Привид "Петі": Чому розробники "Дії" повинні переконати нас у її кібербезпеці
За чотири дні після презентації мобільного додатку "Дія" його завантажили понад мільйон користувачів – такою кількістю похвалилися у міністерстві цифрової трансформації
- Головна
-
17 лютого 2020 14:00
У додатку вже можна завантажити цифрові водійські права та техпаспорт, до кінця року влада обіцяє оцифрувати ще 50 найпопулярніших послуг. У тестовому режимі створили кабінет забудовника, де алгоритм вирішуватиме: давати ліцензію на будівництво, чи ні. Зовсім скоро українці також отримають доступ до внутрішніх та закордонних цифрових паспортів. Також у планах влади можливість голосувати на виборах прямо через смартфон.
Здається, це справді цифрова революція – обіцяна "держава у смартфоні". Втім, після масштабної хакерської атаки 2017-го року, страшно навіть уявити, що буде, якщо до функціоналу з документами українців чи можливістю голосувати отримають доступ зловмисники.
Додаток розробили за кошти міжнародних організацій-донорів, також у його створенні на волонтерських засадах взяли участь деякі українські ІТ-компанії. На сайті сервісу зазначається, що зберігати свої дані тут цілком безпечно, бо "Дія" – добре захищена платформа.
"Вона розташована в надійному дата-центрі та відповідає світовим стандартам захисту від кіберзагроз. Крім того, "Дія" зберігає мінімум інформації про своїх користувачів. Усі дані ми передаємо й зберігаємо виключно у шифрованому вигляді, а для частини критичних даних використовуємо блокчейн-технологію розподіленого зберігання даних. Нічого кращого у світі поки не придумали", – переконують засновники.
Загальною фразою обмежився і співзасновник додатку Володимир Брусіловський: "Ми досить ґрунтовно вивчали питання, щоб не було витоку ніяких персональних даних, зменшили всі можливі ризики".
Втім, фахівець з інформаційної безпеки з 20-річним досвідом, організатор щорічної конференції з кібербезпеки UISGCON Костянтин Корсун вважає, для того, щоб назвати якийсь додаток безпечним, треба це спочатку довести.
"Розробники заявляють, що додаток безпечний, але це голослівне твердження, яке потребує певних доказів. Треба назвати, які заходи безпеки було вжито, як це перевірялося, хто, які компанії чи люди, назвати прізвища. Також чув певні відгуки професійної спільноти, що є підозри – з кодом додатку і самою архітектурою є проблеми", – розповідає Корсун.
Фото: Костянтин Корсун/Facebook
Коли розробляються додатки, пояснює експерт, то перед релізом вони надаються незалежній спеціалізованій компанії на тестування на предмет безпеки. Потім усуваються недоліки, здійснюється повторне тестування, знову усуваються недоліки, і після цього вже має відбутися повноцінний реліз. Або ж не відбутися, якщо є великі проблеми з безпекою.
"Мені здається, що цим розробники "Дії" не заморочувались, тому я вважаю, що безпечним вважати цей додаток поки не можна. Головна проблема – абсолютна більшість розробників спочатку пишуть додаток, а потім "натягують" на нього безпеку. А має бути навпаки, щоб безпека враховувалась вже під час проектування, архітектури і розробки самого додатку, на кожному етапі", – каже Корсун.
Натомість, він зазначає, що якщо "натягнути" безпеку на вже готовий додаток, то коректно це не працюватиме і розробники будуть змушені постійно латати дірки у системі.
"Я не певен, як скоро, але проблеми з безпекою безумовно вилізуть. Можливо це станеться пізніше, бо з програмним забезпеченням "M.E.Doc" було все гаразд кілька років, аж поки не вибухнуло так, що третина економіки України не працювала кілька місяців (атака вірусом Not.Petya у 2017 році, – ред.). У них там не було ніякої безпеки і розуміння, всі думали, що все нормально працює і нічого не відбувається. А потім бабах – і все відбулось. Так само може бути і тут", – зауважив експерт.
В мережі активно обговорюють безпеку додатку, думки людей розділились. Користувач Ігор Бігдан написав: "Взагалі говорити про захищеність і якість коду можна буде лише після публікації цього коду на гітхабі. А до того це гра в вірю/не вірю".
"Пригадую сторінки історії, як люди були проти автомобілів, літаків і машин! Що тільки вони не писали і не говорили тоді! Забороняли усіма силами і методами! Особливо мужики в рясах старалися ... Але, час їх перетер у порох. Так буде зараз", – пише натомість Микола Омельченко.
Міністр цифрової трансформації України Михайло Федорів у своїй колонці переконує, що захист персональних даних у мобільному застосунку "Дія" виконаний за кращими практиками безпеки для рішень такого типу, використано підхід "глибокого захисту" (defense-in-depth).
"Крім того, разом з IT-фахівцями EPAM ми серйозно підійшли до тестування нашого застосунку. Зокрема, провели так звані пен-тести, тобто тестування безпеки програми. По суті ми спробували, в тому числі – із залученням зовнішніх ІТ-фахівців, "хакнути" "Дію", щоб виявити всі вразливі місця. Це дозволяє мені сказати, що "Дія" на сьогоднішній день є достатньо захищеним застосунком", – зазначив він.
Загалом, користуватися додатком "Дія" чи ні – кожен обере сам, адже якщо у систему проникнуть зловмисники, наслідки можуть бути масштабні. Водночас, цілі у розробників амбітні, тож якщо додаток виявиться достатньо захищеним – це буде справжній цифровий прорив.
Більше новин про події в Україні та світі на Depo.ua
Всі новини на одному каналі в Google News
- 10:18Обстріли не вщухають: На Сумщині за добу поранено 5 людей ФОТО
- 09:50Удар по Одесі 24 квітня: Одна людина постраждала, пошкоджено 30 будинків
- 09:40Минулої доби окупанти 428 разів завдали удари по території Запорізької області
- 09:30Як оформити кредит, якщо банки вам не довіряють PROMO
- 09:01Низку вулиць в Одесі перекрито після ранкового удару по місту
- 08:51Юлія Тимошенко і "Батьківщина" вимагають негайної відставки Сольського з посади міністра аграрної політики та продовольства
- 08:50Обстріли на Харківщині: Синєгубов повідомив деталі ударів по інфраструктурі ФОТО
- 08:18ЗСУ впродовж доби ліквідували 880 російських вояків
- 07:44Постраждалих уже шестеро: Прокуратура показала наслідки ракетного удару по Харкову ФОТО
- 07:28 Росіяни вночі 24 квітня ракетами обстріляли житловий квартал у Харкові Відео
- 00:01Володарка "Оскару" назвала найгірший спосіб перевірити "хімію" між акторами
- 22:21"Слуги" бояться громади Києва, засідання ТСК проти Києва проходять за закритими дверима, - Білоцерковець показав відео Відео
- 22:08 В МЗС пояснили, яки послуги будуть надавати чоловікам за кордоном
- 22:05 Менше 30 годин: Сенат США вирішив не розтягувати голосування за допомогу Україні
- 20:05 Активні атаки на трьох напрямках: в Генштабі розповіли про ситуацію на фронті
- 19:18 Данія спрямує 420 мільйонів євро на відновлення енергетики в Україні
- 18:25В Украіні почали масово подавати на перереєстрацію авто, - МВС
- 18:24Аналітика NV: бізнеси Ріната Ахметова спрямували найбільше коштів на підтримку ЗСУ
- 16:43На це будуть витрачені мільйони: кияни пропонують дізнатися думку містян щодо знесення Арки у столиці