КСЗІ на «Дію» — фейк, безпека дотатка - також

Версия для печати

То про що ж тоді Атестат відповідності на мобільний додаток «Дія» від 23 вересня 2020 року — фіктивний «папірець» на фіктивно виконані роботи? Тепер цілком зрозуміло, чому в Мінцифрі фальшували листи з відповідями про КСЗІ — не хотіли, щоб в світ випливла правда про фейковий атестат відповідності на мобільнийна додаток «Дія», а також про те, як вони дуже круто та багаторазово всіх дурили.

Упродовж більше ніж чотирнадцяти місяців — цілих 490 днів (з першої презентації 06.02.2020 по дату отримання атестату 10.06.2021) віце-прем’єр-міністр Михайло Федоров та підпорядковані йому співробітники Міністерства цифрової трансформації і ДП «Дія» свідомо поширювали у ЗМІ та на публічних заходах недостовірну інформацію, а також навмисно вводили в оману мільйони наших співвітчизників — вмовляючи їх встановлювати собі на смартфони «зовсім сирий», недороблений, ніким не перевірений та небезпечний мобільний застосунок «Дія», який за їх словами є «повністю надійним» та «не зберігає персональні дані громадян, а відображає лише те, що є про людину у реєстрах».

На цю тему: Про небезпеку додатку "Дія"

Для підтримки цієї ілюзії проводили навіть Bug Bounty з перевірки вразливостей «Дії» «білими хакерами», а на черговому Diia Summit у жовтні 2020-го і взагалі заявили, що з кібербезпекою «Дії» все гаразд: можете спати спокійно — комплексна система захисту інформації (КСЗІ) на неї вже побудована.

Проте, сам атестат відповідності, який засвідчує що КСЗІ інформаційно-телекомунікаційної системи «Єдиний державний веб-портал електронних послуг «Портал Дія» (Портал Дія) повністю побудована і забезпечує захист інформації відповідно до вимог нормативних документів з технічного захисту інформації — з’явився в Мінцифрі лише 10 червня 2021 року (аж через вісім місяців з часу гучних заяв Федорова на камери, що все вже ОК).

Супроводжувальний лист Мінцифри на наш недавній запит щодо цього атестату (підписаний Директором директорату розвитку електронних послуг Мстиславом Баніком) — стверджує, що окремі атестати відповідності КСЗІ на мобільні додатки «Дія» та «Дій вдома» (якими ми теж цікавилися) не оформлювалися, бо всі вони за законодавством і за технічною реалізацією разом з іншими підсистемами — невід’ємні складові Порталу Дія.

То яким же тоді атестатом відповідності на мобільний додаток «Дія» розмахував під час Diia Summit 05 жовтня 2020-го віце-прем’єр-міністр Михайло Федоров, стверджуючи на весь світ, що все в нього ОК?

Обізнані джерела публічно заявляли тоді, що цей «атестат» — 100% фейк: після зміни керівництва Держспецзв’язку (у липні 2020-го) на повністю підконтрольних Федорову Юрія Щиголя та Дмитра Маковського — ті просто-напросто «зовсім не парячись» (без фактичної побудови КСЗІ і навіть розробки необхідної технічної документації під це) виписали йому (23 вересня 2020-го) на особисте прохання (як дарунок) цей «пустий папірець» під дату проведення Diia Summit.

Тепер ці заяви підтвердилися документально — дуже потрібно було перед Diia Summit терміново загасити в ЗМІ хвилі критики від експертів, що не раз заявляли про ненадійність «Дії» і чисельні кібер-загрози при її використанні.

Про те, що КСЗІ Порталу Дія не побудована — підтверджував нам і перший заступник міністра Олексій Вискуб у листі від 15 жовтня 2020-го через десять днів після завершення Diia Summit та оприлюднення на ньому інформації про вже «отриманий» атестат.

А новий заступник Голови Держспецзв’язку Олександр Потій і зовсім не захотів торкатися цієї «мутної теми» ні у листі з офіційною відповіддю, ні під час живого спілкування в дискусії на IGF-UA 2020 29 жовтня 2020-го.

