Ковидная рулетка. Кто, как и сколько заработает на карантине

Многомиллионный теневой рынок теневых услуг, на котором будет возможно купить е-документы, способные пройти любую проверку уже возник и быстро развивается, уже сложился прейскурант. Через полгода-год любые проверки ковидных сертификатов потеряют всякий смысл.

QR-код

Недавно Верховная Рада одобрила в первом чтении законопроект №6084 (инициатор — премьер Денис Шмыгаль), устанавливающий следующие санкции за подделку сертификатов о вакцинации:

  • Штраф от 17 то 34 тысяч гривен или ограничение свободы на срок до двух лет за использование поддельного ковид-сертификата;
  • Медикам, за внесение в медицинскую документацию ложных данных о вакцинации, — штраф от 34 тысяч до 68 тысяч гривен или лишение свободы на срок до двух лет с последствиями для будущего трудоустройства;
  • Штраф до 170 тысяч либо лишение свободы до трех лет за изготовление и продажу поддельных сертификатов.

Бросается в глаза суровость предлагаемых санкций. Даже минимальные 17 тысяч гривен это больше месячного дохода большинства граждан. При этом, напомню, сопоставимые санкции уже действуют в отношении граждан, которые имели несчастье забыть дома удостоверяющие документы. Статья 443 Административного кодекса сулит им от 17 до 34 тысяч и прецеденты уже есть.

Особенно наглядно сопоставление предлагаемых наказаний с тем, что имеет место в случае нарушения ПДД или подделки документов. Напомню, что даже вождение в состоянии опьянения не рассматривается как уголовное преступление. Не случайно в своем заключении Главное научно-экспертное управление ВР высказывается о законопроекте №6084 вполне однозначно:

"Встановлення окремої (спеціальної) кримінальної відповідальності за підроблення документів, що стосуються проведення профілактичних щеплень, є надмірною криміналізацією, негативними наслідками якої, зокрема, є створення штучної конкуренції кримінально-правових норм та порушення принципу економії кримінально-правової репресії."

Итак, государство выбрало агрессивно принуждать. При этом необходимо понимать, что Украина движется в сторону увеличения частоты вакцинаций. Речь идет не только о регулярных "бустерах", но и о вакцинации детей, причем не подростков, а именно детей, начиная с пяти лет. Подростков вакцинировать уже решили.

По мнению социологов, дети являются единственной реальной сверхценностью украинцев. Антивакцинаторы готовы, скрепя сердце, рискнуть собственным здоровьем, но рисковать детьми, тем более маленькими, они точно не захотят. Уже хорошо представляя, как ведут себя в подобных случаях украинцы, приходится ожидать расцвета черного рынка соответствующих услуг.

Этот рынок уже возник и быстро развивается, уже сложился прейскурант. Справка о результатах ПЦР-теста стоит порядка 500 гривен. Сертификат о вакцинации — от 1600 грн. Можно ожидать, что по мере закручивания гаек стоимость сертификата будет только расти. Напомню, что речь идет о том, как избежать штрафа минимум в 17 тысяч гривен, а то и лишения свободы, пусть даже условно.

Важно
Будут ли сажать врачей за фальшивые COVID-сертификаты? Да, но нет
Будут ли сажать врачей за фальшивые COVID-сертификаты? Да, но нет

Минцифра на страже (?) вакцинации

В центре системы цифрового контроля за всей кампанией вакцинации находится флагманский продукт Минцифры, мобильное приложение "Дия". Очевидно, разработчики этого продукта существуют в какой-то альтернативной реальности, где отсутствуют и программные уязвимости, и прыткие граждане, очень успешные в придумывании обходных решений.

Неадекватность Минцифры вызовам в части безопасности ее разработок стала очевидна в свете новостей о задержании юных "хакеров", которые вышли на рынок упомянутых услуг с чем-то вроде муляжей "Дии". Самому молодому из задержанных полицией исполнилось всего лишь 15 лет.

Важно
Откройте, киберполиция! Почему создание фейковой Дии — не подделка документов
Откройте, киберполиция! Почему создание фейковой Дии — не подделка документов

Представители Минцифры отреагировали на это заявлениями в духе "этого не может быть, так как не может быть никогда, система защищена от любых посягательств". В некотором смысле это скорее правда, чем ложь, поскольку сфабриковать действительный QR-код реального человека пока что никто не смог. Однако юные "хакеры" пошли совершенно другим путем. Они решили этот вопрос до неприличия простым образом и стали торговать QR-кодами случайных людей или даже вовсе "левыми" кодами, которые в принципе не выдерживают проверки. Дело в том, что для формальной проверки условным "вахтером" на входе в типичный ТРЦ этой примитивной обманки вполне достаточно.

