах для пользователей «Дія».

Первое, что у меня спрашивают — безопасно ли передавать приложению свой налоговый номер, имя с фамилией, почту и так далее (сейчас эти данные передаются в момент авторизации через приложение банка).

Однозначного ответа у меня нет, но если разбираться и строить разные теории — можно уйти в глубокую философию.

Сейчас нормально (опять же, как «нормально» — у каждого свое понимание), что жить в Украине без паспорта, налогового номера, мобильного телефона и так далее — не очень удобно, скажем так.

Опасно ли государству (приложению «Дія») передавать эти данные? Все просто: если государство эти данные вам присвоило и выдало, — естественно, эти данные у него и так есть. И даже больше данных. Если государство (или кто-то, кто имеет доступ к этим данным изнутри) вами заинтересуется — информацию о вас соберут и без «Дії». Да и если вспомнить 37-й год, то «аналоговыми» методами тоже запросто можно решить подобную задачу.

Самое главное в этом случае, чтобы данные внутри государства были надежно защищены, доступ к ним имел ограниченный круг людей с фиксацией обращения к ним. В таком случае, вероятность «слива» или агрегации уменьшается.

Второе. Надежный ли разработчик?

Известно, что проектом занимались разработчики из украинского EPAM (на волонтерских началах).

Конечно, EPAM — серьезные ребята и они вряд ли будут рисковать своим именем, делая приложение «на коленке». Но проводился ли независимый аудит? Тесты на безопасность? Если же тесты были, — кто их проводил, сколько раз и на каких этапах?

Если мы этого не знаем — как правило, не доверяем по умолчанию. Да и теперь EPAM отходит от разработки приложения и ее продолжит государственная IT-компания DIIA.

Выводы делать пока рано, но, еще раз, компания — государственная, зарплаты, вероятно, будут ниже рыночных. Кто пойдет на эти должности? Посмотрим. Хотя уже сейчас заметно, что после публичного запуска государственные реестры не выдерживают нагрузки, а «Электронный кабинет водителя» у многих пользователей не открывается в первые дни работы приложения.

Что может быть еще — покажет время. Наверняка, мошенники смогут найти способы, как использовать «Дію» в своих «темных делах».

Если они уже сейчас легко угоняют SIM-карты и воруют деньги со счетов, то теперь, захватив доступ к интернет-банкингу (через перевыпуск SIM-карты), смогут авторизоваться в приложении «Дія», получить доступ к правам, техпеспорту, а позже и к паспорту, и ко всему другому, что планируют внедрить.

Какого рода ущерб смогут нанести — будет видно позже. Поэтому, не дожидаясь первых кейсов — нужно хотя бы привязать свою SIM-карту к паспорту.

В итоге. Я сам пользуюсь приложением еще с бета-теста и считаю, что проект нужный, а старт хороший. Но всегда нужно быть на чеку, понимать что как работает и отдавать себе отчет, в том, что всегда есть риски.

Планировалось, что продукт будет массовым, а потому — должен быть простым и удобным (а как мы знаем, «безопасность удобной не бывает»). Если вы не знаете для чего вам это приложение или вы привыкли к бумажным документам и оффлайновым процессам — подумайте, а нужно ли оно вам вообще.

Во всяком случае на данном этапе.

Leave a Reply