"Зламають, вкрадуть, переоформлять на себе". За що критикують українські цифрові паспорти

цифровий паспорт громадянина України, паспорт у смартфоні, додаток "Дія"

Чим ризикують українці, які вирішать скористатися останнім досягненням "держави в смартфоні" — ID-картою в смартфоні, Фокус запитав у експертів з кібербезпеки.

Днями Верховна Рада прийняла законопроект №4355: документ, згідно з яким цифровий паспорт громадянина України та цифровий паспорт для виїзду за кордон в додатку "Дія" матимуть таку ж юридичну силу, як їх фізичні аналоги.

Закон має ще підписати президент. І, швидше за все, він його підпише, тому що одним з пунктів Володимира Зеленського програми є діджиталізація держави, до якої він йде бадьорими кроками. Однак експерти з кібербезпеки вже розкритикували е-паспорти, вказавши на цілий ряд недоліків і вразливостей як самих носіїв, так і додатку "Дія". Ще більше їх збентежив (і обурив) чисто політичний аспект справи: адже виходить так, що всі персональні дані контролюватиме держава, тоді як громадяни ніяк не зможуть на це впливати.

Фокус з'ясовував, чим конкретно ризикують українці, які збираються користуватися діджитал-паспортами.

Додаток "Дія", додаток у смартфоні, смартфон Самсунг
Додаток "Дія" підтягує дані з реєстрів ДМС

Непотоплювана "Дія" та цифрові паспорти

За словами керівника з розвитку електронних послуг у Мінцифрі Мстислава Баніка, підробити е-паспорта неможливо.

По-перше, тому що не можна підробити додаток "Дія". Чиновник наголосив, що додаток "Дія" можна завантажити тільки з App Store або Play Market. Якщо ви бачите його в інших магазинах додатків — отже, це фейк.

По-друге, за словами Баніка, у справжню "Дію" всі дані підтягуються з реєстрів Державної міграційної служби України (ДМС). Якщо додаток фейковий, дані з реєстрів у ньому не відображатимуться.

"Електронний паспорт не є ні скріншотом, ні копією фізичного паспорта. Це інформація, яка відображається з реєстру. Якщо клікнути не eID, він "перевернеться" і на його "зворотному боці" ви побачите QR-код. При перевірці документа з цього QR-коду звернення йде до реєстру, а потім людина, що запросила ваші дані, отримує повідомлення на свою "Дію". Після цього в "Дії" на його смартфоні відкриється перевірений документ. Якщо дані запитувала компанія, то вони з'являться у її системі", — пояснив чиновник принцип роботи eID.

Однак Андрій Баранович, співзасновник ГО "Український Кібер Альянс" стверджує, що під час взаємодії користувачів з додатком "Дія" секретну сесію можна вкрасти і використовувати на іншому телефоні, точно так само, як це можна зробити з Facebook або Telegram.

"Тільки Telegram — це не ваш паспорт, з його допомогою не відкриєш рахунок в банку і не зачекінишся в аеропорту, — говорить експерт. — Та й звичайний телефон не підходить для зберігання таких важливих персональних даних. Ось, наприклад, Німеччина домовляється з компанією Samsung про інтеграцію спеціальних чіпів у флагманські смартфони, які досить захищені для того, щоб зберігати там паспорти".

Це справді так. Уряд Німеччини тільки у минулому році частково впровадив eID за сприяння компанії Samsung. Так, громадяни цієї країни теж отримали цифрові копії паспортів у смартфоні, проте вони зберігаються не в додатку, а на спеціально інтегрованому у смартфони чипі.

Держава гарантувала громадянам високий захист чіпа і зазначила, що нова розробка повністю відповідає регламенту ЄС eIDAS. Цей регламент встановлює єдиний стандарт, якому має відповідати апаратне і програмне забезпечення для генерації цифрових підписів. Всі маркери проходять обов'язкову сертифікацію. Для фізичних осіб, у цьому випадку, токенами є електронний паспорт або смартфон, а для організацій — смарт-карти, USB-токени, інші пристрої.

Першими телефонами, які отримали додаткові чіпи, стали моделі лінійки Samsung Galaxy S20.

