"Забули про комети, інопланетян і роботів": Мінцифри відповіло експертам на критику "Дії"

Нещодавно експерти з кібербезпеки визначили 22 суттєві дефекти сервісу державних послуг "Дія". Перший заступник міністра цифрової трансформації Олексій Вискуб прокоментував кожен із пунктів у офіційній заяві, надісланій на запит Фокусу. Ми публікуємо розгорнуті відповіді за 12 найважливішими пунктами. З повною відповіддю Міністерства ви можете ознайомитись, перейшовши за посиланням.

Істотні дефекти архітектури програми "Дія"

У своєму документі експерти вказали, що в "Дії" порушено один із базових принципів електронної ідентифікації — розмежування інструментів за рівнем довіри. Зокрема, у додатку для ідентифікації використовується BankID — технологія, яка має середній рівень довіри та вразлива для кібератак.

"Зміст цього зауваження не має взагалі жодного відношення до архітектури мобільного додатка, що вже викликає купу запитань щодо "експертності" цих зауважень і розуміння авторами цієї тематики в цілому. Описані в цьому пункті зауваження стосуються використання засобів електронної ідентифікації користувачів, а ніяк не архітектури мобільного програми", — заявив Олексій Вискуб.

За словами заступника міністра, для початкової електронної ідентифікації користувачів у додатку "Дія" дійсно використовується BankID — система із середнім рівнем довіри від НБУ. Такі системи зазвичай використовуються для некритичних електронних сервісів, дані з яких не можуть призвести до отримання, зміни або припинення прав та/або виконання обов'язків користувача, наприклад отримання інформації з державних реєстрів. Після ідентифікації користувачеві програми доступні послуги, що відповідають середньому рівню довіри, а саме: доступ до цифрового паспорта, цифрового посвідчення водія, можливість замовити ковідний сертифікат, отримати інформацію про штрафи, судові засідання і так далі.

"Усі ці сервіси фактично є відображенням даних про користувача з різних державних реєстрів та інформаційних систем, — зазначив Вискуб. — Безпосереднє використання цифрового паспорта в банках, на пошті тощо, безумовно, є сервісом із вищим рівнем ризику, але це неможливо здійснити без власника".

Обробка та зберігання персональних даних у "Дії"

Олексій Вискуб визнав, що мобільний додаток і портал "Дія" обробляють персональні дані українців. У випадку з додатком Мінцифри з першого дня використовує принцип data in transition.

"Це означає, що мобільний додаток не агрегує та не накопичує персональні дані громадян із різних реєстрів, а лише відображає кожному користувачеві дані про нього. Відповідні дані зберігаються безпосередньо на пристрої", — пояснив чиновник.

Можливість перехоплення та накопичення персональних даних при перевірці е-документів у "Дії"

"Для оцінки безглуздості цього зауваження потрібно "увімкнути" критичне мислення та звичайну логіку. Щодня українці відвідують тисячі різних організацій, отримання послуг у яких передбачає пред'явлення чи надання копії паспорта – спортивні, медичні, поштові, транспортні послуги тощо", — наголосив Вискуб.

Він зазначив, що різні організації мають право обробляти персональні дані клієнтів за згодою останніх. Таким чином, співробітники цих організацій отримують доступ до персональних даних громадян, на самі організації при цьому поширюються норми Закону України "Про захист персональних даних". Якщо ж хтось поширюватиме або використовуватиме цю інформацію не за призначенням, то стане злочинцем.

"Виникає логічне запитання: а навіщо в цих організаціях комусь створювати дуже складне технічне рішення для накопичення скринів даних, які дуже складно обробляти та використовувати, якщо ці дані й так доступні в базах даних цих організацій?" — парирував заступник міністра.

Можливі шахрайства з використанням "Дії"

Експерти заявили про можливість віддалено відкрити банківський рахунок із використанням програми "Дія" та випадки шахрайства з використанням такої схеми. Олексій Вискуб заперечив, що дистанційне відкриття рахунків здійснюється, зокрема, відповідно до вимог Постанови НБУ "Про затвердження Положення про здійснення установами фінансового моніторингу", що передбачає обов'язкову фото/відео ідентифікацію клієнта з боку банку, що унеможливлює відкриття рахунку, навіть за умови компрометації е-паспорта.

