Ранішепублікували інформацію щодо «22 головних недоліка додатку Дія» від фахівців в галузях IT та кібербезпеки й надсилали запит до Мінцифри з проханням пояснити кожний з пунктів документу. «Дія» дала розгорнуту відповідь. Заступник Міністра цифрової трансформації Олексій Вискуб роз’яснив кожен випадок. Ось чому, на його думку, це фейк.
Його відповіді не редаговані.
Перегляньте також:
- Основні деструктивні наративи про мобілізацію, які поширює ворог
- У “Дії” запустили рекрутинг до Армії дронів без ТЦК і ВЛК
1. Суттєві дефекти архітектури додатку «Дія»
Зауваження:
В додатку «Дія» порушений один з базових принципів в царині віддаленої (електронної) ідентифікації — розмежування інструментів ідентифікації за рівнями довіри.
Наприклад, для ідентифікації користувача високого рівня довіри, яким має бути власник цифрового паспорту, в «Дії» дозволено використовувати BankID — програмний інструмент з всього лише середнім рівнем довіри. Між тим неодноразово доведено, що BankID в нинішньому вигляді не забезпечує достатньої безпеки і є вразливим для примітивних атак. У випадку інцидентів з використанням BankID у кредитно-фінансовій сфері можливі втрати користувачів теоретично можуть бути компенсовані за рахунок фінансових та банківських установ, які підтримують даний інструмент.
Внаслідок використання BankID для ідентифікації користувача «Дії» порушено принцип розмежування рівнів довіри. Інструменти з високим рівнем довіри можуть бути використані для ідентифікації користувачів цифрових сервісів, що потребують середнього та низького рівнів довіри. Інструменти середнього рівня довіри можуть бути використані для ідентифікації користувачів сервісів, для яких достатньо низького рівня довіри. В «Дії» все зроблено навпаки: інструментами середнього та низького рівня довіри ідентифікують користувачів найбільш критичних сервісів, а саме цифрових документів, що засвідчують особу.
Подібні помилки становлять потенційну загрозу для користувачів програм та мобільних додатків, де порушено вищезгаданий принцип розмежування рівнів довіри. За будь-яких обставин електронний ідентифікаційний документ, — наприклад, електронний паспорт для виїзду за кордон — має бути захищеним виключно засобами найвищого рівня довіри, чого що не можна сказати про чинний додаток «Дія».
Відповідь:
Зміст даного зауваження немає взагалі жодного відношення до архітектури мобільного застосунку, що вже викликає купу питань щодо «експертності» цих зауважень та розуміння авторами даної тематики в цілому. Описані в цьому пункті зауваження стосуються використання засобів електронної ідентифікації користувачів, а ніяк не архітектури мобільного застосунку. Тож формулювання такої назви пункту із зауваженням є або свідомою маніпуляцією з метою нагнітання, або нерозумінням базових питань.
Щодо змісту пункту, то для початкової електронної ідентифікації користувачів у мобільному застосунку «Дія», серед інших, використовується схема електронної ідентифікації BankID з середнім рівнем довіри від Національного банку України. Такі схеми зазвичай використовуються для некритичних електронних сервісів, результати надання яких не можуть призвести до набуття, зміни чи припинення прав та/або здійснення обов’язків користувача. Наприклад, отримання інформації про себе з державних реєстрів.
Очевидно, що після ідентифікації користувачу мобільного застосунку «Дія» доступні сервіси, що повністю відповідають середньому рівню довіри, а саме: доступ до цифрового паспорта, цифрового посвідчення водія, можливість замовити ковідний сертифікат, отримати інформацію про штрафи, судові засідання тощо. Всі ці сервіси фактично є відображенням користувачу даних про нього з різних державних реєстрів та інформаційних систем. Нарешті громадяни отримали можливість доступу до інформації про себе.
Окремо звертаємо увагу, що цифровий паспорт відображає дані з демографічного реєстру відповідного біометричного паспорта громадянину, а не є новим документом. Безпосереднє використання цифрового паспорта в банках, на пошті, у подорожах тощо, безумовно, є сервісом з більш високим рівнем ризику, але це неможливо здійснити без власника. Щодо «шерингу» — надання електронної копії цифрового паспорта, то така процедура здійснюється із застосуванням методів електронної ідентифікації з високим рівнем довіри, що ґрунтуються на криптографії.
Те ж саме стосується й інших більш критичних електронних послуг в мобільному застосунку «Дія», таких як зміна місця проживання, призначення належного користувача тощо, які можуть призвести до набуття, зміни чи припинення прав та/або здійснення обов’язків користувача. Всі такі послуги доступні лише з використанням «Дія.Підпису».
Тож очевидно, що зміст зауваження є або маніпуляцію, або нерозумінням порядків надання послуг у мобільному застосунку Дія.
2. Обробка та зберігання персональних даних у додатку «Дія»
Зауваження:
Попри численні заяви різних чиновників, «Дія» збирає, зберігає та обробляє персональні дані. А саме реєструє, накопичує, адаптує, змінює, поновлює, використовує і поширює. Про це прямо написано на сайті «Дії» та у розділі «Меню/Повідомлення про обробку персональних даних» мобільного додатку «Дія.
Цитата: «7. Персональні дані зберігаються Міністерством цифрової трансформації України протягом строку функціонування електронного кабінету суб’єкта персональних даних на Порталі Дія, але не довше 5 років, якщо законодавством не визначено інший строк їх зберігання.»
Портал Дія та мобільний додаток Дія є частинами однієї системи, в якій відбувається синхронізація наявної інформації, а тому інформація з порталу також дублюється у мобільному додатку.
