Рассылка повесток через "Дію" — легкая задача. В чем польза и риски э-реестра призывников
Витік інформації з електронного реєстру може створити ризик для життя українських військових або членів їхніх сімей, вважають експерти.
В Україні готуються запустити єдиний електронний реєстр військовозобов'язаних громадян, куди потраплять дані з різних відомств. Фокус розбирався, навіщо це потрібно, які переваги та ризики несе для українських громадян.
У вересні Рустем Умєров змінив Олексія Резнікова на посаді міністра оборони України й одразу ж анонсував масштабну цифровізацію для військових і військовозобов'язаних. Насамперед вона передбачає створення електронних військових квитків, реформування військово-лікарських комісій і запуск єдиного реєстру потенційних призовників.
Єдиний реєстр призовників викликає значний інтерес у суспільстві, адже він має спростити процедуру призову українців до лав Збройних сил під час війни. 18 вересня у Верховній Раді зареєстрували законопроєкт за номером 10062, покликаний полегшити взаємодію між відомствами для внесення інформації про військовозобов'язаних віком від 17 до 60 років до державного реєстру. Йдеться про персональні дані, як-от паспортні, номери телефонів, відомості про членів сім'ї, навчання, роботу та багато іншого.
Ще в 2022 році в Україні запустили реєстр під назвою "Оберіг", але там немає повної бази даних військовозобов'язаних. За інформацією 24 каналу, він готовий уже на 90%, а в жовтні його планують доробити. Заступниця голови комітету ВР з нацбезпеки і оборони Мар'яна Безугла заявила "5 каналу", що парламентарії зараз працюють разом із Мінцифрою, щоб підтягнути туди інформацію з інших реєстрів.
Поки незрозуміло, коли ж новий реєстр повноцінно запрацює і хто його створить. У коментарі порталу DEV.ua представники Міністерства цифрової трансформації (Мінцифри) повідомили, що розробку подібних продуктів профільні державні органи замовляють в IT-фахівців у межах своїх повноважень. Поки що ні Міноборони, ні інші органи офіційно не оголошували тендер на створення цифрового реєстру призовників, проте в майбутньому вони можуть скористатися новою платформою "Дія.Engine". Як зазначили в Мінцифри, електронні реєстри мають розробити програмісти, які вміють створювати цифрові продукти на базі "Дія. Engine" — вони не належать до команди проєкту "Дія" і діють незалежно, наразі в Україні налічується 10 таких груп, які складаються загалом із 70 айтівців.
Що таке Дія.Engine
19 вересня Мінцифра оголосила про запуск нової платформи "Дія.Engine", яка покликана цифровізувати реєстри. Відомство обіцяє, що платформа прискорить запуск автоматизованих державних послуг, щоб дані легше підтягувалися до сервісів "Дія" і посилить захист від кібератак, але не уточнюється, як саме. Розробити концепцію, запустити перші реєстри і налагодити взаємодію через систему "Трембіта" допоміг європейський проєкт EU4DigitalUA, який впроваджує Академія електронного урядування з Естонії.
Варто зазначити, що "Трембіта" — це українська система, створена спеціально для взаємозв'язку між ресурсами, системами та електронними реєстрами. Вона надає центральним і місцевим органам влади доступ до необхідної інформації, для цього чиновникам необхідно авторизуватися за допомогою електронного цифрового підпису та електронної печатки власника системи.
У день запуску новостворену "Дія.Engine" використовували вже 20 міністерств і центральних органів влади, одним із перших на ній запустили реєстр пошкодженого та зруйнованого майна для послуги "єВідновлення". 20 вересня Мінцифри повідомила, що на платформі створюються понад 20 нових електронних реєстрів, зокрема:
- ліцензійні реєстри МВС;
- систему рослинництва Мінагро;
- реєстр складських документів на зерно;
- система реєстрації домашніх тварин;
- системи крові;
- системи нотифікації косметичної продукції, харчових добавок, дезінфекційних засобів;
- реєстри суб'єктів медіа Нацради телерадіомовлення.
Користь е-реєстру призовників
Згідно з пояснювальною запискою, новий реєстр має зібрати всю необхідну інформацію про українських військовослужбовців і спростити отримання ними статусу учасника бойових дій, особи з інвалідністю через війну, а родичам воїнів — статус сім'ї загиблих захисників або захисниць. У тексті проєкту також зазначено, які саме дані і від яких відомств потрібно вносити до електронного реєстру призовників, військовозобов'язаних і резервістів, щоб зібрати їх в одному місці.
