"Пройдуть приблизно 0%": експерт вказав недоліки бронювання від мобілізації через "Дію"

Застосунок Дія, армія, мобілізація
Фото: коллаж Фокус | З електронною мобілізацією через застосунок "Дія" не все так просто

Процедура, вказана у робочій версії документа, викликає багато питань щодо надійності роботи системи та захисту персональних даних українців.

Нещодавно віцепремʼєрка та міністерка економіки Юлія Свириденко розповіла про процедуру електронного бронювання українців від мобілізації за допомогою застосунку "Дія", яку розробляють у Кабінеті міністрів. Український фахівець із кібербезпеки Костянтин Корсун на своїй сторінці в Facebook вказав на недоліки нового механізму.

Перш за все він звернув увагу, що електронна процедура виглядає складнішою, ніж звичайна, у державній установі. Згідно з робочою версією документа, онлайн-бронювання відбуватиметься таким чином:

  • керівник підприємства (або уповноважена ним особа) має авторизуватися у "Дії" з підтвердження особи;
  • подати у "Дії" перелік працівників для бронювання у "довільній формі";
  • надати дані про кожну особу, яку треба забронювати (прізвище, імʼя та по батькові, паспортні дані, ідентифікаційний код, статус військовозобовʼязаного (рядовий, сержантський, старшинський або офіцерський), номер військово-облікової спеціальності, тип військово-облікового документа (серія та номер за наявності), відмітка про посаду керівника або заступника керівника підприємства);
  • надати дані про підприємство (повна назва, адреса та ЄДРПОУ);
  • завірити перелік електронним підписом, якщо все пройшло вдало;
  • далі дані звіряються з Єдиним державним реєстром призовників, військовозобов’язаних та резервістів;
  • у разі успішної перевірки формується позначка про бронювання, а у "Дії" з'являється сертифікат.

Як зазначив кіберексперт, незрозуміло, як саме "Дія" перевірятиме посаду того, хто подає заявку: чи він директор компанії, чи має відповідні повноваження. Можливо, потрібно буде авторизуватися просто як громадянин України.

"Далі директор має надати купу персональних даних про заброньованого, навіть номер військового квитка та номер ВОС. Секундочку, а хіба не для того існує цифровізація, щоб це все автоматично підтягувалося з баз даних? Дані ж начебто вже є у державних реєстрах? Навіщо ще раз надавати те, що "держава і так про тебе знає"?" — поцікавився Костянтин Корсун.

У документі зазначається, що система може заблокувати подання переліку, якщо компанія перевищила ліміти за кількістю заброньованих співробітників, не уточнювала дані про кількість військовозобовʼязаних у ТЦК, через наявність у співробітників незакритих адміністративних проваджень про порушення мобілізаційного законодавства. Як припустив експерт, це відбуватиметься без пояснення конкретної причини, як у випадку з реєстрацією електронних петицій.

"Чи то вона заглючила, чи "перевищено ліміт", чи то "некоректний формат введення даних", чи не знайдеться підтвердження інформації з іншої бази даних, чи будь-яка інша з десятків причин. З урахуванням якості державних ІТ-поробок, впевнений, що з першого разу процедуру е-бронювання пройдуть приблизно 0% керівників компаній, плюс-мінус", — спрогнозував він.

Головною причиною свого занепокоєння Костянтин Корсун назвав безпеку цифрової системи та захищеність персональних даних українців. За його словами, наразі не можна об'єктивно оцінити механізми безпеки як самої "Дії", так і електронного реєстру військовозобов’язаних "Оберіг". Уряд тримає дані про них у суворій секретності, тому звичайні громадяни і кіберфахівці не мають ніяких доказів її надійності.

Костянтин Корсун прийшов до висновку, що майбутня система онлайн-бронювання виглядає підозрілою як з погляду кібербезпеки, так і з погляду функціональності, оскільки планує спиратися на непрозорі рішення. Проблема ще й у тому, що Кабмін хоче автоматизувати процедури, які й у ручному режимі працюють недосконало.

"Автоматизувати недосконалість — означає масштабувати вже наявні проблеми до рівня дійсно небезпечних. Автоматизуючи хаос ви отримаєте автоматизований хаос", — підкреслив він.

Раніше експерти дослідили відкритий код застосунку "Дія", який оприлюднило Мінцифри. Вони дійшли висновку: відомство показало будову зовсім не того продукту, що встановлений на смартфонах українців.

Повідомляли також, кому дозволено бронювати працівників від мобілізації. Кабмін визначив сім критеріїв для отримання відстрочки від призову співробітниками критично важливих підприємств, і потрібно відповідати мінімум трьом з них.