Також персональні дані передаються з одного пристрою на другий під час перевірки цифрових документів, що неодноразово публічно демонструвалося експертами.
Відповідь:
Звертаємо увагу, що цей пункт, як і весь документ, стосуються мобільного застосунку «Дія». А у змісті до пункту наведено посилання на Повідомлення про обробку персональних даних порталу «Дія».
Очевидно, що і мобільний застосунок і портал «Дія» обробляють персональні дані. Що стосується мобільного застосунку, то з першого дня ми чітко комунікуємо про застосування принципу data in transition. Це означає, що мобільний застосунок не агрегує та не накопичує персональні дані громадян з різних реєстрів, а лише відображає кожному користувачу дані про нього. Відповідні дані зберігаються безпосередньо на пристрої користувача.
Отже, даний пункт є свідомою маніпуляцією з перекрученням як заяв Мінцифри, так і норм юридичних документів з питань захисту персональних даних.
3. Можливість перехоплення та накопичення персональних даних під час перевірки е-документів у додатку «Дія»
Зауваження:
Під час надання цифрових документів паспортні дані людини можуть приховано копіюватись до телефону того, хто зчитує, тому давати на зчитування своїх даних «Дію» можна тільки працівникам поліції в одностроях, за умови пред’явлення службового посвідчення або значка з номером. Ці ж дані проходять через інфраструктуру Мінцифри, але невідомо яким чином вони обробляються.
Відповідь:
Для оцінки недолугості цього зауваження потрібно «включити» критичне мислення та звичайну логіку. Щодня українці відвідують тисячі різних організацій, отримання послуг в яких передбачає пред’явлення чи надання копії паспорта, — спортивні, медичні, поштові, транспортні послуги тощо. Всі ці організації мають право обробляти персональні дані клієнтів за умови отримання згоди. Відповідно працівники цих організацій мають доступ до персональних даних громадян, а на самі організації поширюються норми Закону України «Про захист персональних даних».
І от постає логічне питання: а навіщо в цих організаціях комусь створювати дуже складне технічне рішення для накопичення скрінів даних, які дуже складно обробляти та використовувати, якщо ці дані і так доступні в базах даних цих організацій?! Але якщо хтось з працівників таких організацій вирішить поширювати ці дані або використовувати не за призначенням, то це вже інше питання — це злочин та порушення вимог закону.
4. Можливі шахрайства з використанням «Дії»
Зауваження:
Наразі існує можливість віддалено відкрити банківський рахунок з використанням додатку «Дія». Наразі відомо про щонайменше кілька випадків несанкціонованого входу зловмисників у облікові записи жертв додатку «Дія» та з подальшим скоєнням протиправних дій стосовно постраждалих з корисливою метою (оформити кредит на власника телефону, купити товар у магазині в розстрочку, здійснити інші зловживання.)
Та самі можливості для шахраїв існують у разі викрадення телефону. Таких випадків лише за офіційною статистикою в середньому 4566 на місяць (дані за 2021 рік).
Відповідь:
Завдяки появі мобільного застосунку «Дія» та функції шерингу цифрового паспорта в Україні запроваджено передові банківські сервіси з можливістю дистанційного відкриття рахунків у банках.
Одразу, слід зазначати, що дистанційне відкриття рахунків здійснюється, зокрема, відповідно до вимог Постанови НБУ «Про затвердження Положення про здійснення установами фінансового моніторингу». Чинним законодавством передбачено обов’язкове додаткове фото/відео ідентифікацію клієнта на боці банку, що робить неможливим відкриття рахунку, навіть за умови компрометації цифрового паспорта.
Всупереч твердженням авторів, зазначимо, що на сьогодні не існує жодного підтвердженого факту отримання незаконного кредиту з використанням мобільного застосунку. І це взагалі неможливо відповідно до вимог чинного законодавства. Так, дійсно на сторінках авторів у Facebook поширювалася відверті фейки щодо взяття кредитів через мобільний застосунок «Дія». Всі ці фейки були швидко спростовані як представниками банків чи мікрокредитних фінансових установ, так і кіберполіцією.
Також звертаємо увагу на статистику, наведену авторами щодо 4,5 тис. шахрайств з кредитами на місяць (або 54 тис. на рік). На сьогодні в «Дії» 14 млн користувачів і щодня здійснюється приблизно 40 тис. шерингів цифрових документів. А тепер уявімо, що ці 5 чи 6 фейкових кредитів від авторів дійсно були. Це 0,00009% від усіх шахрайських кредитів та 0,0000003% від усіх шерингів у «Дії». Ці цифри говорять самі про себе.
Отже, можемо констатувати навмисне поширення недостовірної інформації про кредити через «Дію» та навмисне підняття інформаційного негативного шуму авторами. А з якою метою?! Це питання до авторів фейків.
Натомість зазначимо, що в «Дії» запроваджено дуже корисний сервіс щодо інформування про запит про кредитну історію, який у підсумку може звести кількість шахрайських дій з кредитами з 54 тис. на рік до нуля.
5. Можливість слідкувати за користувачами через додаток «Дія»
Зауваження:
Мінцифри в особі Державного підприємства «Дія» (яке розробляє та підтримує додаток «Дія» та цифрові документи), має технічну можливість слідкувати за власниками смартфону, на якому встановлено додаток «Дія». Слідкування може бути реалізоване як в самому додатку «Дія», як окрема функція, так і на стороні серверів, що обслуговують додаток та логують кожну дію користувача, час та місце використання любої функції додатку. Таке слідкування, зберігання логів активності та їх обробка — нічим не регламентовані, а ДП «Дія», яке випускає додаток, не проходить регулярні незалежні перевірки та постійно від них відмовляється, що не є підтвердженням добрих намірів з боку команди, що розробляє та підтримує функціонування додатку «Дія».
