Рассылка повесток через "Дію" — легкая задача. В чем польза и риски э-реестра призывников
Утечка информации из электронного реестра может подвергнуть риску жизни украинских военных или членов их семей, считают эксперты.
В Украине готовятся запустить единый электронный реестр военнообязанных граждан, куда попадут данные из разных ведомств. Фокус разбирался, зачем это нужно, какие преимущества и риски несет для украинских граждан.
В сентябре Рустем Умеров сменил Алексея Резникова на посту министра обороны Украины и сразу же анонсировал масштабную цифровизацию для военных и военнообязанных. В первую очередь она предусматривает создание электронных военных билетов, реформирование военно-врачебных комиссий и запуск единого реестра потенциальных призывников.
Единый реестр призывников вызывает значительный интерес в обществе, ведь он должен упростить процедуру призыва украинцев в ряды Вооруженных сил во время войны. 18 сентября в Верховной Раде зарегистрировали законопроект под номером 10062, призванный облегчить взаимодействие между ведомствами для внесения информации о военнообязанных возрастом от 17 до 60 лет в государственный реестр. Речь идет о персональных данных, таких как паспортные, номера телефонов, сведения о членах семьи, учебе, работе и многом другом.
Еще в 2022 году в Украине запустили реестр под названием "Оберіг", но там нет полной базы данных военнообязанных. По информации 24 канала, он готов уже на 90%, а в октябре его планируют доделать. Заместитель главы комитета ВР по нацбезопасности и обороне Марьяна Безуглая заявила "5 каналу", что парламентарии сейчас работают вместе с Минцифрой, чтобы подтянуть туда информацию из других реестров.
Пока неясно, когда же новый реестр полноценно заработает и кто его создаст. В комментарии порталу DEV.ua представители Министерства цифровой трансформации (Минцифры) сообщили, что разработку подобных продуктов профильные государственные органы заказывают у IT-специалистов в рамках своих полномочий. Пока ни Минобороны, ни другие органы официально не объявляли тендер на создание цифрового реестра призывников, однако в будущем они могут воспользоваться новой платформой "Дія.Engine". Как отметили в Минцифры, электронные реестры должны разработать программисты, которых умеют создавать цифровые продукты на базе "Дія. Engine" — они не относятся к команде проекта "Дія" и действуют независимо, сейчас в Украине насчитывается 10 таких групп, состоящих в общем из 70 айтишников.
Что такое Дія.Engine
19 сентября Минцифра объявила о запуске новой платформы "Дія.Engine", которая призвана цифровизировать реестры. Ведомство обещает, что платформа ускорит запуск автоматизированных государственных услуг, чтобы данные легче подтягивались в сервисы "Дія" и усилит защиту от кибератак, но не уточняется, каким образом. Разработать концепцию, запустить первые реестры и наладить и взаимодействие через систему "Трембита" помог европейский проект EU4DigitalUA, внедряемый Академией электронного управления из Эстонии.
Стоит отметить, что "Трембита" — это украинская система, созданная специально для взаимосвязи между ресурсами, системами и электронными реестрами. Она предоставляет центральным и местным органам власти доступ к необходимой информации, для этого чиновникам необходимо авторизоваться при помощи электронной цифровой подписи и электронной печати владельца системы.
В день запуска новосозданную "Дія.Engine" использовали уже 20 министерств и центральных органов власти, одним из первых на ней запустили реестр поврежденного и разрушенного имущества для услуги "єВідновлення". 20 сентября Минцифры сообщила, что на платформе создаются более 20 новых электронных реестров, в том числе:
- лицензионные реестры МВД;
- систему растениеводства Минагро;
- реестр складских документов на зерно;
- система регистрации домашних животных;
- системы крови;
- системы нотификации косметической продукции, пищевых добавок, дезинфекционных средств;
- реестры субъектов медиа Нацсовета телерадиовещания.
Польза э-реестра призывников
Согласно пояснительной записке, новый реестр должен собрать всю необходимую информацию об украинских военнослужащих и упростить получение ими статуса участника боевых действий, лица с инвалидностью из-за войны, а родственникам воинов — статус семьи погибших защитников или защитниц. В тексте проекта также указано, какие именно данные и от каких ведомств нужно вносить в электронный реестр призывников, военнообязанных и резервистов, чтобы собрать их в одном месте.
