Цифровые манипуляции. Что не так с критикой приложения "Дія"
Дия спроектирована таким образом, что использовать цифровые документы без владельца в рамках действующего законодательства невозможно. Даже если телефон украден и доступ получен.
В последнее время появилось довольно много откровенно манипулятивных материалов, касающихся приложения #Дія. Соответственно, получаю много вопросов от друзей, коллег и СМИ на эту тему.
Далее по сути вопросов.
Манипуляция 1. Злоумышленники могут "клонировать" цифровые документы в Дие.
Автор этой манипуляции на своем примере демонстрирует, как ему удалось установить мобильное приложение Дия на разные устройства и после прохождения электронной идентификации отобразить собственные цифровые документы. Ну и в чем сенсация? Дия сработала в штатном режиме.
Да, действительно, пользователь может иметь несколько телефонов и планшет. Он может установить приложение на эти устройства и после е-идентификации пользоваться услугами. Или он потерял / у него украли телефон и пользуется новым. На майском Дия.Саммит мы специально презентовали новую функцию Дии, касающуюся контроля устройств и сессий, а также возможность одновременно сделать log-out со всех устройств. Кстати, автор манипуляции также описывает, как благодаря этой функции увидел все свои устройства. так что все очень логично ).
Однако сервис Дия.Подпись одновременно работает только на одном устройстве, а это главное, чего не указал автор. Именно Дия.Подпись является доступом к наиболее критическим сервисам, но ее получение и использование требует прохождения дополнительной идентификации высшего уровня.
И главное — Дия спроектирована таким образом, что использовать цифровые документы без владельца в рамках действующего законодательства невозможно. Даже если телефон украден и доступ получен! И тут переходим к следующей манипуляции.
Манипуляция 2. Через Дию можно легко взять на вас кредит
Процедуры, регламентированные в законодательстве, предусматривают две основные модели получения кредита: офлайн во время личного визита — тут понятно, что показать чужой цифровой паспорт точно так же невозможно, как и чужой бумажный; и онлайн — тут, действительно, ОДНИМ ИЗ ЭТАПОВ получения кредита может быть предоставление электронной копии цифрового паспорта (шеринг).
Важно, что именно одним из этапов, ведь нормативными актами устновлены требования к дистанционной идентификации, которые, в частности, предусматривают фотографию (селфи) заявителя с паспортом в руках. Это делает невозможной подачу чужих цифровых копий. Это по сути.
К сожалению, "схемы", связанные с получением кредита на другое лицо, существуют и процветают в Украине очень давно — как на базе бумажных копий документов, так и путем получения доступа к интернет-банкингу.
Действительно, сейчас мы имеем один подобный инцидент, связанный с Дией. Однозначно имело место злоупотребление нормами законодательства со стороны одного кредитного учреждения, которые быстро ликвидировали этот кредит. Этот случай сейчас расследует киберполиция (спойлер — очень успешно) и через неделю-две мы публично и подробно представим результаты этого расследования, а также ряд других. Так что я очень прошу всех не манипулировать и не воспринимать фантазии "экспертов". Мы покажем детально все материалы.
Кстати, этот случай имел место в марте этого года и сразу в апреле, еще до публичной огласки, мы отсоединили все кредитные учреждения и направили письмо в НБУ по поводу нарушения ими правил предоставления кредитов и необходимости проведения проверок. Так что наша реакция была моментальной и жесткой — намного раньше публичной огласки, которая сейчас только мешает делу.
Удивляет, что "эксперты", которые так активно говорят об этом случае, оставляют без внимания десятки тысяч других цифровых афер и взломов банкинга.
По информации Киберпола, они получают до 70 обращений в неделю по поводу получения кредита. Почему-то эти случаи никого не тревожат! Понятно, что происходит обыкновенный хайп на Дие, а не защита граждан.
Цифровые аферы точно не являются нашим прямым функционалом, но, поскольку мы уже столкнулись с этой проблемой и оценили ее массовость, пойдем, как всегда, до конца.
Через несколько недель с Киберполицией и НБУ мы презентуем сериал о типовых цифровых "схемах" похищения личности украинцев, ведь повышение цифровой грамотности и кибергигиена являются главным инструментом борьбы с такими аферами. Также, совместно с НБУ планомерно работаем над повышением надежности схемы идентификации BankID. В июле НБУ обнародовал новые более жесткие условия относительно банков, и я уверен, продолжение последует.
И главное, мы создаем Дию, чтобы все государственные услуги были доступны вам в один клик! Без взяток, без бюрократии и без посещения чиновников.
Публикуется с согласия автора.
Напомним, Фокус рассматривал случаи возможных манипуляций и злоупотреблений с использования цифровой подписи украинцев в материале Колосс на цифровых ногах. Также в рубрике Мнения эксперты в сфере цифровой безопасности высказывали свою точку зрения по этому поводу:
Думать, как преступник. Как в 5 шагов взломать "Дию" и украсть чужую личность
Цифровой апокалипсис в Украине. Как приложение "Дія" может отобрать у вас все
Возьми все, я себе еще нарисую! Как "клонировать" е-документы украинцев и чем это грозит