Незалежні перевірки — це такі перевірки, які проводять всесвітньо відомі професійні кібербезпекові компанії, які мають бездоганну репутацію та жодним чином не пов’язані ані з розробниками «Дії», ані з їхніми політичними керівниками. Результати таких перевірок мають публікуватися із зазначенням що саме і як саме перевірялося.
Відповідь:
Цей пункт також є абсолютним фейком. Для того, щоб, навіть теоретично, говорити про можливість слідкування, мобільний застосунок має запитувати у користувачів дозвіл на визначення місцезнаходження.
Такий дозвіл не запитується, а відповідно, навіть теоретично, «Дія» не може накопичувати місце використання функції чи Дій користувача.
Також зазначаємо, що державним бюджетом передбачено кошти на проведення міжнародного аудиту кіберзахисту «Дії» у 2022 році.
6. Ризики дистанційного несанкціонованого проникнення до смартфону («зламу») зі встановленим додатком Дія
Зауваження:
З боку держави: У разі зацікавленості, виробник Дії може дистанційно встановити на мобільний телефон користувача Дії «оновлення з додатковими функціями», іншими словами шпигунську версію Дії. Таким чином, користувач навіть не матиме гадки про проведення негласних дій спостереження, законність яких може бути поставлена під сумнів. Додаток Дія запитує найбільші привілеї в мобільному телефоні, від камери (мікрофон в комплекті) до дискового сховища, а отже, всі необхідні права вже надано і додаткового запиту не буде. З боку третіх осіб: відомі випадки, коли злочинці отримали повний контроль над смартфонами та усіма встановленими в ньому додатками. Часто користувачі про це навіть не здогадувалися.
Приклад: у 2021 році Служба безпеки України повідомила про затримання групи зловмисників, які спеціалізувалися на дистанційному зламі мобільних пристроїв та незаконному зборі персональних даних. Вартість зламу одного смартфону коштувала 200 доларів США.
«Хакнутий» третіми особами мобільний телефон — це, безумовно, проблема в будь-якому випадку, але «хакнутий» телефон з Дією надає третім особам значно більше можливостей ніж просто «хакнутий» телефон.
Відповідь:
Публікація кожної функції в Дії проходить відповідну процедуру узгодження як в Google, так і Apple. Фахівці цих організацій перевіряють як технічну реалізацію, так і юридичну підставу реалізації всіх функцій. Адже це державний застосунок. Наприклад, юридичний захист публікації ковідних сертифікатів тривав майже місяць із залученням топ міжнародних юридичних експертів.
Доступ до камери запитується виключно для проходження електронної ідентифікації FaceID, і це звичайно ретельно перевіряється фахівцями Google та Apple, як і наявність юридичної підстави.
Щодо доступу до сховища та мікрофону, то такі дозволи в мобільному застосунку не запитуються. І це є черговим фейком від авторів.
Тож такі заяви авторів свідчать про реальне нерозуміння процесів створення та публікації державних застосунків та чергову свідому маніпуляцію.
Щодо зламу телефону та отримання доступу до Дії, то у пункті 1 вже було зазначено, що такий доступ не може призвести до отримання послуг з високим рівнем довіри.
7. Неможливість самостійно заблокувати свій акаунт в Дії (опція Opt-Out).
Зауваження:
Фактично, можливість активувати акаунт у додатку Дія існує у кожного громадянина України, який отримав ID-картку або закордонний паспорт з біометричним чипом (документи, які містять цифрові фото).
При цьому не має значення чи є у громадянина намір користуватися своїм акаунтом (обліковий запис) в Дії — така можливість все одно існує і нею може скористатися стороння особа без відома легального користувача. Наразі цим користуються шахраї для викрадення кредитних коштів, оформлених на людей, які з різних причин не активували свій обліковий запис.
Але в подальшому цю ж можливість «угону» цифрової особистості можна застосувати і для інших юридично значущих дій без відома особи: реєстрації місця проживання, виклику с суд, операцій з нерухомістю, голосування на виборах тощо.
Тобто, наразі у розпорядженні громадян відсутні будь-які інструменти управління ризиками, пов’язаних із цифровими документами:
- можливість заблокувати свій обліковий запис;
- можливість заборонити активацію цифрових документів, що засвідчують особу;
- можливість відмовитися від користування вже активованими цифровими документами;
- сповіщення про несанкціоновану спробу активувати новий примірник вже заблокованих цифрових документів.
Наявність зазначених можливостей/інструментів (так звана опція Opt-Out) могла б стати на захист прав громадянина у вирішенні спірних ситуацій (приклад отримання кредиту третьою особою шляхом маніпуляцій та шахрайських дій, або безпосередньо через викрадення терміналу (смартфону) чи злам комп’ютерної системи (комп’ютера), тощо.
Ефективним рішенням проблеми несанкціонованого використання акаунту в Дії сторонніми особами могла б стати його обов’язкова перша активація шляхом особистого візиту в ЦНАП з паперовим/пластиковим паспортом та відповідною заявою. А також можливість аналогічним чином юридично «заморозити» будь-які операції в Дії шляхом особистого візиту в ЦНАП з документами.
Також бажано запровадження механізму, яким би блокувалась та фіксувалась (з подальшою автоматичною процедурою повідомлення поліції) кожна спроба використання Дії від імені тих громадян, які відмовилися від користування зазначеним державним сервісом.
Технічно та організаційно впровадження подібного захисту не є складним питанням, але чомусь такої можливості громадянам України не пропонується, попри значний соціальний запит та великі ризики.
