"Дія" без мифов. Почему не стоит бояться перехода с бумажных паспортов на цифровые
"Дія" не содержит базы данных с документами. Базы данных хранятся в соответствующих защищенных реестрах. Бэкенд "Дії" просто позволяет сделать максимально защищенным запрос в реестр на документ и отразить эти данные в телефоне.
В ранее опубликованной на сайте Фокус авторской колонке эксперта по кибербезопасности Константина Корсуна была подвергнута сомнению безопасность шифрования персональных данных, использующихся в приложении "Дія". В качестве примера был использован кейс гражданки Украины Людмилы Ж., на имя которой мошенниками через приложение "Дія" был взят кредит, оформление которого невозможно без применения ЭЦП. При этом, как утверждал автор колонки, сама пани Людмила не брала кредит, не ставила электронную подпись и даже не имеет ID-карты — у нее до сих пор обычный бумажный паспорт, а потому приложением "Дія" она не пользуется.
В свою очередь, представители министерства в комментарии Фокусу заверили, что подобный взлом "не мог бы завершиться получением кредита с помощью цифрового паспорта, если бы финансовое учреждение грубо не нарушило правила, установленные НБУ. В правилах этого финучреждения указано подтверждения личности человека с помощью фото, чего, очевидно, не было сделано". Также в министерстве настаивают на том, что после данного инцидента были приняты необходимые меры для обеспечения безопасности, — "сразу после этого случая, еще в апреле, Минцифра отсоединила все кредитные учреждения от приложения "Дія" и обратилась к НБУ с просьбой осуществить внеплановую проверку финучреждений и предоставить подтверждения нарушений".
Так насколько надежен и безопасен разработанный специалистами Минцифры электронный паспорт гражданина Украины? Об этом — в предлагаемой вашему вниманию авторской колонке руководителя по развитию электронных услуг Минцифры Мстислава Баника.
В 2021 году у украинцев есть уже три законные формы паспорта гражданина: знаменитая паспорт-книжечка образца 1994 года, ID-карта и цифровой паспорт в Дії.
Напомню, что 30 марта 2021 302-мя голосами народных депутатов был принят закон № 1368-IX, который полностью приравнял цифровой паспорт к бумажному или пластиковому.
Что же такое паспорт?
Паспорт гражданина — главный документ человека. Он нужен почти во всех жизненных ситуациях — при получении всех публичных услуг, услуг в бизнесе, начиная с трудоустройства или заселения отель, заканчивая покупкой пива в супермаркете.
Соответственно, вопрос защиты такого документа — как со стороны государства, так и со стороны человека — должен быть максимальным. По очереди рассмотрим безопасность каждой из форм паспорта украинца.
Паспорт-книжечка
Всем знакомый знаменитый паспорт образца 1994 года. Безусловно, его "система безопасности" на 1994 год отвечала требованиям. Но уже сейчас она не является убедительной. Даже банкноты современного образца защищены больше, чем паспорта-книжечки.
Напомню, как проверить, что паспорт настоящий:
- Оттиск сухой печати — краешек на фото, все остальное — на самой странице.
- Водяные знаки, которые видны на свету, — надписи "УКРАИНА" по всей площади страницы. Уверен, что многие из вас вообще впервые слышат об этом.
- В ультрафиолетовом свете видно люминесцентный герб и волокна.
- Четкость печатных букв и среза отверстий перфорации с серией и номером документа. Просто топовый индикатор защиты паспорта, однозначно.
Не вижу смысла как-то комментировать эту систему безопасности сегодня, в 2021 году. Важно другое — большинство людей никогда в жизни не слышали о пунктах 2-4 и просто не сталкивались с ними. Во всех ситуациях смотрят фото, могут взглянуть оттиск. В наше время — это малообеспеченный бумажный документ с фото, который принимают просто на веру.
Итак, понятно, которыми грандиозными являются риски подделки такого документа. И это может быть не просто документ на вымышленную личность, а именно ваш поддельный паспорт с фото мошенника или мошенницы, чтобы подтвердить личность. И вы никогда не узнаете, какие операции с ними проводились без вашего ведома.
Качественного реестра таких паспортов нет из-за изношенности данных в картотеках и архивах. В разных базах есть "грязные" данные, которые не могут быть на 100% достоверными. Реестр утраченных паспортов, чтобы доказать, что это был не ваш документ, — также содержит далеко не всю информацию за 27 лет.
Кроме того, часть безопасности паспорта — это сведения о том, куда и на что идут его копии. И сейчас речь не о "копия верна" в банковских учреждениях или детском саду — здесь все более-менее в порядке. Зато риторический вопрос: есть ли у вас скан вашего паспорта в телефоне и сколько раз вы бросали его емейлом или "на вайбер" абсолютно неизвестным вам риелторам для аренды квартиры во Львове или для покупки тура в Египет и т.д.? Кажется, что даже сам бог уже не знает, у кого есть копии вашего паспорта.
ID-карта
Здесь уже все гораздо оптимистичнее. Форма паспорта гражданина Украины в форме ID-карты принято в 2016 году, и уже более 6000000 украинцев успешно перешли на современную и безопасную форму такого паспорта.
Сейчас продолжаются баталии, чтобы наконец сделать актуальными именно ID-карты и начать вывод из обращения паспортов-книжек. Законопроект № 3986 может в будущем таки сдвинуть этот вопрос.
Особенности безопасности ID-карты:
1. Внутри карточки на максимально защищенном чипе содержатся данные гражданина и его биометрия. Подделать или сломать его защиту невозможно.