На цю тему: П’ять основних причин не користуватися додатком «Дія»

Відомо з публікацій на Прозорро, що КСЗІ Порталу Дія будувалася не за бюджетні кошти.

Фонд Східна Європа (через який розподіляється міжнародна технічна допомога для Мінцифри) в рамках програми USAID/UKAid «Прозорість та підзвітність в державному управлінні та послугах» оголошував (з 03.08.2020 по 18.08.2020) відкритий конкурс на побудову комплексної системи захисту інформації інформаційно-телекомунікаційної системи «Єдиний державний веб-портал електронних послуг «Портал Дія».

Побудова КСЗІ Порталу Дія, включала в себе роботи з розробки проектної та експлуатаційної документації, постачання (у разі необхідності) та розгортання комплексу засобів захисту ІТС Порталу Дія, забезпечення проведення Державної експертизи в галузі технічного захисту інформації КСЗІ Порталу Дія та впровадження КСЗІ Порталу Дія в експлуатацію (в тісній співпраці із Замовником та Отримувачем) відповідно до технічних вимог.

Копія сторінки з технічних вимог на побудову КСЗІ Порталу Дія.

Ретельний аналіз цих опублікованих документів однозначно свідчить, що КСЗІ будувалася цілісно на весь Портал Дія, а про необхідність разового виокремлення шматка (мобільний додаток «Дія») та термінове оформлення на нього свого атестату під Diia Summit — ніде ніякої згадки.

Не буває побудови КСЗІ та атестату відповідності без жодних документів!!!

Також, слід додати, що програмне забезпечення мобільного додатку «Дія» (перша версія якого була написана програмістами «ЕПАМ») — у період з березня по серпень 2020-го було повністю переписане співробітниками ДП «Дія» (див. Додатки «ДіЯ» — віце-прем’єр маніпулює цифрою).

Витяг з технічних вимог на побудову КСЗІ Порталу Дія.

Але, важливий функціонал (передбачений у договорі на модернізацію, а потім і у технічних вимогах на побудову КСЗІ Порталу Дія): «електронна ідентифікація користувача з використанням паспорта громадянина України у вигляді ID-картки та паспорта громадянина України для виїзду за кордон із вбудованим безконтактним електронним носієм з використанням технології NFC» — (незважаючи на підписаний вперед акт виконання робіт) був завершений та почав тестуватися лише у березні 2021-го (див. Обіцянки-цяцянки: віце-прем’єр тестує NFC).

На цю тему: «Дія Сіті» — цифровой колхоз

То про що ж тоді Атестат відповідності на мобільний додаток «Дія» від 23 вересня 2020 року — фіктивний «папірець» на фіктивно виконані роботи???

Тепер цілком зрозуміло, чому в Мінцифрі фальшували листи з відповідями про КСЗІ на наші запити по публічці (див. Доступ до правди — сфальсифіковано Мінцифрою) — не хотіли, щоб в світ випливла правда про фейковий атестат відповідності на мобільний додаток «Дія», а також про те, як вони дуже круто та багаторазово всіх дурили.

Коли люди зрікаються правди, стають на шлях брехні та впевнено йдуть по ньому — такі шахрайські схеми стають для них звичайністю, яка не визиває жодних сумнівів, переживань і навіть не фарбує обличчя у кольори сорому (див. Diia papers —   справи Михайла Федорова).

—

Сергій Антоненко,  опубліковано у виданні  LEGAL INFORMATICS

На цю тему:

• Троянский Pegasus. Хакеры из Израиля вскрывают телефоны журналистов по заказу правительств
• Афера «Дія»: бенефициарии срывают куш
• Theranos і Дія: дві цікаві історії
• «Кіберцентр» ім. Зеленського: «Жарт, повторений двічі – удвічі смішніший»
• Хакер, який зможе зламати копію «Дії», отримає мільйон