Відповідь:
У пункті 1 було детально описано, чому неможливі всі перелічені авторами дії. Адже для надання критичних сервісів передбачається використання засобу електронної ідентифікації з високим рівнем довіри Дія.Підпис, який, серед іншого, передбачає біометричну ідентифікацію користувача.
Також в Дії реалізовано функцію контролю за пристроями, яка дозволяє керувати та моніторити доступ.
8. Ризики фальсифікації «виборів у смартфоні» з використанням додатку Дія
Зауваження:
Безпосередньо В. Зеленський та М. Федоров неодноразово озвучували тези про їх головну мету — голосування на виборах через смартфон. Ймовірно, мається на увазі використання для цього додатку Дія.
Великий негативний досвід фальсифікацій під час традиційних виборів свідчить про великі ризики. А реалізація такої ідеї містить загрозу національній безпеці та спробу повалення конституційного ладу шляхом фальсифікації виборчого процесу онлайн.
Загалом, під час онлайн-виборів неможливо забезпечити таємність голосування, голосування без примусу, та одночасно провести прозорий перерахунок голосів.
Жодна країна Світу (крім Естонії) поки що не наважилась провести онлайн вибори.
У квітні 2020 більше 80 керівників та провідних співробітників науково-дослідницьких організацій США, працівники наукових установ та провідних експертів, у тому числі такі всесвітньо відомі експерти як Брюс Шнаєр та Мартін Хеллман, звернулися відкритим листом до держсекретарів штатів та керівників виборчих комісій США з вимогою «утриматися від дозволу використовувати будь-яких систем Інтернет-голосування».
В Естонії голосують онлайн близько 45% виборців, але ця країна будувала власну модель онлайн-голосування близько 20 років, під ретельним контролем громадськості, місцевих політичних партій та представників Європейського Союзу. За цей час в системі онлайн-голосування було виявлено багато критичних вразливостей, вона постійно доопрацьовується найкращими фахівцями, але наразі цей метод голосування працює на принципах, кардинально відмінних від додатку Дія, а також на основі неймовірно високої довіри громадян до влади.
Відповідь:
На сьогодні в Україні не існує законодавчих актів, які описують процедуру реалізації Інтернет-голосування, у т. ч. через мобільний застосунок Дія. Тому обговорення гіпотетичних сценаріїв не має сенсу.
Лише зазначимо, що, крім Естонії, інтернет-голосування проводиться в Австралії та Швейцарії. Також існує кілька загальновідомих технічних рішень у світі, які успішно реалізують як таємність голосування через технологію «подвійного конверту», так і голосування без примусу завдяки можливості змінити голос.
9. Ризики «повістки через Дію»
Зауваження:
Ризик стати жертвою сумнівних та протиправних дій з боку держави чи третіх осіб через впровадження та легітимізацію «автоматичного гарантованого повідомлення» громадян про «попередження», «повістку», «виклик в суд» та подібні дії. Це також неодноразово озвучена мета Мінцифри, яка може бути реалізована та додасть громадянам проблем. Уявімо ситуацію, коли за якихось причин громадянин не користується, або більше не користується додатком Дія, на який приходить повідомлення про виклик до суду через позов щодо власності громадянина. Юридично, надіслане таке повідомлення є ознакою фактичного повідомлення. А отже, непоява громадянина в суді, або несвоєчасне подання запиту про перенесення судового засідання з любої причини дає можливість (державі, шахраям, «чорним реєстраторам» і т. п.) маніпуляцій в судовому процесі не на користь громадянина.
Відповідь:
Так, дійсно, держава Україна сьогодні використовує значні бюджетні ресурси на юридичне значуще повідомлення громадян про різні важливі дії, зокрема, виклик до суду.
Реалізація гарантованого електронного повідомлення можлива лише за умови надання свідомого підтвердження від користувача.
Впевнені, що якщо громадянин не переховується від суду чи військкомату, то він максимально зацікавлений в отриманні таких повідомлень якомога скоріше та доступніше.
10. Ризики відсутності доступу до Інтернет додатку Дія
Зауваження:
Згідно з заявами розробників додатку Дія, додаток не зберігає електронні документи громадян, при цьому зображення з даними документу — зберігаються у смартфоні.
Але легітимність їх відображення у смартфоні користувача можливо перевірити лише за наявності доступу до Інтернет. Недавні події в Казахстані (коли під час протестів влада вимикала доступ до Інтернет) показали, що схожа ситуація цілком може статися за певних умов і в Україні. У разі тривалої відсутності доступу до Інтернет, документи в Дії стануть лише нелегітимними картинками у смартфоні. Аналогічна ситуація є актуальною в деяких районах України, де зараз відсутній або нестабільний доступ до Інтернет.
За таких умов виникає необхідність завжди носити з собою паперові або пластикові документи, що ставить під сумнів доцільність встановлення та використання додатку.
Дія є централізованою системою (частиною якої є мобільних додаток Дія), і у разі відмови одного з елементів зупиняється вся система. Ми вже були свідками численних відмов у обслуговуванні сервісів Дії. Отже на працездатність такого важливого додатку можна легко вплинути через локальне (глушилки), або глобальне відключення доступу до Інтернету для користувачів.
Легітимність електронних документів не повинна жодним чином залежати від наявності або відсутності доступу до Інтернет, е-документи мають бути самодостатніми.
Відповідь:
Щодо тверджень авторів «у разі тривалої відсутності доступу до Інтернет» та «недавні події в Казахстані», то у такому разі буде зупинено надання державних послуг в цілому, у т. ч. через ЦНАП, які також працюють з державними реєстрами через мережу Інтернет. Такі події, як і вимкнення електроенергії, мають статус надзвичайних та впливають на усі аспекти життя громадян, а не лише на сервіси Дії.
