П’ять основних причин не користуватися додатком «Дія»

Версия для печати

Якщо хоча б один пункт здається логічним та обґрунтованим – краще утриматися від використання «Дії».

Тож по порядку.

1. А точно тобі потрібна «Дія»?

Кожен фахівець з безпеки додатків скаже, що у цьому Світі не існує повністю безпечних додатків (він же application, він же «застосунок»). Додатки бувають або більше безпечні, або менш. Це пов’язано зі швидкістю розвитку ІТ-технологій: що безпечно сьогодні - може стати проблемою вже завтра або через хвилину.

Кожен додаток є потенційною загрозою смартфону, планшету або комп’ютеру. Тому загальне правило – встановлювати лише дійсно необхідні додатки та усвідомлювати ризики їх використання.

Менше встановлених додатків = менше ризиків. Видаляй непотрібні додатки якнайшвидше.

Часто забуваєш дома водійське посвідчення? Поклади його у кишеньку обкладинки чи чохлу смартфона. Туди ж можна покласти ID-картку та кредитку. І тоді їх навряд чи забудеш. Зате будеш майже повністю контролювати хто, де і коли бере твої персональні дані і як ними розпоряджається.

На цю тему: Зеленський доручив Кабміну перевести усі держпослуги в онлайн, цифрові біометричні паспорти та ID-картка відсьогодні вже в «Дії»

2. Додаток «Дія» має купу функціональних проблем – інколи не встановлюється, інколи некоректно працює, деколи не підтягує усі дані. Для зчитування даних потрібне стабільне з'єднання 3G/4G, а з цим у нашій країні біда: у Києві та у великих містах стабільність більш-менш (але теж не завжди), а от подалі від великих міст – як повезе.

І через це все одно доведеться таскати з собою фізичні документи.

Тоді у чому сенс Дії, якщо ти не можеш на неї покластися?

А ще є такі страшні слова як «розрядився акумулятор» чи то «ой, забув дома телефон», але то вже дрібниці.

3. Документація на додаток «Дія» – відсутня.

Коли ти купуєш праску, мікрохвильовку чи пральну машину – до неї обов’язково додається купа документів: загальний опис продукту, його технічні характеристики, які функції виконує, обмеження застосування, правила безпеки, тощо. І, звісно, гарантійні зобов’язання виробника. Чому всього цього немає для додатку «Дія»?

Хтось скаже – «Дія» безкоштовна, ми її не купуємо.

Секундочку. Ми її якраз купуємо, оскільки ми, платники податків, платимо зарплати штату з більше 200 працівників міністерства цифрової трансформації, а ще співробітникам ДП «Дія», де зарплати сягають 100 тисяч гривень на місяць.

А на 2021 рік ми їм усім заплатимо близько мільярда гривень. Як вам таке «безкоштовно»?

І чи згодні ми за таке «безкоштовно» користуватися продуктом взагалі без будь-якої документації?

На цю тему: Опендатабот спростовує чергову брехню підлеглих Авакова

4. Безпека додатку: м’яко кажучи - не доведена.

Чиновники Мінцифри на кожному розі гучно кричать «вірте нам, «Дія» безпечна!». Але наскільки ми довіряємо обіцянкам чиновників у цій країні? Чи може вони нас ніколи не дурили? Ми можемо сліпо вірити їм на слово?

Тому довіряти пропоную виключно доведеним фактам та документам.

Звісно, мало хто розуміється на кібербезпеці та, зокрема, на безпеці додатків.

У таких питаннях слід покладатися на думку відповідних професіоналів, і чим їх більше (професіоналів та їх думок) – тим краще.

А більшість кібер-професіоналів (за виключенням тих, які є «зацікавленими особами») вважають, що говорити про безпеку додатку «Дія» немає підстав: окрім слів чиновників вона, безпека, нічим не підтверджена.

Чим зазвичай підтверджують безпеку додатку?

Публікацією документації. Нема.

Публікацією вихідного коду. Нема.

Публікацією звітів про тестування безпеки від незалежних авторитетних (бажано міжнародних) професійних компаній. Теж нема.

Публічними тестуваннями на безпеку (так звані Bug Bounty-програми), коли будь-яка кількість фахівців за певною процедурою реєструється для участі у програмі та отримує солідні гроші за знайдені вразливості.

«Дієвий» міністр Федоров лише анонсував запуск такої програми наступного місяця, але ж чи буде вона проведена як слід і чи будуть результати баг-баунті відповідально враховані розробниками для покращення безпеки продукту – велике питання.

А тим часом «Дія» активно працює вже 9 місяців і вже намотала собі 5 (Карл!) мільйонів користувачів. Без документації, без публікації вихідного коду та звітів про тестування безпеки, без Bug Bounty. Без усього того, що хоча б демонструвало увагу розробників до безпеки додатку/застосунку «Дія».

А ще звичайний користувач не має можливості проконтролювати безпеку мережевих з’єднань на шляху смартфон – сервер - база даних – сервер - смартфон. Також 5 мільйонів користувачів «Дії» вимушені сліпо довіряти безпеці операційних систем, безпеці інших додатків, встановлених на смартфоні, безпеці виробників смартфоні, планшетів, комп’ютерів. Чи не забагато кредитів довіри та сліпої віри «у нас все безпечно»?

