За вами стежать: Що не так із сервісом "Дія"

Від презентації сервісу "Дія" минуло вже три місяці, його функціонал потрохи збільшується, а сам застосунок завантажили понад 3 млн людей.

Втім, що більше особистих даних опрацьовує "Дія", то більше цікавить безпечність використання цього сервісу.

Так, щойно розгорівся скандал зі злиттям бази у 26 млн водійських посвідчень, паролів і персональних даних. Будь-хто може перевірити її в Телеграм-боті. У мережі заговорили про те, що у відкритий доступ інформація потрапила через "Дію". Голова Мінцифри Михайло Федорів інформацію спростував. За його словами, "Дія" не формує бази даних, до того ж, йдеться про застарілу інформацію, що вже кілька років доступна у даркнеті.

І якщо цього разу, схоже, "Дія" і справді не винна, загалом з роботою додатку пов'язано чимало нюансів.

Так, сервери порталу "Дія" знаходяться в Україні, а для додаткового захисту розробники використовують інфраструктуру компанії Amazon, яка частково розташована в Німеччині. Водночас, для оптимізації трафіку "Дія" використовує сертифікат американської компанії Cloudflare.

Фахівець з інформаційної безпеки з 20-річним досвідом, організатор щорічної конференції з кібербезпеки UISGCON Костянтин Корсун зазначає: використовувати Cloudflare, Amazon чи послуги інших відомих міжнародних провайдерів – це добре з точки зору безпеки і співвідношення ціна і якість, але це опосередковано протирічить вимогам чинного законодавства.

Так, за його словами, згідно зі статтею 8 закону України "про захист інформації в інформаційно-телекомунікаційних системах", яка каже, що державний інформаційний ресурс, яким безперечно є всі програмні продукти "Дії", повинен використовувати комплексну систему захисту інформації з підтвердженою відповідністю. 

"На думку фахівців, розробити таку комплексну систему  для державного інформаційного ресурсу з використанням закордонних хмарних провайдерів неможливо. Я просив представників "Дії" показати атестат відповідності на комплексну систему захисту, хоча сам виступав проти цієї системи як застарілого набору застарілих правил, які зовсім не відображають сучасних тенденцій кібербезпеки. Але навіть цього застарілого ла*на Мінцифри, якому підпорядковується Державна служба спеціального зв'язку та захисту інформації України, яка видає ці атестати відповідності, навіть цього вони не зробили", – каже Корсун.

Він пояснює, роботу державного інформаційного ресурсу без цього атестату не можна проводити, а його немає.

Втім, це ще не всі невідповідності "Дії", справа у тому, що хмарні провайдери переважно зареєстровані на території США чи інших країн, та перебувають під їхньою юрисдикцією. Тож якщо правоохоронні органи запитають щось у компанії щодо цього трафіку, який у них проходить – компанія його віддасть.

"У Мінцифри стверджують, що дані зашифровані, але якою довжиною ключа вони зашифровані, наскільки складно їх було б розшифрувати, особливо з боку хмарного провайдера? Особливо за запитом правоохоронних органів США. Трафік від українського користувача йде до Cloudflare і Amazon, повертається знову на український хостинг і потім уже повертається назад до користувача. Як забезпечена безпека цього всього, наскільки взагалі законно примусово завертати трафік державного українського ресурсу через закордонний хостинг і яким чином забезпечується його безпека з тієї сторони від перехоплення, шифрування, запиту іноземних правоохоронних органів?", – зазначає експерт.

Тобто виходить, що наш трафік буде умовно доступний іншим державам, а в цьому трафіку безліч персональних даних українців.

На сторінці Костянтина Корсуна у Facebook він розпочав дискусію на цю тему серед колег, та у коментарі "прийшов" радник віцепрем'єр-міністра міністра цифрової трансформації та керівник проекту у "Дія" Мстислав Банік. Він запевнив, що з безпекою "Дії" все гаразд.

"Захист персональних даних на порталі" Дія" виконаний за кращими практиками безпеки для рішень такого типу, використаний підхід "глибокого захисту" (defense-in-depth). Також проведено відповідні пен-тести, тобто тестування безпеки додатку. Архітектура "Дії" побудована таким чином, що на серверної частині програми не здійснюється постійне зберігання персональних даних користувачів. При цьому інформація в каналах передачі даних передається в зашифрованому вигляді, а на деяких етапах – використовується подвійне шифрування", – написав Банік.

Втім, жодної конкретики він не надав та на питання Корсуна не відповів, натомість спробував заспокоїти: "Не хвилюйтесь всі моменти ми передбачили. Всі подробиці ми розкажемо згодом. Слідкуйте за новинами!".

Тим часом, 29 березня Кабмін вніс зміни до постанови № 211 "про запобігання поширенню на території України гострої респіраторної хвороби COVID-19, спричиненої коронавірусом SARS-CoV-2". У документі зі змінами у пункті №8 зазначається: Міністерству цифрової трансформації до 5 квітня 2020 р. розробити та впровадити електронний сервіс для проведення моніторингу додержання самоізоляції та/або обсервації особами, зазначеними у пунктах 3-1 і 3-2 цієї постанови.

Так, єдиний державний веб-портал електронних послуг, а саме портал "Дія", отримав дозвіл стежити за українцями. У документі йдеться про період карантину, та функції стеження, ймовірно, будуть збережені і надалі. 

Тож поки все більше українців завдяки новим функціям будуть завантажувати додаток "Дія" на свої смартфони і вносити туди свої дані – спецслужби України отримуватимуть все більше можливостей відстежувати кожен їхній крок.

Міністр цифрової трансформації Михайло Федоров пояснив, що упродовж 14 днів людині, яка знаходиться на обсервації, буде приходити до 10 push-повідомлень на день. Потрібно буде зробити своє фото, і під час здійснення фотографії буде включатися геолокація. 

"Якщо буде порушено режим карантину, а невикористання додатку по суті буде порушенням режиму карантину, вже існують певні врегульовані суми штрафів, які людині потрібно буде заплатити", – додав Федоров.

"Я і кілька колег від початку зрозуміли, що цей додаток на копійку дає вам якихось переваг, але на гривню вам додає проблем. Бо ви самі віддаєте товаришу майору всі свої дані, актуалізуєте їх, уточнюєте, і самі віддаєте правоохоронним контролюючим органам потужний інструмент стеження за собою", – каже Костянтин Корсун.

Він додає, що українці не можуть знати, які права і які привілеї має встановлений додаток "Дія", публічних доказів безпечності, приватності і анонімності доказів такої безпечності не було надано.

"Крім того, що не було переконливих доказів його безпечності, зовнішніх умовно злочинців хакерів, анонімність і приватність – це теж дуже важливо. Багато наших співвітчизників нехтують ними, але ось тепер всі побачать, як цей додаток може бути використаний проти користувача. Наприклад, ти увійдеш у якусь зону, а тобі телефон буде кричати "стій, назад, ви оштрафовані" я не знаю, що ще можна нафантазувати що може робити цей додаток. Може він заблокує телефон чи викличе поліцію і прив’яже до вашої геолокації", – зазначив Корсун.

Так, експерт вважає, що "Дія" від початку була "поліцейським" додатком і не рекомендує поспішати його встановлювати.

Спочатку творці "Дії" не давали чітких відповідей про захист програми та коду,посилаючись на тестовий режим, згодом – просто красномовно переконували, що у них все гаразд. Чого чекати тепер, коли "Дію" почнуть використовувати для шпигування за українцями?