Очевидно, шо доступність електронних сервісів обмежена доступністю інтернету та цифровими навичками. І ці два завдання є серед базових цілей Мінцифри.
Протягом останніх 2-х років завдяки активній діяльності Мінцифри значно пришвидшились темпи покриття території України швидкісним мобільним Інтернет 4G. Доступ до такої технології вперше отримали понад 3,2 млн українців у 9,6 тис. населених пунктів, а різноманітні цифрові курси пройшли понад 1 млн громадян.
ООН визначило інтернет базовим правом громадян.
11. Не всі громадяни мають можливість користуватися додатком Дія
Зауваження:
Для використання Дії необхідний сучасний смартфон, але не всі громадяни України мають можливість його придбати. Це є реальною проблемою через примусове обмеження надання певних функцій виключно через додаток (наприклад, сертифікатів про вакцинацію).
Також не скрізь у країні є доступ до Інтернет.
Деяким людям (особливо старшого віку) важко вводити пін-коди, тому для них їхні родичі або всі пін-коди знімають, або ставлять коди типу 1111. Дія з простим пін-кодом — це дуже небезпечно. Розробники не мають можливості контролювати наскільки ефективно користувач захистив свій смартфон, і покладаються на високий рівень обізнаності щодо правил персональної кібербезпеки власника/користувача смартфону.
Належне користування цифровими документами, що засвідчують особу, передбачає наявність багатьох навичок, які геть не очевидні для багатьох громадян, особливо старших вікових категорій. Мінцифри не пропонує ані офіційного керівництва для користувачів, ані офіційних рекомендацій, які містили б вичерпні керівні вказівки для всіх без винятку критичних аспектів користування цифровими паспортами та застосунком Дія.
Модель надання державних електронних послуг у форматі додатку Дія або штучно позбавляє таких громадян можливостей отримувати державні цифрові послуги, або наражає їх на ризики, для управління якими не пропонує належних інструментів.
Відповідь:
Як було вже зазначено у пунктів 10, електронні послуги мають певні обмеження, і це очевидно. Як і попередні, це зауваження не до Дії, а до інтернет-послуг в цілому. Разом з тим, щороку в Україні рівні проникнення смартфонів, цифрової грамотності та швидкісного інтернету стрімко зростають.
Електронні послуги є більш сучасною та ефективною альтернативою офлайновим. Очевидно, що більшість людей похилого віку будуть використовувати офлайнові документи ще довго, як і відвідувати ЦНАП. Це їхнє право. І ми щодня працюємо над розширенням мережі ЦНАП, їх стандартизацією та покращенням якості офлайн-послуг.
Разом з тим, цифрові технології відкривають багато нових переваг для громадян. І ми прагнемо забезпечити рівні цифрові права. Так, в цьому році запрацює велика президентська програма єСмартфон, яка має на меті забезпечити людей похилого віку смартфонами та надати відповідні базові цифрові навички.
12. Надмірна централізація системи та агрегація повноважень
Зауваження:
Зосередження надвеликих прав у адміністраторів Дії та відсутність системи моніторингу та запобіжників їх роботи призводить до появи величезної спокуси для таких адміністраторів, що можуть за певне заохочення, або під примусом зібрати інформацію про певні аспекти життя громадян та передати цю інформацію на користь третіх осіб, або надати власний адміністративний доступ третім особам.
Занепокоєння викликає також можлива надмірна агрегація повноважень.
Інциденти останнього часу, такі як, наприклад як вразливість Log4Shell, та більш відомі види атак (наприклад SQL Injection) можуть також бути використані з рівня адміністраторів Дії та призвести до пошкодження або іншого впливу на реєстри персональних даних громадян. Наприклад, існує вірогідність існування можливості створення запиту до любого підключеного реєстру, який внесе зміни або навіть призведе до втрати даних чи навіть їх знищення, оскільки виконаний він буде з правами адміністраторів Дії.
За результатом зламу великої кількості державних сайтів скомпрометованими виявились не тільки бази даних і програмний код порталу Дія, а ще й приватні ключі SSL сертифікатів до доменів державних сайтів. Це ті самі сертифікати, що захищають ваше з’єднання з сайтом. Але навіть після відновлення роботи цих ресурсів протягом десяти днів ніхто не потурбувався перевипустити SSL сертифікати. Така вражаюча некомпетентність ставить під ризик подальшого витоку особливо чутливих автентифікаційних даних користувачів (логінів та паролів).
Відповідь:
Опис цього пункту свідчить про абсолютне нерозуміння авторами правил роботи державних реєстрів. Твердження про доступ адміністраторів Дії до державних реєстрів є настільки некомпетентним, що ставить під сумнів взагалі будь-який натяк на експертне сприйняття цього документу.
Внесення даних в базові державні реєстри відбувається відповідними посадовими особами з обов’язковими застосуванням кваліфікованого електронного підпису. Тобто реєстратори речових прав реєструють право власності громадян, працівники міграційної служби роблять відповідні записи про паспорти і так далі. Такі права та перелік осіб дуже жорстко регламентований кожним органом, і, звісно, ніякі адміністратори Дії не можуть мати такий доступ навіть теоретично.
Електронна взаємодія Дії з реєстрами відбувається через систему «Трембіта» з дотриманням єдиних стандартів та протоколів, правил шифрування та авторизації тощо і не передбачає взагалі як такого доступу до реєстрів, а лише до відповідних сервісів «Трембіти», які відпрацьовують стандартні процедури запиту даних про конкретного громадянина з подальшим відображенням цих даних у Дії. Без будь-яких прав на доступ, запис, модифікацію.
