"Забыли о кометах, инопланетянах и роботах": Минцифры ответило экспертам на критику "Дія"

Недавно эксперты по кибербезопасности определили 22 существенных дефекта сервиса государственных услуг "Дія". Первый заместитель министра цифровой трансформации Алексей Выскуб прокомментировал каждый из пунктов в официальном заявлении, направленном по запросу Фокуса. Мы публикуем развернутые ответы по 12-ти наиболее важным пунктам. С полным ответом Министерства вы можете ознакомиться, перейдя по ссылке.

Существенные дефекты архитектуры приложения "Дія"

В своем документе эксперты указали, что в "Дія" нарушен один из базовых принципов электронной идентификации — разграничение инструментов по уровню доверия. В частности, в приложении для идентификации используется BankID — технология, которая имеет средний уровень доверия и уязвима для кибератак.

"Содержание данного замечания не имеет вообще никакого отношения к архитектуре мобильного приложения, что уже вызывает кучу вопросов касательно "экспертности" этих замечаний и понимания авторами данной тематики в целом. Описанные в настоящем пункте замечания касаются использования средств электронной идентификации пользователей, а никак не архитектуры мобильного приложения", — заявил Алексей Выскуб.

По словам замминистра, для начальной электронной идентификации пользователей в приложении "Дія" действительно используется BankID, — система со средним уровнем доверия от НБУ. Такие системы обычно используются для некритичных электронных сервисов, данные из которых не могут привести к получению, изменению или прекращению прав и/или исполнению обязанностей пользователя, например, получение информации из государственных реестров. После идентификации пользователю приложения доступны услуги, соответствующие среднему уровню доверия, а именно: доступ к цифровому паспорту, цифровому водительскому удостоверению, возможность заказать ковидный сертификат, получить информацию о штрафах, судебных заседаниях и так далее.

"Все эти сервисы фактически являются отображением данных о пользователе из разных государственных реестров и информационных систем", — отметил Выскуб. — "Непосредственное использование цифрового паспорта в банках, на почте и т.д., безусловно, является сервисом с более высоким уровнем риска, но это невозможно осуществить без собственника".

Обработка и хранение персональных данных в "Дія"

Алексей Выскуб признал, что и мобильное приложение и портал "Дія" обрабатывают персональные данные украинцев. В случае с приложением, Минцифры с первого дня использует принцип data in transition.

"Это означает, что мобильное приложение не агрегирует и не накапливает персональные данные граждан из разных реестров, а только отображает каждому пользователю данные о нем. Соответствующие данные хранятся непосредственно на пользовательском устройстве", – объяснил чиновник.

Возможность перехвата и накопления персональных данных при проверке е-документов в "Дія"

"Для оценки несуразности этого замечания нужно "включить" критическое мышление и обычную логику. Ежедневно украинцы посещают тысячи разных организаций, получение услуг в которых предусматривает предъявление или предоставление копии паспорта – спортивные, медицинские, почтовые, транспортные услуги и т.д", — подчеркнул Выскуб.

Он отметил, что разные организации имеют право обрабатывать персональные данные клиентов с согласия последних. Таким образом сотрудники этих организаций получают доступ к персональным данным граждан, на сами организации при этом распространяются нормы Закона Украина "О защите персональных данных". Если же кто-то будет распространять или использовать эту информацию не по назначению, то станет преступником.

"Возникает логичный вопрос: а зачем в этих организациях кому-то создавать очень сложное техническое решение для накопления скринов данных, которые очень сложно обрабатывать и использовать, если эти данные и так доступны в базах данных этих организаций?" — парировал замминистра.

Возможные мошенничества с использованием "Дії"

Эксперты заявили о возможности удаленно открыть банковский счет с использованием приложения "Дія" и случаях мошенничества с использованием такой схемы. Алексей Выскуб возразил, что дистанционное открытие счетов осуществляется, в частности, согласно требованиям Постановления НБУ "Об утверждении Положения об осуществлении учреждениями финансового мониторинга", которое предусматривает обязательную фото/видео идентификацию клиента со стороны банка, что делает невозможным открытие счета, даже при условии компрометации е-паспорта.