Естественно, чтобы пройти более тщательную проверку, особенно если ее проводит полиция с доступом к официальным базам данных, нужны более качественные подделки. И тут нас ожидает новый сюрприз — люди с "гибкой этической системой" готовы предоставить такие подделки как массовый сервис и обслуживать уже существующий спрос. Напомню, по большинству оценок в Украине приблизительно 10 млн. дееспособных граждан настроены решительно против вакцинации.

Вот результаты свежайшего исследования "Вакцинація та громадяни: Жовтень 2021", которые обнародовал Ukrainian Institute for the Future. Они позволяют оценить потенциальный объем этого рынка. Опрошены 2400 респондентов, представляющих 30,5 млн. жителей от 18 лет и старше.

Ключевые факты:

  • Больше трети граждан (36%) утверждают, что вообще не собираются вакцинироваться;
  • Больше всего проблем с молодым поколением: 64% украинской молодежи не хочет вакцинироваться.
  • Категория респондентов, которые не хотят вакцинироваться, главной причиной называют недоверие каким-либо вакцинам (48%).
Результаты свежайшего исследования "Вакцинація та громадяни: Жовтень 2021", которые обнародовал Ukrainian Institute for the Future.
Результаты свежайшего исследования "Вакцинація та громадяни: Жовтень 2021", которые обнародовал Ukrainian Institute for the Future.
Результаты свежайшего исследования "Вакцинація та громадяни: Жовтень 2021", которые обнародовал Ukrainian Institute for the Future.
Результаты свежайшего исследования "Вакцинація та громадяни: Жовтень 2021", которые обнародовал Ukrainian Institute for the Future.

В серии публикаций, которые были подготовлены волонтерами Рабочей группы по безопасности и доверию в цифровой среде детально описывается самый негативный сценарий. Оцените размах подхода: речь идет о полноценной бирже, на которой продается услуга поиска, приобретения и аренды цифровых данных, которые можно использовать для идентификации граждан с помощью мобильного приложения "Дия". В дело пойдет все, включая скриншоты с паспортными данными; скриншоты с QR-кодами ковидных сертификатов; скриншоты с QR-кодами е-паспортов.

Важно
Цифровизация здорового человека. Как получить сертификат вакцинации международного образца
Цифровизация здорового человека. Как получить сертификат вакцинации международного образца
Скриншоты с QR-кодами е-паспортов.
Скриншоты с QR-кодами е-паспортов.
Скриншоты с QR-кодами ковидных сертификатов
Скриншоты с QR-кодами ковидных сертификатов

Безопасность данных

Но это только первый уровень криминального сервиса, который годится для обмана вахтеров начального уровня. Для более тщательных проверок Министерство Теневой Цифровизации готово предоставить намного больше, нежели просто красивый муляж. Технически возможно создать сервис, в котором клиент посылает свое фото, а поисковый механизм биржи предлагает ему на выбор документы людей с более-менее похожей внешностью, ранжируя их по степени внешнего сходства и стоимости. Оплатив выбранный вариант, клиент получает фейковую "Дию" с персональными данными выбранного им лица.

Важно
Думать, как преступник. Как в 5 шагов взломать "Дию" и украсть чужую личность
Думать, как преступник. Как в 5 шагов взломать "Дию" и украсть чужую личность

На сегодняшний день для такого сервиса есть почти все необходимое, включая общедоступные алгоритмы обработки изображений. По сути, не хватает только одного, но очень важного элемента – действительно большой базы данных, содержащей сведения про документы десятков и сотен тысяч граждан.

Архитекторы "Дии" в своей бесконечной мудрости, кажется, сделали все возможное, чтобы подобный фокус оказался максимально прост. Не буду погружать вас в технические детали, но решение оказалось до удивления простым. Простым настолько, что вместе с моим сыном мы смогли его реализовать в домашних условиях как технический эксперимент по передаче данных между устройствами.

Так как все е-документы были нашими личными, мы не нарушили никаких законов. Это стало возможным благодаря тому, что в Минцифре считают крутейшей фишкой, а именно возможности одновременного сосуществования множества (судя по всему — неограниченного, хоть сто, хоть миллион) экземпляров е-документов одного и того же лица. Вместо общепринятого в мире взрослых людей принципа "один человек — один носитель — один документ" в Украине имеет место альтернативный, мягко говоря, подход.

Как результат, вахтер, стоящий на входе в крупный ТРЦ, может незаметно и беспрепятственно "майнить" персональные данные ничего не подозревающих граждан. Оставаясь в рамках своих полномочий, он вправе собирать, как минимум, CoVID-сертификаты предъявителя.