Отже, цей пункт є результатом повної некомпетентності авторів.
13. Відсутність правил користування додатком та механізму контролю за дотриманням цих правил
Зауваження:
Мінцифри передбачає покладання значної кількості ризиків використання додатку Дія на його користувачів. У смартфоні користувача зберігаються усі його е-документи, що засвідчують особу, які Згідно Закону України прирівняні до паперових/пластикових.
При цьому ніде не визначаються у належний спосіб правила користування додатком, вимоги до щодо безпечного доступу до нього, правила кібер-гігієни під час користування смартфоном, потенційні ризики компрометації, тощо.
Відповідь:
Правила використання застосунку та цифрових документів не відрізняються від загальних правил поводження зі смартфоном та паперовими документами відповідно.
Ви ж не будете свій смартфон чи паспорт давати незнайомцю? А називати йому пін-код від телефону чи мобільного банкінгу? А диктувати номер та код банківської картки? Знову ж звертаємо увагу, що використання паспорта без власника неможливе!
Підсумовуючи досвід користування та фідбек 14 млн користувачів за 2 роки, можна впевнено сказати, що зазначений пункт є надуманим.
14. Ігнорування чинного законодавчого регулювання зі створення програмних продуктів
Зауваження:
Для функціонування додатку Дія майже відсутнє законодавче регулювання.
Формально електронні документи прирівняно до офіційних нечіткими фразами у Законі України «Про внесення змін до Закону України «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус»:
«е-паспорт — паспорт громадянина України у формі електронного відображення інформації, що міститься у паспорті громадянина України».
Але в жодному Законі України не визначено технічні та технологічні параметри таких е-документів, вимоги до процесу розробки додатку та його експлуатації, прийнятні технології та їх узгодженість, можливості незалежного (у тому числі громадського) контролю цих процесів, прив’язка до існуючих міжнародних стандартів та багато іншого.
Також законодавчо не визначено вимоги до безпеки Дії: припустимі підходи та практики, стадії контролю та тестування, критерії оцінки загальної безпеки, кількість та періодичність незалежних оцінок захищеності та ін.
На практиці, розробка та модернізація додатку Дія відбувається згідно внутрішніх документів Мінцифри, публічний доступ до яких або не надається, або обмежено грифом секретності «Для службового користування».
Також слід зазначити, що створення програмних продуктів на замовлення державних органів регулюється Постановою 869 «Про затвердження загальних вимог до програмних продуктів, які закуповуються та створюються на замовлення державних органів» від 12 серпня 2009 р. Але у випадку розробку додатку Дія більшість з даних вимог просто проігноровано.
Законодавча невизначеність вже стала підставою для кримінального переслідування кількох громадян, що створювали додатки візуально схожі на додаток Дія, але не здійснили жодних втручань у ІТ інфраструктуру держави. І хоч їх діяльність сумнівна з етичних питань, з точки зору закону вони не скоїли злочин. Фактично, Мінцифри своїми діями спровокували появу такої активності.
Відповідь:
Опис пункту знову абсолютно не відповідає дійсності. Базові норми функціонування мобільного застосунку Дії визначені Законом України «Про адміністративні послуги» та Постановою КМУ «Питання Єдиного державного вебпорталу електронних послуг та Реєстру адміністративних послуг».
Щодо вимог до захисту, то Дія, як і будь-яка інша державна інформаційна система, підпадає під дію Закону України «Про захист інформації в інформаційно-комунікаційних системах» та купу підзаконних нормативно-правових актів. Всі ці норми та вимоги чітко виконуються.
Кожна функція та сервіс в Дії чітко регламентовані спеціальними законами, постановами та наказами, яких десятки і вони доступні публічно.
Наприклад, Постанови КМУ «Про реалізацію експериментального проекту щодо використання віддаленого кваліфікованого електронного підпису» (Дія.Підпис) або «Про затвердження Порядку проведення опитування щодо ініціатив, спрямованих на вирішення питань державного управління у різних сферах суспільного життя, на Єдиному державному вебпорталі електронних послуг» і так з кожної функції/сервісу.
Щодо прикладу авторів про цифровий паспорт, то знову ж Постанова КМУ «Про затвердження Порядку формування та перевірки е-паспорта і е-паспорта для виїзду за кордон, їх електронних копій» чітко внормовує всі порядки та процедури використання такого документу.
Щодо зазначеного кейсу з «підробкою» Дії, то кіберполіцією чітко визначені відповідні статі залежно від типу правопорушення.
15. Створення штучної монополії додатку Дія
Зауваження:
Користуватися Дією громадян України примушують, не залишаючи їм альтернатив.
Так, сертифікати вакцинації довгий час можна було отримати виключно через додаток Дія, хоча альтернативне технічне рішення було готове до запуску за кілька місяців до запуску такого рішення у Дії.
Заяви на отримання 8000 грн. компенсації для ФОПів у зв’язку з карантинними обмежувальними заходами та «Ковідної» 1000 грн. — також можна було зробити лише через Дію.
Таким чином створюється штучна монополія, мета якої — залучити до використання Дії якомога більше користувачів.
Відповідь:
Твердження «Сертифікати вакцинації довгий час можна було отримати виключно через додаток Дія», звісно, викликає подив та посмішку. Ми в рекордні строки розробили цифровий ковідний сертифікат (саме завдяки існуванню Дії) та пройшли аудит ЄС, а Україна першою серед третіх країн приєдналася до довірчої мережі ЄС.
20 серпня 2021 року цифрові сертифікати стали доступними для українців у мобільному застосунку, а за місяць такий сервіс став доступним і на порталі. Також звертаємо увагу, що цифровий ковідний сертифікат є вимогою ЄС. В Україні для внутрішнього користування з першого дня діяло паперове свідоцтво про імунізацію.
