Безопасно ли приложение "Дія"?
Вместо тысячи бюрократов
Что такое "Дія"? Без сокращений программа называется "Держава і я", и это первая ласточка того самого "Государства в смартфоне", о котором разговоры идут еще с лета 2019. Вместо трех очередей за справками - один запрос в приложении. Вместо папки с документами - облачное хранилище. Мечта людей об аналоге App Store для государственных услуг.
"Дія" появилась на свет в феврале 2020 года, и в первые 4 дня после релиза приложение установили более миллиона пользователей. Установили и немного разочаровались. Во-первых, не все обещанные функции работали со старта. Некоторые остались недоступны и год спустя. Во-вторых, "Дія" - это портал-хаб, и запросы все равно идут на сайты специализированных ведомств. По словам руководителя команды разработчиков Александра Ефремова, архаичность правил многих государственных реестров была одним из главных вызовов, с которым они столкнулись на первом этапе работы над порталом. А вот мобильное приложение сразу было высоко оценено пользователями - точнее, возможность использовать его как этакое цифровое портмоне. Сначала загрузить в Дію можно было только водительские права и техпаспорт, но сегодня в этом списке уже есть свидетельство о рождении, студенческий билет, паспорта (заграничный и ID-карта) и ИНН. Выехать за границу только с телефоном не получится, а вот предъявить таким образом документы в полиции, в поезде или на почте - вполне возможно. Обладателям пластиковых паспортов нового образца теперь можно не носить с собой выписку с адресом и семейным положением, а в МинЦифры обещают, что вскоре электронный паспорт будет приравнен к "физическому" во всех отношениях.
В течение 15 месяцев после запуска на портале постепенно появлялись новые услуги и возможности - заявка на пособие по безработице, открытие и закрытие ФЛП, оформление помощи при рождении ребенка. Среди проектов, работающих в тестовом режиме и полностью еще не запущенных - самостоятельная регистрация по месту жительства, оформление прав на недвижимость онлайн, электронная оплата административного сбора.
Чем привлекательнее, тем подозрительнее
Школьного курса истории достаточно, чтобы знать: любое нововведение вызывает опасения. Бунты были против картофеля, против перехода от ручного труда к механическим станкам, а вакцинации сопротивляются до сих пор. Вакцинация идет через Дію? Тем хуже.
Утечка личных данных
Еще во время презентации портала раздавались голоса скептиков, которые спрашивали, что будет, если базы данных сломают. Пессимисты вместо слова "если" использовали "когда". Гром грянул 11 мая 2020 года. В анонимном телеграмм-канале UA BazaBot опубликовали базу данных с 26 миллионами водительских удостоверений. Так как с этих документов начиналось тестирование Дії, критики "Государства в смартфоне" начали кричать свое веское: "А мы же говорили!" Представители МинЦифры и команды разработчиков опровергли обвинения, указав, в частности, на то, что документов в распоряжении бота оказалось гораздо больше, чем в принципе прошло через шлюзы портала. А первичные данные расследования Нацполиции подтвердили: утечка представляла собой компиляцию из баз различных организаций (правительственных и частных) за несколько предыдущих лет. Однако, скепсиса относительно Дії только прибавилось.
Большой брат следит за тобой
Классический страх цифровой эпохи, не так ли? С каждым годом мы теряем еще немного приватности, чаще добровольно, но иногда и просто соглашаясь с реалиями современности. Расплачиваемся карточками - информируем государство о своих доходах, пересекаем границу - и попадаем в международные базы. То, как стремительно наша жизнь перестает быть только нашим делом, наводит многих людей на мысль, что государство хочет знать о нас все и контролировать каждый шаг. Здесь как раз приходится к слову одна из самых страшных книг прошлого века - "1984" Оруэлла. Там государство следило даже за мыслями граждан. Неудивительно, что приложение, в которое предлагается загрузить все ваши документы, вызывает у части людей ассоциации с красивым куском сыра внутри мышеловки. Особенно четко этот страх срабатывает у тех, кто успел пожить в прототипе оруэлловского тоталитарного ада - Советском Союзе.
Практические опасения
Звучат к Дії и куда более приземленные вопросы:
- что будет, если телефон украдут?
- если он разрядится?
- если нужно будет предъявить водительские права патрульным где-нибудь на трассе? Вы мобильный Интернет на периферийных дорогах Украины часто встречали? То-то же!
Отвечать будет ...
Украина - не та страна, в которой критику (особенно громкую и упорную) удастся игнорировать. Официальным лицам, ответственным за процесс диджитализации, пришлось ответить на наиболее часто повторяющиеся претензии скептиков.
Разработчик отвечает репутацией
Над приложением на волонтерских началах работал украинский офис EPAM Systems. Это американская компания, специализирующаяся на разработке онлайн-платформ. EPAM регулярно попадает в топ-25 IT-компаний Forbes. Работали они pro bono, то есть финансового интереса не было, но тот факт, что фирма участвовала в проекте официально, свидетельствует, что за результат в EPAM готовы поручиться. Сотрудники компании присоединились, в том числе и ко всем аспектам безопасности: шифрование данных, проходящих через приложение, и систем авторизации.
BankID - это надежно
Регистрация в приложении осуществляется через BankID. По сути, заходя в приложение, вы проходите авторизацию в своем банковском клиенте, а банк уже подтверждает порталу вашу личность. Похожий механизм действует, когда вам предлагают авторизоваться через аккаунт Гугл или Фейсбук, только в таком случае ваши данные хранятся на серверах банка. Напрашивается вывод: если вы доверяете банку свои данные, то использование Дії вам не грозит никакими дополнительными рисками. А если не доверяете, стоит ли пользоваться этим банком?
Нельзя украсть, потому что воровать ничего
Данные на серверах Дії не сохраняются, говорят в МинЦифры. Это только шлюз, который передает информацию с серверов одного ведомства (например, МВД) другому (Минсоцполитики или Налоговой).
За уязвимость объявлена награда
В декабре 2020 года прошло Баг Баунти - массовое тестирование программы на американской платформе Bugcrowd. Объявили вознаграждение за каждую найденную ошибку, привлекли так называемых "этических хакеров", и они в течение месяца искали уязвимости системы. Вообще-то нашли: две низкоуровневых ошибки, не связанные с безопасностью личных данных.
Обычную бдительность никто не отменяет
В Дії надежная система шифрования и авторизация через банкинг. Но SIM-карту с утраченного смартфона все равно нужно заблоковать сразу, как только вы обнаружили пропажу. И то же самое сделать с Google или Apple аккаунтом. И уведомить банк о краже, если это ваш банковский номер. Это защитит ваши данные от воров независимо от того, установлена ли на телефоне Дія. Кстати, оффлайн приложением пользоваться нельзя - оно покажет копию документа, созданную в момент последнего подключения. А от разряженного смартфона, к сожалению, защищает только розетка или повербанк.
Полностью безопасных приложений не бывает. Существует вероятность, что кто-то сможет украсть ваши данные через Дію точно так же, как их можно украсть с помощью фишинга паролей или взлома банковского аккаунта. Вот такая цена за растущие с каждым днем возможности цифровых технологий и свободу, которую нам дает хай-тек. Не оставляйте смартфон без присмотра и обязательно поставьте на него пароль - это все, что можно посоветовать.
Посмотрите какие провайдеры работают по вашему адресу
в 