Документ документу — різний

Мстислав Банік в коментарі Фокусу зазначив, що паперовий паспорт або ID-карта — це всього лише бланки, на яких записані дані про особу громадянина.

"Що стосується паперового паспорта або ID-карти, то, технічно, при створенні таких документів створюється запис у реєстрі. По суті, пластиковий документ, або паперовий, є бланком, на якому є інформація з реєстру паспортів", — прокоментував чиновник.

Андрій Баранович і зовсім не вважає еID документом. На його думку, документ повинен існувати окремо від реєстрів і бути унікальним предметом, який важко підробити, і за підробку якого передбачено покарання.

"Дія" — це "китайська модель", в якій всі дані про громадян належать державі. Але в Китаї ви можете записати номер паспорта на серветці і пред'явити його у такому вигляді, і це — відповідальність держави перевірити, говорите ви правду чи ні. Україна вибрала проміжний шлях, коли на серветках ми будемо писати договори", — іронізує Баранович.

Ризики електронного паспорта: кому належать наші дані?

За логікою чиновника Баніка, оригіналами варто вважати не паспорти-книжки, не пластикові ID-карти, а записи, що зберігаються у реєстрі, за безпеку і коректну роботу якого відповідає ДМС України. Коли Фокус запитав, як захищені реєстри, у Мінцифрі відповіли: "Це питання до ДМС". Написавши шість запитів до ДМС, ми поки не отримали відповіді — всі наші листи перенаправлялись на інші адреси або відхилялися з огляду на те, що поштові скриньки адресатів переповнені.

Як би там не було, на відміну від Німеччини, у нас ніяких додаткових чіпів не передбачається. Просто звичайний смартфон, додаток "Дія" та державні сервери, на яких зберігаються реєстри. До речі, німецький уряд, збираючись встановити додаткові чіпи на смартфони, повідомив громадянам, що інформація, яка на них розміщена, зберігатиметься локально. Це означає, що кожен громадянин, який користується таким смартфоном, отримає повний контроль над своїми даними. У нас же все дані виявилися в руках держави.

електронні документи, держреєстр, перевірка інформації
Реєстр — допоміжний засіб для перевірки інформації!
Фото: Pexels.com / Karolina Grabowska

Експерт з кібербезпеки Баранович підтверджує наші побоювання, кажучи про те, що реєстри потрібні лише для того, щоб довести справжність документу або спростувати це. Але бути джерелом інформації реєстр не повинен.

"Інакше нас чекає "авторитаризм на мінімалках", коли без пчиху чиновника ви не зможете купити квиток на поїзд. Ви — громадянин України, але не тому що так написано в реєстрі. Реєстр — допоміжний засіб для перевірки інформації, не більше. І чиновники — основна загроза, саме вони крадуть і підробляють дані в реєстрах", — коментує експерт.

Беззахисні телефони: хто вбереже від злому?

Додаток "Дія", як заявляють розробники і замовник, Мінцифра, відповідають українським стандартам кібербезпеки. Якби рівень довіри до уряду у нас був би високим, може, і українські стандарти теж вважалися б такими. Однак вони були розроблені в середині 1990-х і модернізовані на зорі 2000-х. Тоді як німецька система, що застосовується для захисту чіпів, відповідає стандартам регламенту ЄС eIDAS, чинного з 2016 року і уразливості якого востаннє виявили і виправили у 2019 році.

Але є і ще одна проблема — безпека самих пристроїв. Українська держава, на відміну від німецької, ваші смартфони убезпечувати і не збирається.

Вадим Гудима, фахівець і тренер з цифрової безпеки в ГО "Лабораторія цифрової безпеки", вважає, що саме фізичний документ повинен займати чільне місце, а прирівнювати його до цифрового документу і поміщати цей е-документ у звичайний телефон не варто.

"Мобільні телефони, крім дюжини найдорожчих і найостанніших Android-моделей і iPhone, більшість яких в Україні легально навіть не продаються, мають десятки вразливостей, які зловмисники масово не використовують тільки тому що, як правило, воно того не варте. Але тепер привід є, і в результаті прості громадяни можуть зіткнутися з такою проблемою, як незаконне оформлення кредитів або крадіжка документів на будь-яку власність через уразливості в мобільному пристрої з "електронним паспортом", — міркує експерт.