Согласно законопроекту, военнообязанным больше не придется ходить в ТЦК, чтобы обновлять свои данные, ведь вся информация о них из разных государственных структур будет автоматически подгружаться в электронный реестр. Также украинцы смогут получить электронный военный билет и электронный журнал учета. Гражданам будет сложнее уклоняться от мобилизации, а "военкомам" — помогать уклонистам за взятки.
Украинский учитель Виктор Ткач в комментарии "5 каналу" рассказал о весьма неудобной ситуации, в которую попал из-за несогласованности органов власти. Он вез детей в лагерь, когда автобус остановили на блокпосту и вручили мужчине повестку. У Виктора есть бронь, но оказалось, что сотрудники ТЦК никак не могут это проверить. Педагогу пришлось идти в центр комплектования и доказывать свой статус.
"Лично мне было бы проще, если бы можно было в электронную базу внести свои документы и получить отсрочку, чтобы каждый раз не ехать на работу, собирать пакет документов — вдруг они недействительны", — высказался Виктор Ткач.
Консультант комитета Верховной Рады по вопросам национальной безопасности, обороны и разведки Иван Ступак считает, что появление электронного реестра значительно упростит мобилизацию. "Центр" будет видеть, сколько военнообязанных граждан есть в разных регионах Украины, какие у них специальности, на кого можно рассчитывать, и оценивать мобилизационные резервы.
"Это будет помогать бороться с уклонистами, военные к этому относятся хорошо. Потому что бывают ситуации, когда сотрудники ТЦК звонят, приносят повестки, ловят парней возле метро и говорят: "Ты пойдешь сейчас служить". Он говорит, что уже служит, а ему не верят", — прокомментировал ситуацию Николай Гриценко, офицер из бригады "Рубеж" Национальной гвардии Украины.
Все яйца в одной корзине: эксперты назвали риски
Хранить все данные призывников, военнослужащих и резервистов в одном реестре может быть удобно, но отнюдь не безопасно. Эксперт по телекоммуникациям и безопасности в цифровой среде Роман Химич считает, что наличие доступа к такой базе у большого количества людей значительно повышает риск утечки данных, а если такое случится — доказать что-либо будет сложно. Рано или поздно Россия может завладеть конфиденциальной информацией об украинцах и опубликовать ее, чтобы нанести мощный удар по репутации украинской власти.
В комментарии Фокусу Роман Химич также обратил внимание, что перед началом полномасштабного вторжения россияне успешно атаковали десятки информационных систем органов власти, включая целый ряд реестров, содержащих критически важную персональную информацию. Например, сведения об участниках новосформированной тогда Территориальной обороны и владельцах оружия. Эксперт напомнил, что в начале полномасштабного вторжения в Украине вовсе отключили многие электронные реестры в интересах безопасности, а в приложении "Дія" вместо цифровых паспортов до сих пор отображается упрощенный электронный документ.
"В первый же день войны МЦТ отключил доступ ко всем без исключения реестрам, расписавшись в неспособности обеспечить их защиту. Среди прочего в тыкву как бы совершенно внезапно превратились "е-паспорта", любимая погремушка министерства. Только через месяц вместо "е-паспортов" появился некий "еДокумент", который и продолжает присутствовать в "Діє". МЦТ не хватило полтора года, чтобы научиться защищать существующие реестры, это достоверно установленный факт", — заявил специалист.
По его словам, полноценно оценить цифровые продукты от Минцифры, такие как "Дія.Engine", невозможно, поскольку ведомство традиционно скрывает от общественности любую значимую информацию, официальные же сообщения несут преимущественно рекламный характер. Роман Химич предложил сравнить, как представлена "Дія" и "еДокумент" с одной стороны и функционально аналогичные средства идентификации Эстонии — там компания-разработчик SK ID Solutions разместила на официальном сайте сертификаты и подробную техническую информацию вплоть до исходного кода на GitHub.
"Такой впечатляющий, не побоюсь этого слово цивилизационный разрыв обусловлен характерным для МЦТ и его руководства способом мышления. Сначала было нашумевшее высказывание Михаила Федорова о том, что значимость кибербезопасности немного преувеличена. Затем разработчиками "Дії" была озвучена концепция Security through obscurity, т.е. осознанное сокрытие любых деталей как способ затруднить атаки на их продукт. Затем последовал большой конфликт между МЦТ с одной стороны и сообществом профессионалов в сфере безопасности — с другой. По ходу этого скандала ответственные лица МЦТ и их соратники из числа народных депутатов неоднократно были уличены во лжи", — поделился мнением Роман Химич.
