Неподільна "Дія": у Мінцифрі заявили про інтеграцію систем порталу та додатка держпослуг

Міністерство цифрової трансформації вживає заходів щодо інтеграції порталу та додатка державного сервісу "Дія". Про це відомство повідомило Фокусу у відповідь на запит.

Наприкінці січня Мінцифри розповіло Фокусу про переїзд порталу "Дія" на захищенішу інфраструктуру після хакерської атаки на українські урядові сайти 14 січня. Зокрема, технічні фахівці заявили про перехід порталу "Дія" на новий центр обробки даних (ЦОД) — той самий, на якому раніше протестували програму. Таким чином, зараз портал і програма фактично працюють на одній "хмарі".

У відповіді на новий запит у Мінцифри зазначили, що з технічного погляду вони мають можливість створити багатошарову структуру для розміщення двох продуктів на одному ЦОДі. У той же час, портал "Дія" та додаток "Дія" не ізолюватимуть повністю.

"У повній ізоляції продуктів один від одного немає потреби, враховуючи, що зараз здійснюються заходи щодо інтеграції двох систем на користь отримання послуг, — наголосила завідувачка сектору комунікації Мінцифри Юлія Абрамова. — Щодо безпеки такої інфраструктури з точки зору зберігання даних, то зазначена інфраструктура дозволяє забезпечити надійне та безпечне зберігання даних відповідно до вимог законодавства".

На запитання щодо можливості припущення помилок із боку адміністраторів "Дії", які гіпотетично могли б призвести до зламування та/або витоку даних із нової інфраструктури, у відомстві зазначили, що "з метою запобігання зламам і витокам даних державне підприємство "Дія" виконує всі вимоги нормативно-правових актів у сфері захисту інформації".

Дати докладніші відповіді в Мінцифри відмовилися, посилаючись на статтю 19 Конституції України, а також на статтю 1 Закону України "Про доступ до публічної інформації": "Визначальним для публічної інформації є те, що вона заздалегідь зафіксована будь-якими засобами та на будь-яких носіях і була у володінні суб'єктів владних повноважень, інших розпорядників публічної інформації. Таким чином, інформація, що запитується, не є публічною інформацією в розумінні Закону", — сказано в заяві.

Раніше невідомий користувач опублікував на RaidForums персональні дані українців, нібито отримані з порталу "Дія". Він виставив базу на продаж за $15 тис., розмістивши деякі фрагменти для ознайомлення.

У Мінцифри відразу ж назвали оголошення про "злив" даних із "Дії" фейком. Міністерство заявило, що на RaidForums виклали стару інформацію, яку було вкрадено не пізніше 2019 року з різних ресурсів.

Пізніше інженер-програміст Іван Сорочан знайшов у злитій базі дані свого 14-річного родича. Сорочан стверджує, що юнак отримав паспорт лише в серпні 2021 року, а не у 2019 році, і користувався лише додатком "Дія", але не порталом. Як вважає експерт із кібербезпеки Костянтин Корсун, при зломі порталу, якщо такий мав місце, хакери могли отримати доступ до даних не лише з порталу, а й із програми. У коментарі Фокусу Іван Сорочан припустив, що Мінцифри маніпулює громадською думкою, говорячи, що портал і додаток "Дія" — це два різні продукти.

Ще один експерт із кібербезпеки, Андрій Баранович, заявив, що в результаті кібератаки 14 січня було викрадено справжні дані з "Дії" та "Кабінету водія". За його словами, оприлюднені файли мають дуже багато ознак державних сервісів, щоб бути підробленими.