Демонстрируя похвальную бдительность, вахтер может требовать предоставить ему еще и е-паспорта граждан. При известной сноровке на одного посетителя может уходить около 20 секунд. За час можно намайнить до сотни экземпляров, за смену — под тысячу.

Организованная преступность охотно инвестирует в персональные данные граждан. Всякий сколь-нибудь объемный массив таких данных имеет свою цену, которую готовы заплатить заинтересованные лица. В России уже сложился и много лет успешно функционирует теневой рынок персональных данных. К сожалению, пока что Украина движется именно в этом направлении.

Важно
Сегодня в России, завтра — в Украине. Чего ждать украинцам в мире киберпреступности без границ
Сегодня в России, завтра — в Украине. Чего ждать украинцам в мире киберпреступности без границ

Дефекты главного инструмента цифровой идентификации граждан открывают беспрецедентные возможности для т.н. "кражи личности", махинаций с финансовыми активами и даже имущественными правами. Напомню, что везде и всюду внешность человека рассматривается как ключевой фактор его идентификации. Именно поэтому мошенники вклеивают свои фотографии в чужие документы.

Возможность находить двойников любого человека, возможность получить хоть какие-то документы похожих на тебя лиц радикально упростит жизнь злоумышленникам. Изъяны безопасности продвигаемых Минцифрой е-документов открывают возможности для изощренного мошенничества и махинаций. Это будет иметь катастрофические последствия для важнейших национальных служб: системы идентификации граждан; нотариата и прочих доверительных услуг, которые завязаны на идентификацию граждан; систему учета имущественных прав.

Важно
Возьми все, я себе еще нарисую! Как "клонировать" е-документы украинцев и чем это грозит
Возьми все, я себе еще нарисую! Как "клонировать" е-документы украинцев и чем это грозит

Что делать? Куда бежать?

Начнем с того, что официальная позиция Минцифры основана на заведомо недостоверных утверждениях и выглядит следующим образом: "Під час підтвердження особи з Дією ваші персональні дані не передаються". Эту же чепуху повторяет и первый заместитель министра Алексей Выскуб: "Перевірка QR-коду жодним чином не веде до копіювання чи розповсюдження данних".

Официальная позиция Минцифры основана на заведомо недостоверных утверждениях и выглядит следующим образом: "Під час підтвердження особи з Дією ваші персональні дані не передаються".
Официальная позиция Минцифры основана на заведомо недостоверных утверждениях и выглядит следующим образом: "Під час підтвердження особи з Дією ваші персональні дані не передаються".
Первый замминистра  МЦТ Алексей Выскуб: "Перевірка QR-коду жодним чином не веде до копіювання чи розповсюдження данних". Скриншот из соцсети.
Первый замминистра МЦТ Алексей Выскуб: "Перевірка QR-коду жодним чином не веде до копіювання чи розповсюдження данних". Скриншот из соцсети.

Между тем речь идет о вещах предельно простых и легко проверяемых. Вот физиономия и установочные данные гражданина в его смартфоне (иллюстрация), а вот они же — в смартфоне вахтера.

Вот фото и установочные данные гражданина в его смартфоне.
Вот фото и установочные данные гражданина в его смартфоне.
А вот те же данные с фото — в смартфоне вахтера.
А вот те же данные с фото — в смартфоне вахтера.

К сожалению, судьба персональных данных, которые обрабатывают (а то и накапливают) своими личными смартфонами разного рода проверяющие, неясна настолько, насколько это вообще может быть. В ситуации использования собственных смартфонов всевозможные вахтеры имеют ничем не ограниченную возможность накапливать у себя персональные данные граждан в промышленных масштабах. Речь идет о ситуации, чреватой массовыми злоупотреблениями с очень неприятными последствиями.

(Неутешительные) итоги

Министерство цифровой трансформации играет с огнем, рассматривая всех нас как расходный материал амбициозных затей своего руководства. И министерство, и его руководитель игнорируют даже предельно ясные свидетельства угроз, которые вызвало к жизни их детище.

Если все будет идти так, как сейчас, через полгода-год пару лет любые проверки ковидных сертификатов потеряют всякий смысл. Возникнет многомиллионный рынок теневых услуг, на котором будет возможно купить соответствующие е-документы, способные пройти любую проверку.

Одним из следствий этого станет девальвация любых удостоверяющих документов, невозможность достоверным образом выяснять, с кем мы имеем дело. Кто получатель наших денег, кто собственник квартиры, которую мы считаем своей и так далее и тому подобное.

Чем дольше в Минцифре игнорируют эти угрозы, тем выше шансы их успешной реализации. Кто может остановить чересчур уверенного в своей удаче вице-премьера? Хороший вопрос…