"Усупереч твердженням авторів, зазначимо, що на сьогодні не існує жодного підтвердженого факту отримання незаконного кредиту з використанням мобільного додатка. І це взагалі неможливо відповідно до вимог чинного законодавства. Так, справді, на сторінках авторів у Facebook поширювалися відверті фейки щодо взяття кредитів через мобільний додаток "Дія". Усі ці фейки спростували як представники банків або МФО, так і кіберполіції", — заявив представник Мінцифри.

Експерти навели статистику, згідно з якою у 2021 році щомісяця в середньому фіксувалося 4566 випадків шахрайства з оформленням кредитів за допомогою вкрадених мобільних телефонів. Вискуб звернув увагу, що на сьогодні "Дію" використовують 14 млн громадян України, і щодня виробляється приблизно 40 тис. шерингів цифрових документів. Крім того, є сервіс для інформування про запити про кредитну історію, який може звести кількість шахрайських дій до нуля.

"А тепер уявімо, що ці 5 або 6 фейкових кредитів від авторів дійсно були (маються на увазі випадки шахрайства, коли експерти підозрювали компрометацію додатка "Дія", — ред.). Це 0,00009% від усіх шахрайських кредитів та 0,0000003% від усіх шерингів у "Дії". Ці цифри говорять самі за себе. Отже, можемо констатувати навмисне поширення недостовірної інформації про кредити через "Дію" та навмисне підняття інформаційного негативного шуму авторами", — зазначив він.

Можливість стежити за користувачами через програму "Дія"

Цей пункт Олексій Вискуб назвав "абсолютним фейком". За його словами, для того, щоб хоча б теоретично з'явилася можливість для стеження, мобільний додаток повинен запитувати користувачів дозволу на визначення місцезнаходження. "Дія" не просить такого дозволу, а тому не може збирати дані про переміщення або дії власника смартфона.

"Також зазначаємо, що державним бюджетом передбачено кошти на проведення міжнародного аудиту кіберзахисту "Дія" у 2022 році", — розповів чиновник.

Ризики дистанційного "злому" смартфона зі встановленим додатком "Дія"

Як зазначив чиновник, публікація кожної функції в "Діі" проходить процедуру узгодження в онлайн-магазинах Google і Apple, фахівці цих компаній перевіряють технічну реалізацію та юридичну підставу. Наприклад, юридичний захист публікації COVID-сертифікатів тривав майже місяць із залученням міжнародних юристів і експертів.

"Доступ до камери запитується виключно для проходження електронної ідентифікації FaceID, і це зазвичай ретельно перевіряється фахівцями Google і Apple, як і наявність юридичної підстави. Щодо доступу до сховища та мікрофону, то такі дозволи в мобільному додатку не запитуються. І це черговий фейк від авторів. Отже, такі заяви авторів свідчать про реальне нерозуміння процесів", — підкреслив Вискуб.

Ризики фальшування виборів у смартфоні з використанням програми "Дія"

На думку заступника міністра, обговорення навіть гіпотетичної можливості проведення онлайн-виборів не має сенсу, оскільки на сьогодні в Україні не існує законодавчих актів, що описують процедуру реалізації інтернет-голосування, зокрема через мобільний додаток "Дія". Він додав, що такі технології використовують на виборах в Естонії, Австралії та Швейцарії.

"Також існує кілька загальновідомих технічних рішень у світі, які успішно реалізують як секретність голосування через технологію "подвійного конверта", так і голосування без примусу завдяки можливості змінити голос", — відповів Олексій Вискуб.

Надмірна централізація системи й агрегація повноважень

Як стверджує заступник міністра, під час внесення даних до базових державних реєстрів посадові особи обов'язково застосовують кваліфікований електронний підпис (КЕП). Тобто реєстратори майнових прав реєструють право власності громадян, працівники міграційної служби виробляють відповідні записи про паспорти тощо. Такі права та перелік осіб дуже жорстко регламентований кожним органом, тому адміністратори не можуть отримати доступ.