"Вопреки утверждениям авторов, отметим, что на сегодняшний день не существует ни одного подтвержденного факта получения незаконного кредита с использованием мобильного приложения. И это вообще невозможно в соответствии с требований действующего законодательства. Да, действительно на страницах авторов в Facebook распространялась откровенные фейки по взятию кредитов через мобильное приложение "Дія". Все эти фейки опровергли как представители банков или МФО, так и киберполиции", — заявил представитель Минцифры.

Эксперты привели статистику, согласно которой в 2021 году ежемесячно в среднем фиксировались 4566 случаев мошенничества с оформлением кредитов при помощи украденных мобильных телефонов. Выскуб обратил внимание, что на сегодняшний день "Дію" используют 14 млн граждан Украины и каждый день производится примерно 40 тыс. шерингов цифровых документов. Кроме того, есть сервис для информирования о запросах о кредитной истории, который может свести количество мошеннических действий к нулю.

"А теперь представим, что эти 5 или 6 фейковых кредитов от авторов действительно были (имеются ввиду случаи мошенничества, когда эксперты подозревали компрометацию приложения "Дія", — ред.). Это 0,00009% от всех мошеннических кредитов и 0,0000003% от всех шерингов в "Дії". Эти цифры говорят сами за себя. Итак, можем констатировать умышленное распространение недостоверной информации о кредитах через ""Дію и умышленное поднятие информационного отрицательного шума авторами", — отметил он.

Возможность следить за пользователями через приложение "Дія"

Этот пункт Алексей Выскуб назвал "абсолютным фейком". По его словам, для того чтобы хотя бы теоретически появилась возможность для слежки, мобильное приложение должно спрашивать у пользователей разрешение на определение местонахождения. "Дія" не просит такое разрешение, а потому не может собирать данные о перемещении или действиях владельца смартфона.

"Также отмечаем, что государственным бюджетом предусмотрены средства на проведение международного аудита киберзащиты "Дія" в 2022 году", — рассказал чиновник.

Риски дистанционного "взлома" смартфона с установленным приложением "Дія"

Как отметил чиновник, публикация каждой функции в "Дії" проходит процедуру согласование в онлайн-магазинах Google и Apple, специалисты этих компаний проверяют техническую реализацию и юридическое основание. К примеру, юридическая защита публикации COVID-сертификатов длилась почти месяц с привлечением международных юристов и экспертов.

"Доступ к камере запрашивается исключительно для прохождения электронной идентификации FaceID, и это обычно тщательно проверяется специалистами Google и Apple, как и наличие юридического основания. Что касается доступа к хранилищу и микрофону, то такие разрешения в мобильном приложения не запрашиваются. И это очередной фейк от авторов. Так что такие заявления авторов свидетельствуют о реальном непонимании процессов", — подчеркнул Выскуб.

Риски фальсификации выборов в смартфоне с использованием приложения "Дія"

По мнению замминистра, обсуждение даже гипотетической возможности проведения онлайн-выборов не имеет смысла, поскольку на сегодняшний день в Украине не существует законодательных актов, описывающих процедуру реализации Интернет-голосования, в т. ч. через мобильное приложение "Дія". Он добавил, что подобные технологии используют на выборах в Эстонии, Австралии и Швейцарии.

"Также существует несколько общеизвестных технических решений в мире, которые успешно реализуют как секретность голосования через технологию "двойного конверта", да и голосование без принуждения благодаря возможности изменить голос", — ответил Алексей Выскуб.

Чрезмерная централизация системы и агрегация полномочий

Как утверждает замминистра, при внесение данных в базовые государственные реестры должностные лица обязательно применяют квалифицированную электронную подпись (КЭП). То есть регистраторы имущественных прав регистрируют право собственности граждан, работники миграционной службы производят соответствующие записи о паспортах и ​​так далее. Такие права и перечень лиц очень жестко регламентирован каждым органом, а потому администраторы не могут получить доступ.

Электронное взаимодействие "Дії" с реестрами происходит через систему "Трембита" с соблюдением единых стандартов и протоколов, правил шифрования, авторизации и т.д. Такой метод не предполагает доступа к реестрам, а только к соответствующим сервисам "Трембиты", выполняющим стандартные процедуры запроса данных о конкретном человеке с последующим отображением этих данных в "Дії" без каких-либо прав на доступ, запись или изменение.

