Привид "Петі": Чому розробники "Дії" повинні переконати нас у її кібербезпеці

У додатку вже можна завантажити цифрові водійські права та техпаспорт, до кінця року влада обіцяє оцифрувати ще 50 найпопулярніших послуг. У тестовому режимі створили кабінет забудовника, де алгоритм вирішуватиме: давати ліцензію на будівництво, чи ні. Зовсім скоро українці також отримають доступ до внутрішніх та закордонних цифрових паспортів. Також у планах влади можливість голосувати на виборах прямо через смартфон.

Здається, це справді цифрова революція – обіцяна "держава у смартфоні". Втім, після масштабної хакерської атаки 2017-го року, страшно навіть уявити, що буде, якщо до функціоналу з документами українців чи можливістю голосувати отримають доступ зловмисники.

Додаток розробили за кошти міжнародних організацій-донорів, також у його створенні на волонтерських засадах взяли участь деякі українські ІТ-компанії. На сайті сервісу зазначається, що зберігати свої дані тут цілком безпечно, бо "Дія" – добре захищена платформа.

"Вона розташована в надійному дата-центрі та відповідає світовим стандартам захисту від кіберзагроз. Крім того, "Дія" зберігає мінімум інформації про своїх користувачів. Усі дані ми передаємо й зберігаємо виключно у шифрованому вигляді, а для частини критичних даних використовуємо блокчейн-технологію розподіленого зберігання даних. Нічого кращого у світі поки не придумали", – переконують засновники.

Загальною фразою обмежився і співзасновник додатку Володимир Брусіловський: "Ми досить ґрунтовно вивчали питання, щоб не було витоку ніяких персональних даних, зменшили всі можливі ризики".

Втім, фахівець з інформаційної безпеки з 20-річним досвідом, організатор щорічної конференції з кібербезпеки UISGCON Костянтин Корсун вважає, для того, щоб назвати якийсь додаток безпечним, треба це спочатку довести.

"Розробники заявляють, що додаток безпечний, але це голослівне твердження, яке потребує певних доказів. Треба назвати, які заходи безпеки було вжито, як це перевірялося, хто, які компанії чи люди, назвати прізвища. Також чув певні відгуки професійної спільноти, що є підозри – з кодом додатку і самою архітектурою є проблеми", – розповідає Корсун.

Фото: Костянтин Корсун/Facebook

Коли розробляються додатки, пояснює експерт, то перед релізом вони надаються незалежній спеціалізованій компанії на тестування на предмет безпеки. Потім усуваються недоліки, здійснюється повторне тестування, знову усуваються недоліки, і після цього вже має відбутися повноцінний реліз. Або ж не відбутися, якщо є великі проблеми з безпекою.

"Мені здається, що цим розробники "Дії" не заморочувались, тому я вважаю, що безпечним вважати цей додаток поки не можна. Головна проблема – абсолютна більшість розробників спочатку пишуть додаток, а потім "натягують" на нього безпеку. А має бути навпаки, щоб безпека враховувалась вже під час проектування, архітектури і розробки самого додатку, на кожному етапі", – каже Корсун.

Натомість, він зазначає, що якщо "натягнути" безпеку на вже готовий додаток, то коректно це не працюватиме і розробники будуть змушені постійно латати дірки у системі.

"Я не певен, як скоро, але проблеми з безпекою безумовно вилізуть. Можливо це станеться пізніше, бо з програмним забезпеченням "M.E.Doc" було все гаразд кілька років, аж поки не вибухнуло так, що третина економіки України не працювала кілька місяців (атака вірусом Not.Petya у 2017 році, – ред.). У них там не було ніякої безпеки і розуміння, всі думали, що все нормально працює і нічого не відбувається. А потім бабах – і все відбулось. Так само може бути і тут", – зауважив експерт.

В мережі активно обговорюють безпеку додатку, думки людей розділились. Користувач Ігор Бігдан написав: "Взагалі говорити про захищеність і якість коду можна буде лише після публікації цього коду на гітхабі. А до того це гра в вірю/не вірю".

"Пригадую сторінки історії, як люди були проти автомобілів, літаків і машин! Що тільки вони не писали і не говорили тоді! Забороняли усіма силами і методами! Особливо мужики в рясах старалися ... Але, час їх перетер у порох. Так буде зараз", – пише натомість Микола Омельченко.

Міністр цифрової трансформації України Михайло Федорів у своїй колонці переконує, що захист персональних даних у мобільному застосунку "Дія" виконаний за кращими практиками безпеки для рішень такого типу, використано підхід "глибокого захисту" (defense-in-depth).

"Крім того, разом з IT-фахівцями EPAM ми серйозно підійшли до тестування нашого застосунку. Зокрема, провели так звані пен-тести, тобто тестування безпеки програми.  По суті ми спробували, в тому числі – із залученням зовнішніх ІТ-фахівців, "хакнути" "Дію", щоб виявити всі вразливі місця. Це дозволяє мені сказати, що "Дія" на сьогоднішній день є достатньо захищеним застосунком", – зазначив він.

 

Загалом, користуватися додатком "Дія" чи ні – кожен обере сам, адже якщо у систему проникнуть зловмисники, наслідки можуть бути масштабні. Водночас, цілі у розробників амбітні, тож якщо додаток виявиться достатньо захищеним – це буде справжній цифровий прорив.