Ковідна рулетка. Хто, як і скільки заробить на карантині
Багатомільйонний тіньовий ринок тіньових послуг, на якому можна буде купити е-документи, які здатні пройти будь-яку перевірку, вже виник і швидко розвивається, уже склався прейскурант. Через пів року-рік чи кілька років будь-які перевірки ковідних сертифікатів втратять будь-який сенс.
Нещодавно Верховна Рада схвалила у першому читанні законопроєкт №6084 (ініціатор — прем'єр Денис Шмигаль), який встановлює такі санкції за підробку сертифікатів щодо вакцинації:
- Штраф від 17 до 34 тисяч гривень або обмеження волі на строк до двох років за використання підробленого ковід-сертифікату;
- Медикам за внесення до медичної документації неправдивих даних про вакцинацію — штраф від 34 тисяч до 68 тисяч гривень або позбавлення волі на строк до двох років із наслідками для майбутнього працевлаштування;
- Штраф до 170 тисяч або позбавлення волі до трьох років за виготовлення та продаж підроблених сертифікатів.
Впадає у вічі суворість пропонованих санкцій. Навіть мінімальні 17 тисяч гривень – це більше ніж місячний дохід більшості громадян. При цьому, нагадаю, схожі санкції вже діють щодо громадян, які мали нещастя забути вдома документи, що засвідчують проходження вакцинації. Стаття 443 Адміністративного кодексу обіцяє їм від 17 до 34 тисяч, і прецеденти вже є.
Особливо наочно зіставлення пропонованих покарань про те, що має місце в разі порушення ПДР або підробки документів. Нагадаю, що навіть водіння у стані сп'яніння не розглядається як кримінальний злочин. Не випадково у своєму висновку Головне науково-експертне управління ВР висловлюється про законопроєкт №6084 цілком однозначно:
"Встановлення окремої (спеціальної) кримінальної відповідальності за підроблення документів, що стосуються проведення профілактичних щеплень, є надмірною криміналізацією, негативними наслідками якої, зокрема, є створення штучної конкуренції кримінально-правових норм та порушення принципу економії кримінально-правової репресії."
Отже, держава обрала агресивно примушувати. При цьому варто розуміти, що Україна рухається в бік збільшення частоти вакцинацій. Йдеться не лише про регулярні "бустери", а й про вакцинацію дітей, причому не підлітків, а саме дітей, починаючи з п'яти років. Підлітків вакцинувати вже вирішили.
На думку соціологів, діти є єдиною реальною надцінністю українців. Антивакцинатори готові, згнітивши серце, ризикнути власним здоров'ям, але ризикувати дітьми, тим більше маленькими, вони точно не захочуть. Уже добре уявляючи, як поводяться в подібних випадках українці, доводиться чекати на розквіт чорного ринку відповідних послуг.
Цей ринок виник і швидко розвивається, уже склався прейскурант. Довідка про результати ПЛР-тесту коштує близько 500 гривень. Сертифікат про вакцинацію — від 1600 грн. Очікується, що в міру закручування гайок вартість сертифіката тільки зростатиме. Нагадаю, що йдеться про те, як уникнути штрафу щонайменше в 17 тисяч гривень, а то й позбавлення волі, хай навіть умовно.
Мінцифра на сторожі (?) вакцинації
У центрі системи цифрового контролю за всією кампанією вакцинації флагманський продукт Мінцифри, мобільний додаток Дія. Очевидно, розробники цього продукту існують у якійсь альтернативній реальності, де відсутні і програмні вразливості, і прудкі громадяни, які дуже успішні у вигадуванні обхідних рішень.
Неадекватність Мінцифри викликам у частині безпеки її розробок стала очевидною у світлі новин про затримання юних "хакерів", які вийшли на ринок згаданих послуг із чимось на зразок муляжів "Дії". Наймолодшому із затриманих поліцією виповнилося лише 15 років.