Згідно із законопроєктом, військовозобов'язаним більше не доведеться ходити до ТЦК, щоб оновлювати свої дані, адже вся інформація про них із різних державних структур автоматично довантажуватиметься до електронного реєстру. Також українці зможуть отримати електронний військовий квиток та електронний журнал обліку. Громадянам буде складніше ухилятися від мобілізації, а "військкомам" — допомагати ухилянтам за хабарі.
Український учитель Віктор Ткач у коментарі "5 каналу" розповів про вельми незручну ситуацію, в яку потрапив через неузгодженість органів влади. Він віз дітей у табір, коли автобус зупинили на блокпосту і вручили чоловікові повістку. У Віктора є бронь, але з'ясувалося, що співробітники ТЦК ніяк не можуть це перевірити. Педагогу довелося йти в центр комплектування і доводити свій статус.
"Особисто мені було б простіше, якби можна було в електронну базу внести свої документи й отримати відстрочку, щоб щоразу не їхати на роботу, збирати пакет документів — раптом вони недійсні", — висловився Віктор Ткач.
Консультант комітету Верховної Ради з питань національної безпеки, оборони та розвідки Іван Ступак вважає, що поява електронного реєстру значно спростить мобілізацію. "Центр" бачитиме, скільки військовозобов'язаних громадян є в різних регіонах України, які в них спеціальності, на кого можна розраховувати, і оцінюватиме мобілізаційні резерви.
"Це допомагатиме боротися з ухилянтами, військові до цього ставляться добре. Тому що бувають ситуації, коли співробітники ТЦК телефонують, приносять повістки, ловлять хлопців біля метро і кажуть: "Ти підеш зараз служити". Він каже, що вже служить, а йому не вірять", — прокоментував ситуацію Микола Гриценко, офіцер із бригади "Рубіж" Національної гвардії України.
Усі яйця в одному кошику: експерти назвали ризики
Зберігати всі дані призовників, військовослужбовців і резервістів в одному реєстрі може бути зручно, але аж ніяк не безпечно. Експерт із телекомунікацій та безпеки в цифровому середовищі Роман Хіміч вважає, що наявність доступу до такої бази у великої кількості людей значно підвищує ризик витоку даних, а якщо таке трапиться — довести що-небудь буде складно. Рано чи пізно Росія може заволодіти конфіденційною інформацією про українців і опублікувати її, щоб завдати потужного удару по репутації української влади.
У коментарі Фокусу Роман Хіміч також звернув увагу, що перед початком повномасштабного вторгнення росіяни успішно атакували десятки інформаційних систем органів влади, включно з цілою низкою реєстрів, що містять критично важливу персональну інформацію. Наприклад, відомості про учасників новосформованої тоді Територіальної оборони та власників зброї. Експерт нагадав, що на початку повномасштабного вторгнення в Україні зовсім відключили багато електронних реєстрів в інтересах безпеки, а в застосунку "Дія" замість цифрових паспортів досі відображається спрощений електронний документ.
"У перший же день війни МЦТ відключив доступ до всіх без винятку реєстрів, розписавшись у нездатності забезпечити їхній захист. Серед іншого на гарбуз ніби абсолютно раптово перетворилися "е-паспорти", улюблене брязкальце міністерства. Лише за місяць замість "е-паспортів" з'явився такий собі "єДокумент", який і досі присутній у "Дії". МЦТ не вистачило півтора року, щоб навчитися захищати наявні реєстри, це достовірно встановлений факт", — заявив фахівець.
За його словами, повноцінно оцінити цифрові продукти від Мінцифри, як-от "Дія.Engine", неможливо, оскільки відомство традиційно приховує від громадськості будь-яку значущу інформацію, а офіційні повідомлення мають переважно рекламний характер. Роман Хіміч запропонував порівняти, як представлено "Дію" та "еДокумент" з одного боку, та функціонально аналогічні засоби ідентифікації Естонії — там компанія-розробник SK ID Solutions розмістила на офіційному сайті сертифікати та детальну технічну інформацію аж до вихідного коду на GitHub.
"Такий разючий, не побоюся цього слова цивілізаційний розрив зумовлений характерним для МЦТ і його керівництва способом мислення. Спочатку було гучне висловлювання Михайла Федорова про те, що значення кібербезпеки трохи перебільшена. Потім розробники "Дії" озвучили концепцію Security through obscurity, тобто усвідомлене приховування будь-яких деталей як спосіб ускладнити атаки на їхній продукт. Потім стався великий конфлікт між МЦТ з одного боку і спільнотою професіоналів у сфері безпеки — з іншого. Під час цього скандалу відповідальних осіб МЦТ і їхніх соратників із-поміж народних депутатів неодноразово ловили на брехні", — поділився думкою Роман Хіміч.