Досвід Естонії та Швеції

Мінцифри постійно наводить як приклад досвід Естонії, яка почала видавати своїм громадянам ID-карти з 2002 року, а вже через п'ять років провела перше у світі онлайн-голосування. Але Україна не збирається пасти задніх. Як відомо, ми теж стали першими у світі — у плані цифровізації внутрішніх паспортів, прирівнявши їх до фізичних документів. Відмінно. Однак виникає питання: чому Естонія, е-держава якій вважається кращим з кращих, досі цього не зробила? Відповідь очевидна: вся справа у безпеці.

В Естонії для того, щоб підключитися до будь-якого порталу держпослуг або взяти участь в онлайн-голосуванні, необхідно використовувати особисту ідентифікаційну смарт-карту, цифровий підпис і окремий пристрій — кард-рідер (такий є у кожного громадянина, що має ID-карту). В результаті кожен громадянин отримує потрійний захист власних даних. В Україні, як ми писали вище, забезпечення кібербезпеки — проблема виключно користувачів.

А ось в такій просунутій країні як Швеція, ID-картою і користуються вкрай рідко, хіба що, якщо вам потрібно відкрити рахунок в банку або якщо чиновник/поліцейський потребують її пред'явити. І там теж передбачена наявність спецобладнання, а сама ID — вважається оригіналом, але не запис про вас у реєстрі.

"В окремих випадках персоніфікація проводиться без допомоги високих технологій, а просто пред'являється ID-карта або "драйв-ліценз" (права на керування авто). Однак у процесі такого "класичного" акту підтвердження особи ключовим атрибутом легітимізації є сама карта (з елементами захисту, терміном дії, інформацією про власника, включаючи біометрику в чіпі). Карта в принципі не має на увазі копіювання або "делегування" своїх властивостей", — поділився своїм іноземним досвідом Сергій Позній, засновник і CEO inAspect, експерт з питань кібербезпеки.

Якщо ви вирішите відкрити рахунок в банку, то після оформлення заявки, буде виготовлена "Bank-ID", а спеціальне обладнання для її використання прийде поштою. Також на ваш девайс встановлять офіційний мобільний додаток. BankID є універсальним засобом авторизації і легітимізації на всіх державних онлайн-сервісах, фінансово-банківських сервісах та більшості інших комерційних сервісів.

У випадку, якщо виникає необхідність підтвердити особистість у звичайному порядку, наприклад, на прохання поліції, досить назвати свій "першун-нумер" — аналог українського "податкового номера". Він складається з 10 цифр, 6 з яких — дата народження, а інші 4 можна просто запам'ятати.

"Отримавши "першун-нумер", поліцейський знайде ваш персональний профіль у реєстрі шведських платників податків, який де-факто є реєстром населення Швеції (включаючи дітей). Відповідно, представники служб (клерки банків, сервіс і торгові працівники) бачать фотографію, ім'я, зростання, статус та ін. необхідну (доступну) їм інформацію про вас, необхідну для візуального підтвердження особи, авторизації і т.д", — розповів Сергій.

Не варто було поспішати

Чи користуватися е-паспортом — вирішувати вам, але експерти з кібербезпеки рекомендують застосовувати пластикову ID-карту або паспорт-книжку. Для більшої надійності. А Міністерству цифрової трансформації України вони радять більше уваги приділяти забезпеченню кібербезпеки і перегляду пріоритетів.

"Фактично в Мінцифрі цілий рік займалися не тим — замість просування еID потрібно було поставити в пріоритет розробку надійної системи ідентифікації користувачів через смартфон для доступу до сайту електронних послуг (на основі тієї ж ID-карти), а також впровадити кваліфікаційний електронний підпис (КЕП) для підпису електронних документів. Але розробка цих двох важливих блоків ще не завершена", — резюмував Сергій Антоненко, CEO і засновник Science Research Center for Legal Informatics.