Представники Мінцифри відреагували на це заявами на кшталт "цього не може бути, тому що не може бути ніколи, система захищена від будь-яких посягань". У певному сенсі це скоріше правда, ніж брехня, оскільки сфабрикувати дійсний QR-код реальної людини поки що ніхто не зміг. Проте юні "хакери" пішли зовсім іншим шляхом. Вони вирішили це питання до непристойності простим чином і стали торгувати QR-кодами випадкових людей або навіть "лівими" кодами, які в принципі не витримують перевірки. Справа в тому, що для формальної перевірки умовним "вахтером" на вході в типовий ТРЦ цієї примітивної обманки цілком достатньо.
Звичайно, щоб пройти більш ретельну перевірку, особливо якщо її проводить поліція з доступом до офіційних баз даних, потрібні якісніші підробки. І тут на нас чекає новий сюрприз — люди з "гнучкою етичною системою" готові надати такі підробки як масовий сервіс та обслуговувати попит, що вже існує. Нагадаю, за більшістю оцінок в Україні приблизно 10 млн дієздатних громадян рішуче налаштовані проти вакцинації.
Ось результати нового дослідження "Вакцинація та громадяни: Жовтень 2021", які оприлюднив Ukrainian Institute for the Future. Вони дають змогу оцінити потенційний обсяг цього ринку. Опитано 2400 респондентів, які представляють 30,5 млн жителів від 18 років та старших.
Ключові факти:
- Більше третини громадян (36%) стверджують, що взагалі не мають наміру вакцинуватися;
- Найбільше проблем із молодим поколінням: 64% української молоді не хоче вакцинуватися.
- Категорія респондентів, які не хочуть вакцинуватися, головною причиною називають недовіру до будь-яких вакцин (48%).
У серії публікацій, які були підготовлені волонтерами Робочої групи з безпеки та довіри в цифровому середовищі, детально описується найнегативніший сценарій. Оцініть розмах підходу: йдеться про повноцінну біржу, на якій продається послуга пошуку, придбання та оренди цифрових даних, які можна використовувати для ідентифікації громадян за допомогою мобільного додатка "Дія". У справу піде все, включаючи скріншоти із паспортними даними; скріншоти з QR-кодами ковідних сертифікатів; скріншоти з QR-кодами е-паспортів.
Безпека даних
Але це лише перший рівень кримінального сервісу, який підходить для обману вахтерів початкового рівня. Для ретельніших перевірок Міністерство Тіньової Цифровізації готове надати набагато більше, ніж просто красивий муляж. Технічно можна створити сервіс, у якому клієнт посилає своє фото, а пошуковий механізм біржі пропонує йому на вибір документи людей з більш-менш схожою зовнішністю, ранжуючи їх за рівнем зовнішньої подібності та вартості. Сплативши обраний варіант, клієнт отримує фейкову "Дію" з персональними даними обраної ним особи.
На сьогодні для такого сервісу є майже все необхідне, включаючи загальнодоступні алгоритми обробки зображень. По суті, не вистачає лише одного, але дуже важливого елемента – справді великої бази даних, яка містить відомості про документи десятків та сотень тисяч громадян.
Архітектори "Дії" у своїй нескінченній мудрості, здається, зробили все можливе, щоб подібний фокус виявився максимально простим. Не занурюватиму вас у технічні деталі, але рішення виявилося напрочуд простим. Простим настільки, що разом із моїм сином ми змогли його реалізувати в домашніх умовах як технічний експеримент з передачі даних між пристроями.
Оскільки всі е-документи були нашими особистими, ми не порушили жодних законів. Це стало можливим завдяки тому, що в Мінцифрі вважають найкрутішою фішкою, а саме можливості одночасного співіснування множини (судячи з усього — необмеженої, хоч сто, хоч мільйон) екземплярів е-документів однієї й тієї ж особи. Замість загальноприйнятого у світі дорослих людей принципу "одна людина — один носій — один документ" в Україні має місце альтернативний, м'яко кажучи, підхід.