Щодо «заяви на отримання 8000 грн. компенсації для ФОПів», то, по-перше, такий сервіс працював і на порталі Дія без необхідності застосування КЕП, а, по-друге, більше 90% ФОП подають звітність онлайн.
Щодо програми єПідтримка, то вона буде діяти рік і інструменти постійно розширюватимуться. За перший місяць програмою скористалося понад 8 млн українців. Це абсолютно унікальний показник, що свідчить про доступність та зручність послуги.
Потрібно розуміти, що запуск таких програм завдяки Дії відбувався за кілька тижнів, а розгортання таких програм офлайн та ще в пандемію, коли бажано обмежити особисті контакти, особливо для літніх людей, займав би дуже багато часу та потребував би шалених фінансових ресурсів на організацію мережі.
16. Відсутність у публічному доступі документації на додаток Дія
Зауваження:
На електронний продукт — додаток Дія — відсутня документація: інструкція користувача, загальний та технічний опис додатку, опис його структури та функцій, моделі функціонування, застосованих технологій, інфраструктури, схеми каналів передачі даних, правил користування додатком, гарантійні зобов’язань виробника, відповідність вимогам із захисту персональних даних, тощо.
Попри численні спроби фахівців та журналістів отримати ці документи від Мінцифри, подібні запити або ігноруються, або надаються завідомо пошкоджені дані без можливості їх відтворення. Зафіксовано випадок заяви міністерства, що нібито ця інформація є інформацією з обмеженим доступом з грифом ДСК, хоча продукт є публічним та вільно розповсюджується.
Відповідь:
На застосунок Дія наявна вся документація, яка передбачена чинним законодавством України. І відповідні органи та експертні організації отримували доступ до такої документації в межах повноважень.
Технічна документація на комплексні системи захисту інформації інформаційно-телекомунікаційних систем Єдиного державного порталу електронних послуг (портал Дія) та мобільного додатку Єдиного державного порталу електронних послуг віднесено до документів, що містить інформацію з обмеженим доступом (службова інформація).
17. Відсутність публічного доступу до вихідного коду додатку Дія
Зауваження:
Розробники додатку Дія не публікують вихідний код свого продукту.
Згідно існуючих міжнародних практик, вихідний код публікують, перш за все, для підтвердження відсутності прихованих програмних функцій продукту.
Такими функціями можуть бути наступні: функція відстеження користувача, збору даних про модель його смартфону, операційну систему, день, час та геолокацію, користування певними функціями додатку, взаємодії з іншими програмами та додатками, використання месенджерів, відвідування певних Інтернет-сторінок, довільне зчитування інформації з файлової системи та подібні приховані функції.
Також вихідний коди міг би засвідчити наявність або відсутність можливості завантажувати оновлення, які б містили функції стеження за користувачами.
Відповідь:
Можливість реалізації перелічених прихованих функцій є фантазіями авторів, які свідчать про повне нерозуміння правил перевірки та публікацій Google і Apple державного додатку. Ще раз нагадуємо, що кожна функція перевіряється як технічно, так і юридично!
А за умови, що ми не беремо дозвіл у користувача ні на місцезнаходження, ні на доступ до сховищ тощо, це неможливо навіть теоретично!
Разом з тим, розуміючи важливість відкриття вихідного коду для забезпечення прозорості, Мінцифра на 2022 рік запланувала відповідні фінансові та організаційні ресурси.
18. Відсутність інформації про зовнішні незалежні аудити безпеки додатку Дія
Зауваження:
Розробники додатку Дія приховують відомості про незалежний зовнішній аудит (оцінку) безпеки свого продукту.
Згідно з існуючими міжнародними практиками, тестувати продукт повинні фахівці, які не мали та не мають стосунку до його розробки, чим виключається можливий конфлікт інтересів.
Щоб переконати користувачів додатку у надійності його безпеки, зазвичай публікується загально-описова частина подібного незалежного звіту, де вказується хто саме проводив тестування (назва компанії, прізвища виконавців), коли проводилося тестування на безпеку, якими інструментами та згідно яких методологій. Як правило, максимально неупередженими та фаховими можуть вважатися відомі міжнародні компанії з бездоганною репутацією та високим рівнем довіри у професійному середовищі.
Ненадання подібних звітів може свідчити про відсутність проведення тестувань (оцінок) безпеки додатку Дія або ж не дотримання вимог до виконавців щодо їх незалежності та професіоналізму, або про негативні висновки та велику кількість критичних зауважень.
Відповідь:
По-перше, проведення аудитів кібербезпеки або навіть багбаунті в Україні взагалі було поза законом. Мінцифра вперше врегулювала ці питання у відповідній експериментальній постанові КМУ для можливості проведення таких дій в принципі.
По-друге, Мінцифра провела вже дві програми багбаунті, які не знайшли жодної критичної вразливості.
По-третє, наразі ми ініціюємо зміни до Кримінального кодексу (стаття 361) щодо несанкціонованого доступу для можливості широкого застосування сучасних підходів до тестування та аудиту державних систем етичними хакерами.
По-четверте, з метою недопущення бюджетних порушень та проведення додаткових аудитів безпеки Дії Мінцифра за кошти та за підтримки міжнародних проєктів технічної допомоги від USAID та ЄС провели два незалежні аудити відомими українськими компаніями GroupFS та ISSP. Ці аудити також не виявили критичних вразливостей.
19. Сумнівність об’єктивності проведення державної експертизи додатку Дія
Зауваження:
Будь-який державний інформаційний ресурс, яким безперечно є додаток Дія, повинен пройти державну експертизу та отримати позитивний експертний висновок щодо створення та реалізації Комплексної системи захисту інформації (КСЗІ).
