Результати опитувань будуть знеособлені та поміщені у "захищене середовище", але фахівці з кібербезпеки стверджують, що за бажанням можна легко деанонімізувати будь-якого користувача.
7 лютого 2022 року Кабінет Міністрів України затвердив Порядок проведення соціальних опитувань через портал "Дія" та через однойменний додаток. Експерти з кібербезпеки розкритикували нову ініціативу "дієвих", висловивши побоювання щодо збору персональних даних користувачів, а також можливості проведення "виборів у смартфоні", результати яких, на їхню думку, можна буде легко підробити. Фокус звернувся до Мінцифри, щоб дізнатися, як проходитиме авторизація громадян, котрі захотіли взяти участь в опитуваннях через "Дія", які дані, і ким, збиратимуться і де потім зберігатимуться.
Як знеособлюватимуться дані під час проведення опитувань у "Дія"
Відповідно до пунктів 4 та 13 Порядку, опитування проводяться в електронній формі (анкета) або на порталі, або у додатку "Дія". Як повідомили у Міністерстві цифрової трансформації, результати відображаються знеособлено у формі загальних даних і надсилаються разом із супровідним листом через систему електронної інформаційної взаємодії органів виконавчої влади, а також на електронну пошту, вказану ініціатором опитування.
"Іншими словами, ініціатор не бачитиме жодних даних, крім результатів опитування", — заявили у відомстві та наголосили, — "Сервіс опитувань ("Дія" — ред.) не збирає жодних персональних даних, а лише фіксує та обробляє (підраховує) обрані результати опитувань".
За словами чиновників, перш ніж пройти опитування в мобільному додатку "Дія", потрібно авторизуватися, і відбувається це так:
- у процесі авторизації користувач отримує унікальний знеособлений хеш-ключ;
- знеособлений хеш-ключ формується автоматично сервісом авторизації без участі людини.
На наше запитання, що мають на увазі під збором знеособлених даних "окремих категорій осіб", про яке згадується у пункті 12 Порядку, у відомстві нічого конкретного не відповіли, а лише підтвердили цей факт і наголосили:
"Персонал, який розробляє та забезпечує функціонування мобільного додатка "Дія", не працює з персональними даними користувачів".
Як, де і скільки зберігатимуться результати опитувань у "Дія"
У Порядку зазначено, що результати опитувань зберігаються технічним адміністратором порталу "Дія" (ДП "Дія" — ред.) протягом 3-х років із моменту їх завершення. На запитання Фокусу про те, чому обрано такий тривалий термін зберігання, у відомстві послалися на Постанову КМУ від 07.02.2022 №90 та пояснили, що "результати опитувань необхідно зберігати для відображення архіву проведених опитувань та їх результатів".
На наше питання щодо захисту зібраних даних, у Мінцифри відповіли, що вони зберігаються у захищеному середовищі у зашифрованому вигляді та прив'язані до знеособленого хеш-ключа з обмеженим доступом і логуванням для відстеження всіх дій і підозрілих активностей, щоб уникнути можливості повторної участі в опитуванні та будь-яких маніпуляцій".
"При цьому результати опитувань доступні всім користувачам, які брали в них участь, та їхнім ініціаторам. Користувачі й ініціатори можуть використати результати на власний розсуд", — повідомили у відомстві.
У Мінцифри додали, що захист інформації здійснюється відповідно до загальних вимог законодавства сфери захисту інформації та в межах, визначених Постановою КМУ від 4 грудня 2019 р. №1137 "Питання Єдиного державного вебпорталу електронних послуг і Реєстру адміністративних послуг".
"Також інформуємо, що обробка персональних даних у системах, власником або розпорядником інформації в яких є Мінцифри, здійснюється відповідно до вимог Закону України "Про захист персональних даних". Обробка персональних даних у межах, визначених Регламентом GDPR, Мінцифрою не здійснюється", — сказано у заяві.
Думка експертів щодо захисту та знеособлення даних, зібраних через "Дія"
Прояснимо, що таке хеш-ключ. Це вхідні дані будь-якого розміру (ключ), згорнуті (хеш) у рядок певного розміру. Метод такого згортання, чи перетворення, називається хеш-функцією. Хеш-функція застосовується під час створення унікальних ідентифікаторів для баз даних, збереження паролів у вигляді хеш-коду або в процесі генерування електронного цифрового підпису.
Логування — це запис логів (файлів, що містять інформацію про всі дії софту та користувачів). За допомогою логування можна відновити хронологію подій, відстежити джерела, зрозуміти, що спричинило збої, помилки, атаки ззовні.
Фокус поцікавився у фахівців у галузі кібербезпеки, наскільки надійним є метод авторизації за допомогою хеш-ключа та збору / зберігання даних із прив'язкою до знеособленого хеш-ключа за умови обмеженого доступу та логування?
Кір Важницький вважає, для того щоб не допустити повторного проходження опитувань, необхідно чітко логувати момент присвоєння знеособленого хеш-ключа, через що за позначкою часу в лозі можна буде відновити, кому саме хеш-ключ присвоєний, навіть якщо він не буде безпосередньо пов'язаний базі з обліковим записом у "Дія".
"Це нерозв'язне протиріччя — або логувати, щоб уникнути маніпуляцій, або знеособлювати. Навіть якщо зберігати ці дані в різних базах, отримавши одні дані, можна буде по ланцюжку відновити зв'язок з іншими даними. Інакше хтось з доступом (тим самим обмеженим) зможе "намалювати" будь-які результати в будь-якій кількості й ніхто, (зокрема вони самі) не зможе потім перевірити, чи правдиві результати, чи ні", — сказав Важницький.
Також експерт нагадав про кейс "Джо Байдена", вказавши, що досі ніхто не дав відповіді, ким було проведено цю маніпуляцію, "хоча логування автентифікації за допомогою ЕЦП або BankID — на порядок простіше".
"Це все, що потрібно пам'ятати про "логування для відстеження всіх дій і підозрілих активностей". А про "захищене середовище" дуже добре свідчать атаки 14 січня", — наголосив Кір.
Андрій Баранович у коментарі Фокусу зазначив, що знеособлення даних зазначеним Мінцифрою методом "із технічного погляду — нісенітниця".
"У Мінцифри зберігається можливість деанонімізувати будь-якого користувача. І якщо цю конструкцію хтось зламає, то й у зломника така можливість буде також", — пояснив Андрій.
Костянтин Корсун сумнівається в тому, що "середовище", де зберігатимуться зібрані дані, буде належно захищене, і що дані справді будуть "знеособлені".
"Така схема захищає тільки від зовнішнього несанкціонованого втручання. Та й то — багато залежить від ресурсів атакувальника, адже немає абсолютно захищених фортець, усе можна зламати", — каже Костянтин.
Він вважає, що запропонований метод аж ніяк не захищає від маніпуляцій з боку організатора опитування. Зважаючи на те, що організатор гарантує безпеку "захищеного середовища", він має доступ до зібраних даних, до логів і, можливо, до бази хешів.
"Дуже багато питань щодо конкретної реалізації заявленого підходу. А він, як відомо — у деталях", — резюмував Корсун.
Раніше ми повідомляли про те, що в додатку "Дія" понад 200 тис. громадян пройшли опитування.