"Описание этого пункта свидетельствует об абсолютном непонимании авторами правил работы государственных реестров Утверждение о доступе администраторов "Дія" к государственным реестрам является настолько некомпетентным, что ставит под сомнение вообще любой намек на экспертное восприятие этого документа", — прокомментировал Алексей Выскуб заявление экспертов.

Создание искусственной монополии приложения "Дія"

"Утверждение "Сертификаты вакцинации долгое время можно получить исключительно через приложение Дія" вызывает удивление и улыбку", – высказался замминистра.

По его словам, Минцифры в рекордные сроки разработали цифровой ковидный сертификат именно благодаря сервису "Дія" и прошли аудит ЕС, а Украина одной из первых присоединилась к доверительной сети ЕС. В итоге 20 августа 2021 года украинцам стали доступны цифровые сертификаты в приложении, а в сентябре – на портале.

Чиновник подчеркнул, что цифровой сертификат о вакцинации является требованием Евросоюза, однако в с первого дня Украине внутреннего пользования действовало бумажное свидетельство об иммунизации. Услуга по выплате 8000 грн. компенсации для ФЛП работала на портале "Дія" без необходимости применения КЭП, к тому же более 90% ФЛП представляют отчетность онлайн. Программа "єПідтримка" будет действовать год и инструменты будут постоянно расширяться. За первый месяц программой воспользовалось более 8 млн украинцев, что, по словам Выскуба, свидетельствует о доступности и удобстве услуги.

Сомнительность объективности проведения государственной экспертизы приложения "Дія"

"Описание этого пункта окончательно ставит точку в неэкспертности авторов. Во-первых, аттестат соответствия КСЗИ публичен и его элементарно получить через поисковый запрос в Google. Учитывая утверждение авторов "Минцифры продолжает скрывать аттестат соответствия КСЗИ", обращаемся к журналистам с просьбой предоставить цифровую помощь авторам в поиске этого документа через Google", — иронизирует Алексей Выскуб.

Замминистра отметил, что "Дія" получила 2 аттестата, которые находятся в публичном доступе. Также он акцентировал, что аттестат соответствия подписывает не глава Госспецсвязи, а экспертная организация – лицензиат, которая осуществляла экспертизу. Фокусу удалось найти ссылку на один аттестат.

Возможность неограниченного клонирования документов в "Дія"

Алексей Выскуб привел базовый общемировой принцип электронных документов, который изложен, в Законе Украины "Электронные документы и электронный документооборот": "В случае отправки электронного документа нескольким адресатам или его хранение на нескольких электронных носителях информации каждый из электронных экземпляров считаются оригиналом электронного документа".

Он подчеркнул, что многие украинцы используют несколько устройств, например, смартфон и планшет, а потому имеют право пройти идентификацию и получить доступ к государственным услугам на каждом из них. Многие граждане имеют не одно устройство – телефон + смартфон или несколько смартфонов, и соответственно они могут на каждом из устройств пройти электронную идентификацию и получить доступ к функциям и сервисам "Дія", но это нельзя назвать клонированием. Важный нюанс: без владельца невозможно использовать паспорт, будь он бумажным пластиковым или цифрового.

Непрозрачность порядка использовать приложение "Дії" другими организациями

Алексей Выскуб ответил, что интеграция организаций с "Дієй" происходит в рамках законодательства по соответствующему сервису и на основании договорных условий. В случае нарушения условий договора и соответствующего законодательства ГП "Дія" может отключить компанию.

"Также обращаем внимание, что авторы далеко не полностью осветили возможные угрозы для действия. Мы не нашли в перечне падения кометы, инопланетное вторжение, увлечение работами и многие другие прямые угрозы существования "Дія", — подытожил Алексей Выскуб.

Ранее эксперты рассказали, как украинцам защититься от "слива" данных из "Дія". В случае утечки информации приложение удалять уже бесполезно, однако стоит сменить пароли и принять другие меры предосторожности.