За вами следят: Что не так с сервисом "ДиЯ"

С момента презентации сервиса "ДиЯ" прошло уже три месяца, его функционал понемногу увеличивается, а само приложение скачали более 3 млн человек.

Впрочем, чем больше личных данных обрабатывает "ДиЯ", тем больше интересует безопасность использования этого сервиса.

Так, недавно разгорелся скандал с утечкой базы в 26 млн водительских удостоверений, паролей и персональных данных. Любой может проверить ее в Телеграм-боте. В сети заговорили о том, что в открытый доступ информация попала через сервис "ДиЯ". Председатель Минцифры Михаил Федоров информацию опроверг. По его словам, "ДиЯ" не формирует базы данных, к тому же, речь идет об устаревшей информации, которая уже несколько лет доступна в даркнете.

И если в этот раз, похоже, "ДиЯ" и впрямь не виновата, в общем с работой приложения связано немало нюансов.

Так, серверы портала "ДиЯ" находятся в Украине, а для дополнительной защиты разработчики используют инфраструктуру компании Amazon, которая частично расположена в Германии. В то же время, для оптимизации трафика, "ДиЯ" использует сертификат американской компании Cloudflare.

Специалист по информационной безопасности с 20-летним опытом, организатор ежегодной конференции по кибербезопасности UISGCON Константин Корсун отмечает: использовать Cloudflare, Amazon или услуги других известных международных провайдеров – это хорошо с точки зрения безопасности и соотношения цена-качество, но это косвенно противоречит требованиям действующего законодательства.

Так, по его словам, согласно статье 8 закона Украины "о защите информации в информационно-телекоммуникационных системах", которая говорит, что государственный информационный ресурс, которым бесспорно являются все программные продукты "ДиЯ", должен использовать комплексную систему защиты информации с подтвержденным соответствием.

"По мнению специалистов, разработать такую комплексную систему для государственного информационного ресурса с использованием зарубежных облачных провайдеров невозможно. Я просил представителей "ДиЯ" показать аттестат соответствия на комплексную систему защиты, хотя сам выступал против этой системы как устаревшего набора устаревших правил, которые совсем не отражают современных тенденций кибербезопасности. Но даже этого устаревшего г*на Минцифры, которому подчиняется Государственная служба специальной связи и защиты информации Украины, которая выдает эти аттестаты соответствия, даже этого они не сделали", – говорит Корсун.

Он объясняет, что работу государственного информационного ресурса без этого аттестата нельзя проводить, а его нет.

Впрочем, это еще не все несоответствия сервиса "ДиЯ", дело в том, что облачные провайдеры преимущественно зарегистрированы на территории США или других стран, и находятся под их юрисдикцией. Поэтому, если правоохранительные органы запросят что-то у компании относительно этого трафика, который у них проходит – компания его отдаст.

"В Минцифры утверждают, что данные зашифрованы, но какой длиной ключа они зашифрованы, насколько сложно их было бы расшифровать, особенно со стороны облачного провайдера? Особенно по запросу правоохранительных органов США. Трафик от украинского пользователя идет к Cloudflare и Amazon, возвращается снова на украинский хостинг и потом уже возвращается обратно к пользователю. Как обеспечена безопасность этого всего, насколько вообще законно принудительно разворачивать трафик государственного украинского ресурса через зарубежный хостинг и каким образом обеспечивается его безопасность с той стороны от перехвата, шифрования, запроса иностранных правоохранительных органов?", – отмечает эксперт.

То есть получается, что наш трафик будет условно доступен другим государствам, а в этом трафике множество персональных данных украинцев.

На странице Константина Корсуна в Facebook он начал дискуссию на эту тему среди коллег, и в комментарии "пришел" советник вице-премьер-министра, министра цифровой трансформации и руководитель проекта "ДиЯ" Мстислав Баник. Он заверил, что с безопасностью сервиса "ДиЯ" все в порядке.

"Защита персональных данных на портале "ДиЯ" выполнена согласно лучшим практикам безопасности для решений такого типа, использован подход "глубокой защиты" (defense-in-depth). Также проведены соответствующие пен-тесты, то есть тестирование безопасности приложения. Архитектура сервиса "ДиЯ" построена таким образом, что на серверной части программы не осуществляется постоянное хранение персональных данных пользователей. При этом информация в каналах передачи данных передается в зашифрованном виде, а на некоторых этапах – используется двойное шифрование", – написал Баник.

Впрочем, никакой конкретики он не предоставил, и на вопрос Корсуна не ответил, зато попытался успокоить: "Не волнуйтесь, все моменты мы предусмотрели. Все подробности мы расскажем позже. Следите за новостями!".

Тем временем, 29 марта Кабмин внес изменения в постановление № 211 "О предотвращении распространения на территории Украины острой респираторной болезни COVID-19, вызванной коронавирусом SARS-CoV-2". В документе с изменениями в пункте №8 говорится: Министерству цифровой трансформации к 5 апреля 2020 г. разработать и внедрить электронный сервис для проведения мониторинга соблюдения самоизоляции и/или обсервации лицами, указанными в пунктах 3-1 и 3-2 настоящего постановления.

Так, единый государственный веб-портал электронных услуг, а именно портал "ДиЯ", получил разрешение следить за украинцами. В документе говорится о периоде карантина, но функции слежения, вероятно, будут сохранены и в дальнейшем.

Поэтому пока все больше украинцев, благодаря новым функциям, будут загружать приложение "ДиЯ" на свои смартфоны и вносить туда свои данные – спецслужбы Украины будут получать все больше возможностей отслеживать каждый их шаг.

Министр цифровой трансформации Михаил Федоров пояснил, что в течение 14 дней человеку, который находится на обсервации, будет приходить до 10 push-сообщений в день. Нужно будет сделать свое фото, и во время осуществления фотографии будет включаться геолокация.

"Если будет нарушен режим карантина, а неиспользование приложения по сути будет нарушением режима карантина, уже существуют определенные урегулированные суммы штрафов, которые человеку нужно будет заплатить", – добавил Федоров.

"Я и несколько коллег с самого начала поняли, что это приложение на копейку даст вам каких-то преимуществ, но на гривну вам добавляет проблем. Потому что вы сами отдаете товарищу майору все свои данные, актуализируете их, уточняете, и сами отдаете контролирующим правоохранительным органам мощный инструмент слежения за собой", – говорит Константин Корсун.

Он добавляет, что украинцы не могут знать, какие права и какие привилегии имеет установленное приложение "ДиЯ", публичных доказательств безопасности, приватность и анонимность доказательств такой безопасности не предоставлено.

"Кроме того, что не было убедительных доказательств его безопасности, внешних условно преступников хакеров, анонимность и приватность – это тоже очень важно. Многие наши соотечественники пренебрегают ими, но вот теперь все увидят, как это приложение может быть использовано против пользователя. Например, ты войдешь в какую-то зону, а тебе телефон будет кричать "стой, назад, вы оштрафованы", я не знаю, что еще можно нафантазировать относительно того, что может делать это приложение. Может, оно заблокирует телефон или вызовет полицию и привяжет к вашей геолокации", – отметил Корсун.

Так, эксперт считает, что сервис "ДиЯ" изначально был "полицейским" приложением и не рекомендует спешить его устанавливать.

Сначала создатели "ДиЯ" не давали четких ответов о защите программы и кода, ссылаясь на тестовый режим, впоследствии – просто красноречиво убеждали, что у них все в порядке. Чего ждать теперь, когда сервис "ДиЯ" начнут использовать для шпионажа за украинцами?