Як результат, вахтер, котрий стоїть на вході у великий ТРЦ, може непомітно і безперешкодно "майнути" персональні дані громадян, які нічого не підозрюють. Залишаючись у межах своїх повноважень, він має право збирати, як мінімум, CoVID-сертифікати пред'явника.
Демонструючи похвальну пильність, вахтер може вимагати надати йому ще й е-паспорт громадян. При відомій вправі на одного відвідувача може йти близько 20 секунд. За годину можна намайнити до сотні екземплярів, за зміну – під тисячу.
Організована злочинність охоче інвестує в персональні дані громадян. Будь-який об'ємний масив таких даних має свою ціну, яку готові заплатити зацікавлені особи. У Росії вже багато років успішно функціонує тіньовий ринок персональних даних. На жаль, поки що Україна рухається саме в цьому напрямку.
Дефекти головного інструменту цифрової ідентифікації громадян відкривають безпрецедентні можливості т.зв. "крадіжки особи", махінацій з фінансовими активами і навіть майновими правами. Нагадаю, що всюди зовнішність людини розглядається як ключовий фактор її ідентифікації. Саме тому шахраї вклеюють свої фотографії в чужі документи.
Можливість знаходити двійників будь-якої людини, можливість отримати хоч якісь документи схожих на тебе осіб радикально спростить життя зловмисникам. Вади безпеки е-документів, що просуваються Мінцифрою, відкривають можливості для витонченого шахрайства та махінацій. Це матиме катастрофічні наслідки для найважливіших національних служб: системи ідентифікації громадян; нотаріату та інших довірчих послуг, що пов'язані з ідентифікацією громадян; систему обліку майнових прав.
Що робити? Куди тікати?
Почнемо з того, що офіційна позиція Мінцифри заснована на свідомо недостовірних твердженнях і виглядає так: "Під час підтвердження особи з Дією ваші персональні дані не передаються". Цю ж нісенітницю повторює і перший заступник міністра Олексій Вискуб: "Перевірка QR-коду жодним чином не веде до копіювання чи розповсюдження даних".
Тим часом мова йде про речі гранично прості і такі, що легко перевіряються. Ось фізіономія та настановні дані громадянина в його смартфоні (ілюстрація), а ось вони ж – у смартфоні вахтера.
На жаль, доля персональних даних, які обробляють (або навіть накопичують) своїми особистими смартфонами різного роду перевіряльники, незрозуміла настільки, наскільки це може бути. У ситуації використання власних смартфонів всілякі вахтери мають нічим не обмежену можливість накопичувати в себе персональні дані громадян у промислових масштабах. Йдеться про ситуацію, що загрожує масовими зловживаннями з дуже неприємними наслідками.
(Невтішні) підсумки
Міністерство цифрової трансформації грає з вогнем, розглядаючи всіх нас як витратний матеріал амбітних витівок свого керівництва. І міністерство, і його керівник ігнорують навіть гранично зрозумілі свідчення загроз, що викликало до життя їхнє дітище.
Якщо все йтиме так, як зараз, через пів року-рік чи кілька років будь-які перевірки ковідних сертифікатів втратять будь-який сенс. Виникне багатомільйонний ринок тіньових послуг, на якому можна буде придбати відповідні е-документи, які здатні пройти будь-яку перевірку.
Одним із наслідків цього стане девальвація будь-яких документів, неможливість достовірним чином з'ясовувати, з ким ми маємо справу. Хтось одержувач наших грошей, хтось власник квартири, яку ми вважаємо своєю тощо.
Чим довше в Мінцифрі ігнорують ці загрози, тим вищі шанси на їх успішну реалізацію. Хто може зупинити надто впевненого у своєму успіху віцепрем'єра? Гарне питання…