Міністр Федоров неодноразово вводив в оману громадськість стосовно існування такого висновку на КСЗІ, а на запити громадян щодо отримання його копії — надавалися свідомо нечитабельні документи.
Попри наявність очевидного конфлікту інтересів (висновок на КСЗІ підписує Голова Держспецзв’яку, якого призначає Кабінет міністрів України в особі куруючого віце-прем’єр міністра Федорова) та очікуваної необ’єктивності державної експертизи, Мінцифри продовжує приховувати атестат відповідності КСЗІ. На даний час він не доступний для громадськості, хоча не є і не може бути документом з обмеженим доступом.
Відповідь:
Опис цього пункту остаточно ставить крапку в неекспертності авторів.
По-перше, атестат відповідності КСЗІ є публічним і його елементарно отримати пошуковим запитом у Google. Враховуючи твердження авторів «Мінцифри продовжує приховувати атестат відповідності КСЗІ», звертаємося до журналістів із проханням надати цифрову допомогу авторам у пошуку цього документа через Google. Дія отримала 2 атестати, і всі вони публічно доступні. Тож звинувачення міністра у брехні є черговою… брехнею авторів.
По-друге, атестат відповідності підписує не Голова ДССЗЗІ, а експертна організація — ліцензіат, яка здійснювала експертизу. Фууух. Ще багато пунктів-фейків?!
20. Незадовільний рівень комунікації розробників додатку Дія з користувачами та ІТ-фахівцями
Зауваження:
Технічна підтримка додатку Дія знаходиться на низькому рівні: з нею важко контактувати, а скарги користувачів і більшості випадків залишаються без належної уваги.
При цьому середня зарплата в Державному підприємстві Дія, яке і розробляє однойменний продукт, складає 47 211 грн. Це приблизно відповідає середньому рівню зарплат у комерційних ІТ-компаніях.
Відповідь:
Якщо мова йде про ці зауваження, то вони дійсно є сукупністю некомпетентності та маніпуляції, що може свідчити про їх замовний характер.
З пункту так і не зрозуміло, хто з ким не спілкується?! Бо служба підтримки і розробники — це дуже різні команди, але авторам, схоже, це невідомо.
21. Можливість необмеженого клонування документів у додатку Дія
Зауваження:
Традиційно держава не дозволяє існування навіть однієї копії паперового/пластикового документу, який посвідчує особу, в першу чергу паспорта. Причому підробка документів відноситься до серйозних кримінальних злочинів (стаття 358. Підроблення документів, печаток, штампів та бланків, збут чи використання підроблених документів, печаток, штампів).
Натомість у випадку цифрових паспортів держава дозволяєте одночасне співіснування ідентичних екземплярів на різних пристроях, тобто їхнє копіювання/клонування.
З цього приводу у фахівців виникають питання: якими причинами викликано настільки протилежні підходи?
Скільки екземплярів е-паспорта можуть існувати одночасно: п’ять, десять, сто, тисяча?
Де саме зафіксована норма щодо кількості екземплярів, в якому саме документі Мінцифри?
Чому у випадку е-документів відмовилися від принципу особистої присутності, як це зроблено, наприклад в Естонії, на чий регулярно посилається Мінцифри? Традиційні паперові документи видаються виключно за особистої присутності людини, чию особу засвідчують. Це дозволяє реалізувати відповідальність посадової особи, які ці документи видає.
Чи передбачена персональна відповідальність працівників розробника у випадку заволодіння чужим е-паспортом?
Відповідь:
Наведемо базовий загальносвітовий принцип електронних документів, який викладений, у т .ч., в Законі України «Електронні документи та електронний документообіг»:
«У разі надсилання електронного документа кільком адресатам або його зберігання на кількох електронних носіях інформації кожний з електронних примірників вважається оригіналом електронного документа».
Багато громадян мають не один пристрій — телефон + смартфон або кілька смартфонів, і відповідно вони мають змогу на кожному з пристроїв пройти електронну ідентифікацію та отримати доступ до функцій та сервісів Дії. Це точно не можна назвати клонуванням.
І головне, що слід розуміти, — використання що паперового, що пластикового, що цифрового паспорта неможливе без власника!!!
Дії — 2 роки: 14 млн українців, понад 9,4 млн цифрових закордонних паспортів, понад 3,4 млн цифрових внутрішніх паспортів, понад 1,5 року успішного експерименту з цифровими паспортами на рівні постанови та подальшою легалізацією на рівні Закону, 40 тис. шерингів паспортів щоденно проти 5 чи 6 фейків від авторів — цього всього достатньо для впевненого твердження про безпечність та надійність Дії й цифрових документів.
22. Непрозорість порядку використовувати додаток Дія іншими організаціями.
Зауваження:
Мінцифри заборонило використання цифрових паспортів МФО (мікро-кредитні організації) через єдиний задокументований випадок зловживання. При цьому ніяким регуляторним актом не визначено: за яких умов ця заборона буде скасована і які загалом критерії її застосування у інших випадках (наприклад, поштовими компаніями).
Відповідь:
Інтеграція організацій з Дією відбувається в рамках конкретно діючого законодавства по відповідному сервісу та на підставі договірних умов.
У разі порушення умов договору та відповідного законодавства ДП «Дія» як адміністратор системи має право відключати таку організацію.
Також звертаємо увагу, що автори далеко не повністю висвітлили можливі загрози для Дії. Ми не знайшли в переліку падіння комети, інопланетне вторгнення, захоплення роботами та багато інших прямих загроз існування Дії).