Експерт із кібербезпеки Костянтин Корсун розповів Фокусу, що в Україні витік даних з різних реєстрів є давньою і надзвичайно болісною проблемою. Станом на лютий 2022 року в Україні налічувалося приблизно 340 різних реєстрів і баз даних, більшість із них створювали ще з 90-х років "комп'ютерники"-самоучки з різних відомств із відповідним рівнем якості та ступенем захищеності. У результаті дані звідти регулярно крали і продавали на нелегальних майданчиках.
"У лютому-березні 2022 року більшість реєстрів було в пожежному порядку переміщено на іноземні хмарні хостинги — для їхнього захисту від організованих кібербанд злочинної федерації. Але їх технічне виконання від переміщення в хмари аж ніяк не покращилося. Навіть якщо припустити, що реєстр надійно захищений ззовні (що саме собою є великою умовністю), то залишається головний ризик — так званий людський фактор", — висловився Костянтин Корсун.
Він уточнив, що розробкою цифрових продуктів, оновленням, виправленням помилок, обслуговуванням займаються живі люди, які мають безпосередній доступ до самого програмного забезпечення і, відповідно, даних у реєстрах. У них є слабкості, їх можна підкупити, залякати або якимось іншим чином змусити передати дані. У розробників також є начальники, від яких багато що залежить.
"Якщо йдеться про інформацію про військовозобов'язаних, та ще й під час повномасштабної війни за наше право існувати як нація і як держава — "ціна помилки" збільшується до космічної величини. Уже не йдеться про те, що якісь персональні дані продаватимуться десь там у Telegram-каналах. Йдеться про життя людей. Якщо технічними чи агентурними методами ворог зможе отримати дані про всіх військовозобов'язаних — це вже не гроші. Це про людські життя, про існування держави Україна, про її незалежність", — зазначив кіберексперт.
Він додав, що військовозобов'язані — це військовослужбовці, які діють на фронті, й обмежено придатні громадяни, і ті, хто виїхав за кордон, і ті, хто незаконно "купив" статус непридатного до служби. До них також належать майже всі медики, весь склад Генерального штабу ЗСУ та Міністерства оборони України. Ворог може отримати з реєстру їхні адреси, номери телефонів, дати народження, імена та контакти найближчих родичів. Усі військовозобов'язані опиняються під ризиком погроз, шантажу, викрадення, психологічного тиску, і навіть вбивства ворожими спецслужбами.
"Тому мені не подобається ще одна жертва Богу Реєстрів. Тим паче, від цивільних розробників. Тим паче під патронатом "Дії", яка неодноразово доводила свій легковажний підхід до питань безпеки", — підкреслив Корсун.
Він ставить питання, чому створення системи військового обліку хочуть доручити цивільним. За його інформацією, більша частина даних до реєстру військовозобов'язаних надходитиме з територіальних центрів комплектування та соціальної підтримки, так званих "військкоматів", які є частиною Сухопутних військ України. За логікою, це має бути винятково внутрішньовенний проєкт, а залучення до нього сторонніх людей значно збільшує "поверхню атаки" (supply chain) і ймовірність витоку інформації. При цьому в лавах ЗСУ зараз діють досить потужні команди розробників, створюються вакансії для вже мобілізованих айтівців або тих, хто бажає мобілізуватися.
"Ще один цікавий момент: пів року тому головний ідеолог концепції "Дія", Михайло Федоров, запевняв, що розсилки повісток через цей державний застосунок "немає ні в розробці, ні в планах". А тепер виявляється, що робота за цим напрямом активно велася, результатом якої є "Дія.Engine", на основі якої хочуть створити реєстр військовозобов'язаних. А якщо такий реєстр буде створено на основі механізмів та інструментів "Дія", то розсилка повісток до ТЦК та СП буде дуже простим технологічним завданням. Буквально в один-два кліки", — припустив Костянтин Корсун.
Водночас заступниця глави комітету ВР з нацбезпеки й оборони Мар'яна Безугла запевнила журналістів "5 каналу", що влада поки що не збирається розсилати повістки через СМС або застосунок "Дія". Утім, остаточного рішення у політиків щодо роботи електронного реєстру ще немає.