Электронные документы в смартфоне – насколько надежна защита данных?
Мобильное приложение «Дия» уже установили около одного миллиона украинцев. В Министерстве цифровой трансформации продолжают объяснять, как именно пользоваться разработкой. А глава Минцифры Михаил Федоров акцентирует, что в ведомстве достаточно серьезно позаботились о защите персональных данных. Объяснения министра вызвали еще больше вопросов.
На данный момент «Дия» дает возможность «загрузить» в телефон водительское удостоверения и техпаспорт. На очереди – цифровая ID-карточка, биометрический загранпаспорт и студенческий билет.
Правительство планирует постепенно поместить в смартфон основные документы граждан. Естественно, пользователей волнует, что будет с данными в случае взлома системы? Почему до сих пор у приложения нет аттестата комплексной системы защиты информации (КСЗИ)? Возможно, это вопрос времени, но этого требует законодательство об использовании персональной информации и данных из государственных реестров.
«Приложение создано в соответствии со всеми канонами современного IT-продукта, с максимальным учетом требований безопасности и защиты персональных данных. Серверная часть системы развернута в облачной инфраструктуре нашего партнера, компании De Novo, которая имеет необходимые сертификаты качества. Серверная часть ничего не сохраняет, все данные берем из государственных реестров», - говорит министр цифровой трансформации Михаил Федоров.
Сам себе создатель и ревизор
По мнению министра, для защиты данных вполне достаточно идентификации пользователей через BankID, поскольку к банковским системам выдвигаются высокие требования безопасности. К тому же, «Дия» использует данные в зашифрованном виде. Верификация документов осуществляется с помощью QR-кодов, которые генерируются приложением. Код действует в течении 3 минут и не имеет персональной информации, утверждают в Минцифре. С помощью кода полицейские проверяют данные о водителе в реестре МВД.
Второй аргумент Михаила Федорова – приложение прошло тестирование на безопасность. Его провели специалисты компании ЕРАМ, которая, собственно, и разрабатывала «Дию». Также разработку тестировали, по словам министра, внешние специалисты. Кто именно, неизвестно, а испытание системы от разработчика сложно считать объективным.
«На месте Федорова я бы не стал ссылаться на неподтвержденные заявления программистов, что все работает безопасно. Существует мировая практика, когда международные компании, где работают белые хакеры, проводят независимые аудиты подобных проектов. Разными способами они взламывают систему, таким образом находят проблемы и риски, чтобы в будущем защитить пользователей. На проверки не надо жалеть денег и надо говорить открыто о существующих проблемах», - прокомментировал в интервью DATA.UA руководитель Центра инноваций НаУКМА, глава группы «Электронная демократия» Реанимационного пакета реформ Сергей Лобойко.
Публичное заявление Михаила Федорова не дало ответов на другие вопросы. Например, кто несет ответственность за функционал «Дии» в целом? Разработчики обещают завершить сотрудничество с Минцифрой в конце февраля, а ведомство только начало собирать собственную ІТ-команду.
Общество волнуется, как защищены каналы связи «смартфон-сервер», когда большинство мобильных операторов в Украине принадлежат иностранным компаниям? И действительно ли только сотрудники EPAM разрабатывали все части приложения: серверную, мобильную и общую архитектуру, да еще и на волонтёрских началах?
Недавно в Чехии также радовались инициативности своих программистов, которые за два дня создали сайт для Министерства транспорта, сэкономив стране 16 млн евро. Через некоторое время портал взломали хакеры. Айтишники признали, что из-за спешки недоработали систему безопасности.
Почему используются сомнительные «облака» для хранения данных?
Ранее в адрес ведомства сыпались обвинения, что сервера мобильного приложения находятся в США. Цифровое министерство это опровергало. Но если отсканировать QR-код, с помощью которого проверяется подлинность прав и техпаспорта, ссылка с кодом ведет на сайт diia.app. Его ip-адрес почему-то находился в городе Анн-Арбор, который расположен в американском штате Мичиган. В настоящее время ip-адрес указывает на немецкий Франкфурт и содержит в описании облачные сервисы Amazon.
Напомним, что Amazon не имеет украинского аттестата соответствия КСЗИ и не может считаться «надёжным» узлом передачи или хранения информации с точки зрения законодательства Украины. При этом остаётся совершенно неясным, зачем для «Дии» нужно облако Amazon, если декларируется использование украинского, имеющего все необходимые сертификаты, облака De Novo.
Вариантов может быть только два: на самом деле данные хранятся в облаке Amazon или облако De Novo оказалось не «облаком», а обычным, далеко не самым мощным сервером, который нужно прятать за Amazon, защищая от массового наплыва пользователей (что маловероятно). Чтобы снять догадки и инсинуации, «Дия» должна иметь украинский ip, принадлежащий De Novo, тогда вопрос надёжной сохранности данных отпадёт сам собой.
Есть ещё один момент, на который стоит обратить внимание: по заверениям Фёдорова, серверная часть «Дии» не осуществляет «постоянного хранения персональной информации». Судя по формулировке, какое-то хранение предусмотрено. Но сколько – час, день, месяц, год? Так или иначе, какое-то время данные хранятся. И тут уже очень важно, где именно: на «незащищённых» (с точки зрения законодательства) серверах Amazon, или на «защищённых» (с точки зрения законодательства) серверах De Novo.
Откуда у «Дии» американские и русские корни?
Частично американскими корнями владеет компания-разработчик «Дии» - ЕРАМ.
В США работает несколько ее офисов. Учредитель корпорации Аркадий Добкин также начинал деятельность компании в США и параллельно на родине – в Беларуси. Вскоре ЕРАМ расширила географию на 25 стран мира. Интересно, что миноритарный пакет акций принадлежит инвестиционному банку «ВТБ-Капитал» с главным офисом в Москве. «ВТБ-капитал» публично называет ЕРАМ своим ключевым партнером. Сотрудники русских филиалов компании недавно начали работать над новым программным обеспечением для «Сбербанка».
Для компании с многочисленными офисами по всему миру подобное сотрудничество кажется нормой. Возможно, Минцифре надо было более тщательно подойти к выбору разработчика национального продукта, особенно учитывая политическую ситуацию в Украине.
«Нельзя так рисковать, особенно зная о возможных угрозах для национальной безопасности со стороны соседней страны, у которой мощная система кибербезопасности. Также стоит учесть, что мобильные технологии сейчас особенно уязвимы, на рынке мобильных операторов очень активно развиваются вирусные программы. «Дия» все-таки работает с персональными данными. У нас были случаи, когда данные из госслужб оказывались в открытом доступе. Недавно в Израиле, стране, которую считают высокотехнологичной, была взломана база данных избирателей. Так что за промоцию проекта правительству пятерка, а над доверием к сохранности данных нужно еще поработать», - добавляет Сергей Лобойко.
Создатели «Дии» пытаются убедить украинцев в надежности пользования мобильным приложением. Но кроме общих фраз нужны более веские доказательства. Ведь в итоге, несмотря на шумную PR-компанию и победные реляции, приложение «Дия», на сегодняшний день, не является надёжным и защищённым в юридическом смысле с точки зрения нашего законодательства. И к тому же использует незащищённые площадки вне Украины, как минимум, для передачи данных. Не является ли это угрозой национальной безопасности?
Источник: internetua.com
Читайте ещё:
541 566 472 1269 1049 965 944 785 974 939 
55 