Електронна взаємодія "Дії" з реєстрами відбувається через систему "Трембіта" з дотриманням єдиних стандартів і протоколів, правил шифрування, авторизації тощо. Такий метод не передбачає доступу до реєстрів, а лише до відповідних сервісів "Трембіти", які виконують стандартні процедури запиту даних про конкретну людину з подальшим відображенням цих даних у "Дії" без будь-яких прав на доступ, запис або зміну.

"Опис цього пункту свідчить про абсолютне нерозуміння авторами правил роботи державних реєстрів. Твердження про доступ адміністраторів "Дії" до державних реєстрів є настільки некомпетентним, що ставить під сумнів взагалі будь-який натяк на експертне сприйняття цього документа", — прокоментував Олексій Вискуб заяву експертів.

Створення штучної монополії програми "Дія"

"Твердження "Сертифікати вакцинації довгий час можна отримати виключно через додаток "Дія" викликає подив і посмішку", – висловився заступник міністра.

За його словами, Мінцифри в рекордні терміни розробили цифровий ковідний сертифікат саме завдяки сервісу "Дія" та пройшли аудит ЄС, а Україна однією з перших приєдналася до довірчої мережі ЄС. У результаті 20 серпня 2021 року українцям стали доступні цифрові сертифікати в додатку, а у вересні – на порталі.

Чиновник підкреслив, що цифровий сертифікат про вакцинацію є вимогою Євросоюзу, проте з першого дня України внутрішнього користування діяло паперове свідоцтво про імунізацію. Послуга із виплати 8000 грн компенсації для ФОП працювала на порталі "Дія" без необхідності застосування КЕП, до того ж понад 90% ФОП подають звітність онлайн. Програма "єПідтримка" діятиме рік, і інструменти постійно розширюватимуться. За перший місяць програмою скористалося понад 8 млн українців, що, за словами Вискуба, свідчить про доступність і зручність послуги.

Сумнівність об'єктивності проведення державної експертизи додатка "Дія"

"Опис цього пункту остаточно ставить крапку в неекспертності авторів. По-перше, атестат відповідності КСЗІ публічний, і його елементарно отримати через пошуковий запит у Google. Враховуючи твердження авторів "Мінцифри продовжує приховувати атестат відповідності КСЗІ", звертаємося до журналістів із проханням надати цифрову допомогу авторам у пошуку цього документа через Google", — іронізує Олексій Вискуб.

Заступник міністра зазначив, що "Дія" отримала 2 атестати, які перебувають у публічному доступі. Також він наголосив, що атестат відповідності підписує не голова Держспецзв'язку, а експертна організація – ліцензіат, яка здійснював експертизу. Фокусу вдалося знайти посилання на один атестат.

Можливість необмеженого клонування документів у "Дії"

Олексій Вискуб навів базовий загальносвітовий принцип електронних документів, який викладено в Законі України "Електронні документи й електронний документообіг": "У разі надсилання електронного документа декільком адресатам або його зберігання на кількох електронних носіях інформації кожен із електронних екземплярів вважаються оригіналом електронного документа".

Він наголосив, що багато українців використовують кілька пристроїв, наприклад, смартфон і планшет, а тому мають право пройти ідентифікацію й отримати доступ до державних послуг на кожному з них. Багато громадян мають не один пристрій — телефон + смартфон або кілька смартфонів, і відповідно вони можуть на кожному пристрої пройти електронну ідентифікацію й отримати доступ до функцій і сервісів "Дія", але це не можна назвати клонуванням. Важливий нюанс: без власника неможливо використовувати паспорт, будь він паперовий або цифровий.

Непрозорість порядку використовування програми "Дія" іншими організаціями

Олексій Вискуб відповів, що інтеграція організацій із "Дією" відбувається в межах законодавства щодо відповідного сервісу та на підставі договірних умов. У разі порушення умов договору та відповідного законодавства ДП "Дія" може відключити компанію.

"Також звертаємо увагу, що автори далеко не повністю висвітлили можливі загрози для дії. Ми не знайшли в переліку падіння комети, інопланетне вторгнення, захоплення роботами та багато інших прямих загроз існування "Дії", — підсумував Олексій Вискуб.

Раніше експерти розповіли, як українцям захиститися від "зливу" даних із "Дії". У разі витоку інформації програму видаляти вже марно, однак варто змінити паролі та вжити інші заходи безпеки.