Неделимая "Дія": в Минцифре заявили об интеграции систем портала и приложения госуслуг
Ранее чиновники разделяли продукты, а теперь обещают защитить персональную информацию украинцев, интегрировав две системы и разместив сервисы на одном ЦОД.
Министерство цифровой трансформации принимает меры по интеграции портала и приложения государственного сервиса "Дія". Об этом ведомство сообщило Фокусу в ответ на запрос.
В конце января Минцифры рассказало Фокусу о переезде портала "Дія" на более защищенную инфраструктуру после хакерской атаки на украинские правительственные сайты 14 января. В частности, технические специалисты заявили о переходе портала "Дія" на новый центр обработки данных (ЦОД) — тот самый, на котором ранее протестировали приложение. Таким образом, сейчас портал и приложение фактически работают на одном "облаке".
В ответе на новый запрос, в Минцифры отметили, что с технической точки зрения у них есть возможность создать многослойную структуру для размещения двух продуктов на одном ЦОД. В то же время, портал "Дія" и приложение "Дія" не будут изолировать полностью.
"В полной изоляции продуктов друг от друга нет нужды, учитывая, что сейчас осуществляются мероприятия по интеграции двух систем в интересах получения услуг", — подчеркнула заведующая сектора коммуникации Минцифры Юлия Абрамова. — "Что касается безопасности такой инфраструктуры с точки зрения хранения данных, то указанная инфраструктура позволяет обеспечить надежное и безопасное хранение данных в соответствии с требованиями законодательства".
На вопрос касательно возможности допущения ошибок со стороны администраторов "Дія", которые гипотетически могли бы привести ко взлому и/или утечке данных из новой инфраструктуры, в ведомстве отметили, что "с целью предотвращения взломов и утечек данных государственное предприятие "Дія" выполняет все требования нормативно-правовых актов в области защиты информации".
Дать более подробные ответы в Минцифры отказались, ссылаясь на статью 19 Конституции Украины, а также на статью 1 Закона Украины "О доступе к публичной информации": "Определяющим для публичной информации является то, что она заранее зафиксирована любыми средствами и на любых носителях и находилась во владении субъектов властных полномочий, других распорядителей публичной информации. Таким образом, запрашиваемая информация не является публичной информацией в понимании Закона", — сказано в заявлении.
Ранее неизвестный пользователь опубликовал на RaidForums персональные данные украинцев, якобы полученные из портала "Дія". Он выставили базу на продажу за $15 тыс., разместив некоторые фрагменты "для ознакомления".
В Минцифры сразу же назвали объявление о "сливе" данных из "Дії" фейком. Министерство заявило, что на RaidForums выложили старую информацию, которая была украдена не позднее 2019 года с различных ресурсов.
Позже инженер-программист Иван Сорочан нашел в слитой базе данные своего 14-летнего родственника. Сорочан утверждает, что юноша получил паспорт только в августе 2021 года, а не в 2019 году, и пользовался только приложением "Дія", но не порталом. Как считает эксперт по кибербезопасности Константин Корсун, при взломе портала, если таковой имел место, хакеры могли получить доступ к данным не только из портала, но и из приложения. В комментарии Фокусу Иван Сорочан предположил, что Минцифры манипулирует общественным мнением, говоря, что портал и приложение "Дія" — это два разных продукта.
Еще один эксперт по кибербезопасности, Андрей Баранович, заявил, что в результате кибератаки 14 января были похищены настоящие данные из "Дія" и "Кабинета водителя". По его словам, обнародованные файлы имеют слишком много признаков государственных сервисов, чтобы быть поддельными.