На цю тему: Про нашу любимую "Дію"

5. Фактор «Товаріща майора»

Усі дані наших офіційних документів зберігаються у близько 340 державних базах даних. Але зберігаються, як правило, безвідповідально, з низьким рівнем безпеки та з високим рівнем корупції. Часто дані не корелюють між собою, інколи це робиться свідомо. Такий собі «контрольований хаос», що трохи заважає спецслужбам та правоохоронцям «знати усе» про кожного громадянина, також слідкувати за злочинцями та підозрюваними.

Але це також ускладнює слідкування за громадськими активістами, анти-корупціонерами, журналістами-розслідувачами, політичними опонентами, будь-якими громадянами, будь-ким незгодним з діями влади.

Наведення належного порядку у безпеці зберігання та використання державних без даних та реєстрів – справа, безумовно, необхідна. І нею, начебто, якось займаються молоді запальні діджиталізатори (хоча це також неможливо перевірити).

Але наразі цього порядку немає, і це сумний факт, товариство.

Скоріше скидається на безлад. А якщо автоматизувати безлад – то шкода від нього посилюється у десятки чи сотні разів.

І «Дія» якраз цим і займається – автоматизує безлад.

«Дія» має прямий повний доступ до найбільш важливих баз даних та реєстрів, і якщо злочинці якимось чином зламають додаток «Дія» – вони так само матимуть безперешкодний доступ до усіх цих баз та реєстрів, і не важливо де саме фізично зберігаються дані. А факт зламу може бути виявлений ой як нескоро. Хто знає, може просто зараз кремлівські кібер-злочинці проникли на сервери «Дії» та тихенько мають необмежений доступ до усіх державних баз даних?

Але «товаріщ майор» набагато більше прагне все знати та слідкувати за своїми громадянами, ніж дбати про приватність та захищеність їх даних. Українським правоохоронцям значно важливіше «мати вплив», ніж захищати людей.

І «Дія» підходить для цього якнайкраще.

Автоматизація даних про громадян полегшує правоохоронцям слідкування за винними та невинними, але при цьому не виключає (та навіть підсилює) ризики зловживання повноваженнями, знижує громадський контроль за діяльністю силових структур, полегшує маніпуляції з базами даних та ніяк не виключає корупційну складову (продаж баз даних або «корегування» інформації в них). А злочинним хакерам – так взагалі подарунок долі, нове безмежне поле для зловживань.

Тобто автоматизація державних баз даних надає «товаріщу майору» значно більше прав, але без підсилення контролю та без підвищення відповідальності. Такий собі «стрибок до тоталітаризму».

На цю тему: «В Раде никто не знает, как работает электронная почта»

Наведення порядку з безпекою баз даних – справа тяжка та кропітка, невдячна та дууууже довга. Автоматизувати хаос - значно легше, швидше та з очевидними вигодами для «товаріща майора». Big Brother watches you.

Звісно, навколо «Дії» існує безліч інших проблем: застаріле та неефективне кібер-законодавство, успішно кастрований «Закон про захист персональних даних», відсутність незалежного кваліфікованого органу із захисту тих самих персональних даних, низька кібер-кваліфікація співробітників «Міністерства Дії» та їх небажання дослухатися думки професійної кібер-спільноти, регулярна брехня про безпеку додатку та замовчування незручних фактів, боягузтво вступити у публічну дискусію з фахівцями, марне витрачання державних та міжнародних коштів, і ще купа інших питань.

Але зазначені у цьому дописів п’ять аспектів – основні.

І кожен з них мав би утримати українця від добровільного користування потенційною бомбою у кишені.

Чомусь для закупівлі вакцини від коронавірусу вимагаються багатократно перевірені результати міжнародних досліджень та відповідні солідні підтверджуючі документи, але від безпеки додатку, який оперує персональними даними та офіційними документами держави Україна – не вимагається взагалі нічого.

Як це пояснити?

На цю тему: Про небезпеку додатку "Дія"

Єдиним можливим поясненням може бути лише пануючий серед зелених (себто молодих та недосвідчених) можновладців підхід - «Роль кібербезпеки трохи перебільшена» (М. Федоров, інтерв’ю від 29.11.2019, https://cutt.ly/3gd5h38 ).

Одна з головних проблем людства – невігластво, коли люди роблять висновки та, відповідно, діють, не маючи достатньої інформації про проблему. Ефект Даннінга-Крюґера - якраз про це.

У цьому дописів я спробував надати фактичні дані про проблеми додатку «Дія» та свою професійну оцінку щодо доцільності його використання (детальніше про мій трудовий шлях у кібербезпеці - у моєму профайлі: https://cutt.ly/0gdod2Y)

І на основі свого 20-річного практичного кібер-досвіду порадив би співвітчизникам ось що: не поспішайте користуватися додатком «Дія». А якщо вже користуєтеся – видаліть його про всяк випадок. До кращих часів.

Дій(те), але перед цим - думай(те).

—

Костянтин Корсун, глава Berezha Security,  опубліковано наі сторінці автора у Facebook

На цю тему:

• Theranos і Дія: дві цікаві історії
• Масштабний злив персональних даних в Telegram: підозра впала на підлеглих Авакова
• Первая Мировая кибервойна. Почему "государство в смартфоне" не только полезно, но и опасно
• Лоббизм, хаос и безсистемность
• "Президенту предлагают якобы простое решение - вернуть все назад. Но это невозможно"