Эксперт по кибербезопасности Константин Корсун рассказал Фокусу, что в Украине утечка данных из разных реестров является давней и чрезвычайно болезненной проблемой. По состоянию на февраль 2022 года в Украине насчитывалось около 340 различных реестров и баз данных, большинство из них создавались еще с 90-х годов "компьютерщиками"-самоучками из разных ведомств с соответствующим уровнем качества и степенью защищенности. В результате данные оттуда регулярно крали и продавали на нелегальных площадках.
"В феврале-марте 2022 года большинство реестров было в пожарном порядке перемещено на иностранные облачные хостинги – для их защиты от организованных кибер-банд преступной федерации. Но их техническое исполнение от перемещения в облака отнюдь не улучшилось. Даже если предположить, что реестр надежно защищен извне (что само по себе является большой условностью), то остается главный риск – так называемый человеческий фактор", — высказался Константин Корсун.
Он уточнил, что разработкой цифровых продуктов, обновлением, исправлением ошибок, обслуживанием занимаются живые люди, имеющие непосредственный доступ к самому программному обеспечению и, соответственно, данным в реестрах. У них есть слабости, их можно подкупить, запугать или каким-либо другим образом заставить передать данные. У разработчиков также есть начальники, от которых многое зависит.
"Если речь идет об информации о военнообязанных, да еще и во время полномасштабной войны за наше право существовать как нация и как государство – "цена ошибки" увеличивается до космической величины. Речь уже не идет о том, что какие-то персональные данные будут продаваться где-то там в телеграмм-каналах. Речь идет о жизнях людей. Если техническими или агентурными методами враг сможет получить данные обо всех военнообязанных – это уже не деньги. Это о человеческих жизни, о существовании государства Украина, о его независимости", — отметил киберэксперт.
Он добавил, что военнобязанные — это действующие военнослужащие на фронте, и ограниченно пригодные граждане, и уехавшие за границу, и те, кто незаконно "купил" статус непригодного к службе. К ним также относятсяя почти все медики, весь состав Генерального штаба ВСУ и Министерства обороны Украины. Враг может получить из реестра их адреса, номера телефонов, даты рождения, имена и контакты ближайших родственников. Все военнообязанные оказываются под риском угроз, шантажа, похищения, психологического давления, и даже убийства вражескими спецслужбами.
"Поэтому мне не нравится еще одна жертва Богу Реестров. Тем более от гражданских разработчиков. Тем более под патронатом "Дії", неоднократно доказававшей свой легкомысленный подход к вопросам безопасности", — подчеркнул Корсун.
Он задается вопросом, почему создание системы военного учета хотят поручить гражданским. По его информации, большая часть данных в реестр военнообязанных будет поступать из териториальных центров комлектования и социальной поддержки, так называемых "военкоматов", которые являются частью Сухопутных войск Украины. По логике, это должен быть исключительно внутривоенный проект, а привлечение к нему сторонних людей значительно увеличивает "поверхность атаки" (supply chain) и вероятность утечки информации. При этом в рядах ВСУ сейчас действуют достаточно мощные команды разработчиков, создаются вакансии для уже мобилизованных айтишников или желающих мобилизоваться.
"Еще один интересный момент: полгода назад главный идеолог концепции "Дія", Михаил Федоров, уверял, что рассылки повесток через это государственное приложение "нет ни в разработке, ни в планах". А теперь оказывается, что работа по этому направлению активно велась, результатом которой является "Дія.Engine", на основе которой хотят создать реестр военнообязанных. А если такой реестр будет создан на основе механизмов и инструментов "Дія", то рассылка повесток в ТЦК и СП будет очень простой технологической задачей. Буквально в один-два клика", — предположил Константин Корсун.
В то же время заместитель главы комитета ВР по нацбезопасности и обороне Марьяна Безуглая заверила журналистов "5 канала", что власти пока не собираются рассылать повестки через СМС или приложение "Дія". Впрочем, окончательного решения у политиков по поводу работы электронного реестра еще нет.