2. Для проверки или получения данных по NFC используется PIN-код, который человек устанавливает самостоятельно при получении документа. Это записывается исключительно на чип и никто, кроме владельца, не сможет воспользоваться "айдишкой".
Безопасность — супер. Это тот документ, который точно соответствует современности. Человеку надо лишь быть внимательным — не терять его и никому не сообщать свой PIN-код.
Однако "но" все-таки есть, хоть и не связаны с безопасностью. NFC почти никто нигде не считывает, документ так же принимают на веру и продолжают ксерить и бросать сканы в мессенджеры.
Конечно, это вопрос "гигиены" обращения с документами, но здесь как с тропами — человек всегда будет ходить более удобной для себя.
Цифровой паспорт в "Дії"
В "Дії" доступно сразу два цифровых паспорта — ID-карта и биометрический заграничный. Дело в том, что оба эти документа имеют одинаковую юридическую силу. Это определено в статье 13 Закона Украины № 1357-IX "О Едином государственном демографическом реестре и документах, подтверждающих гражданство Украины, удостоверяющих личность или ее специальный статус". А поскольку ID-карточек выдано более 6000000, а иностранных свыше 17 — их практическая доступность в "Дії" становится очевидной.
Но, будьте внимательны: пересекать границу с цифровым загранпаспортом нельзя.
По сути, цифровой паспорт в "Дії" является прямым отображением данных из реестра ГМС. То есть, для того, чтобы документ отобразился в приложении, нужно получить один из паспортов.
Особенности безопасности цифрового паспорта в "Дії":
- Его нельзя потерять.
- Его не могут похитить и использовать воры.
- Его невозможно подделать.
- Для того, чтобы получить доступ к паспорту в потерянном телефоне, надо взломать код доступа к телефону и код доступа к "Дії".
- Даже если злоумышленник добрался до "Дії", он ничего не сможет сделать, ведь скриншот документа из приложения не является копией паспорта и основанием для каких-либо сделок.
Что касается копии цифрового паспорта — мы изобрели совершенно иную логику вместо "ксерокса" и "копия верна". Пошагово, как это работает:
- Компания подключается к "Дії", чтобы иметь возможность получать цифровые копии документов из приложения. Мы проверяем, имеет ли она право на копии документов граждан, и если да — происходит техническая интеграция с нашей системой и авторизация компании.
- При предоставлении услуги сотрудник компании сканирует QR-код или штрихкод на обороте карточки. Для этого человек разблокирует телефон и вводит код доступа в "Дії".
- Срок жизни кодов — 3 минуты. То есть, старый код использовать для запроса на документы нельзя.
- После скана QR или штрихкода человек получает оповещения в "Дії", где отмечается, кто и когда просит прислать копию документа. Это важно, чтобы точно понимать, кто получит копию, и зафиксировать это в логах.
- Если все в порядке — человек подтверждает запрос на копию.
- Далее в системе формируется копия документа в виде PDF-файла и в JSON-формате (для автозаполнения форм в системе компании), подписывается электронным ключом "Дії" и направляется шифрованным каналом.
- Компания получает копию документа. Компания, а не работник. Он вообще может не иметь доступа к копии документа.
- Сама копия — это не скан, не скриншот— это A4 с текстом и фото, на котором также указано, когда и по чьему запросу была создана эта копия. То есть, повторно использовать ее невозможно.
Поэтому, как видите, мы сделали процесс максимально безопасным — с запросами и подтверждениями, отсутствием человеческого фактора, логирования и одновременно в простом интерфейсе.
Что касается проверки, то действительный паспорт в "Дії" проверяется через тот же QR. Он инициирует запрос в реестр ГМС и показывает ограниченные данные именно оттуда. То есть поддельный QR не сможет никак помочь ввести в заблуждение и показать ложный документ.
Напоследок.
О безопасности паспорта образца 1994 говорить особо нечего — там безопасность того же 1994 года.
ID-карта защищена, но могут возникнуть неудобства с ридерами чипов в бытовых жизненных ситуациях, поэтому документ до сих пор ксерят и принимают на веру.
Паспорта в "Дії" и сценарии их использования в жизненных ситуациях являются безопасными, минимизируют риски и любые шансы на похищение, подделку или манипуляции с документами со стороны мошенников. Документ всегда под рукой в телефоне, а проверка или запрос на копию формируются через запрос в реестр ГМС, чем не может похвастаться ни книжечка, ни "айдишка".
"Дія" не содержит базы данных с документами. Базы данных хранятся в соответствующих защищенных реестрах. Бэкенд "Дії" просто позволяет сделать максимально защищенным запрос в реестр на документ и отразить эти данные в телефоне.
Мы постоянно подтверждаем надежность приложения. Мобильное приложение получило аттестат соответствия Комплексной системы защиты информации (КСЗИ) на мобильное приложение "Дія 2.0". Мы успешно прошли 2 pen-теста "Дії" с партнерами USAID и Академией е-правительства Эстонии.
В декабре 2020 года команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке агентства по международному развитию США (USAID) провела тестирование (багбаунти) на нахождение возможных ошибок в "Дії" с призовым фондом в 1000000 гривен. Это был челлендж для "этических" хакеров со всего мира. Идея — "сломать" копию приложения и найти уязвимости в "Дії" 2.0".
Этические хакеры со всего мира подтвердили надежность "Дії" во время проведения программы Bug Bounty. В приложении не выявили уязвимостей, которые бы влияли на безопасность. Найдено два технических бага низкого уровня, которые сразу были исправлены специалистами проекта "Дія".