Про нашу любимую "Дію"

Версия для печати

 (Новости из мира #концтабірусмартфоні).

Мало кто знает, что кроме инженерного, я имею еще юридическое высшее образование. И пользуюсь им даже чаще, чем инженерным. Читал (и даже немного писал) множество нормативных актов, договоров, других юридических документов. По-украински, на английском, русском.

Поэтому уверяю, что умею читать юридическую казуистику, хотя очень часто это задача непростая. Особенно когда намеренно написано так, чтобы трудно было понять.

И сегодня расскажу некоторые интересные вещи из последнего постановления КМУ № 2678 от 15 апреля 2020 года - про нашу любимую Дію.

На эту тему: Про небезпеку додатку "Дія"

Чтобы сохранить время и нервы читателей, приводить прямые цитаты не буду, а только их перевод на человеческий язык. Просто замечу, что написано (скорее всего, юристами мини-цифры) некачественно, в традициях пост-совковой бюрократии, слова наскирдованы вместе как попало, как у плохого игрока в тетрис, поэтому разбираться трудно. Но я смог.

Итак, к делу. Расскажу о четырех наиболее интересных моментах.

1) Самое важное в Постановлении - то, что все данные, которые запрашивает приложение Дія из государственного демографического реестра (то есть почти все), проходят через единую информационную систему МВД.

Другими словами, когда наивный пользователь Дії радостно тычет пальчиком в свой смартфончик, запрос направляется на веб-портал Дії, затем товарищ майору, затем - к демографическому реестру, затем вновь к товарищ майору, далее на веб-портал Дії и потом уже возвращается к пользователю. На каком-то этапе трафик заворачивается еще на серверы Amazon. Возможно, будет задействована также система электронного взаимодействия украинских государственных электронных информационных ресурсов Трембіта, но это не точно.

Я понимаю, что таварисч Арсен подмял под себя Государственную миграционную службу вместе с ее демографическим реестром, но я еще помню времена, когда это была отдельная организация, а не часть полицейского супер-конгломерата. Не исключено, что те времена вернутся, но менять схему марштрутизации уже будет поздно - будет зацементировано, и к этому приложат максимум усилий аваковские соколы.

На эту тему: Константин Корсун: «Существующая система кибербезопасности - живой труп»

2) Согласно постановлению КМУ, МинАваков и мини-цифра должны каким-то образом обеспечить согласие пользователей на обработку и хранение их персональных данных. Думаю, это будет сделано (или уже?) обычным путем принуждения пользователя приложения Дія: пока не поставишь галочку «согласен» - не получишь доступ к сервисам. А что там написано - никто никогда не читает, просто тычет «согласен», и все. Можно вписать что угодно, например, «заранее согласен простить разработчикам все возможные ошибки» или «согласен платить штраф 100500 гривен за неиспользование этого приложения». Большинству на это пофиг, тыцают галочку, а потом возмущаются «а почему оно не работает?!». Или же возникнет вопрос «а откуда у полиции все данные с моего смартфона??», но будет уже поздно.

3) МинАваков и мини-цифра во время обработки персональных данных, должны соблюдать требования Законов Украины «О защите информации в ИТС». А там, между прочим, в статье 8 написано, что нельзя использовать государственные информационные ресурсы без КСЗИ (комплексной системы защиты информации - устаревший государственный набор требований по безопасности). Аттестата соответствия КСЗИ не имеет ни портал, ни приложение Дія. И получить их не могут. Так что трафик идет через зарубежные серверы Amazon, и неизвестно, что там происходит с данными.

Зачем мини-цифра сама себя загнала в эту ловушку прямо в постановлении КМУ - полная загадка. Ранее они тупо игнорили статью, хотя она действующая и распространяется на все государственные информационные ресурсы без исключения. А сейчас прям акцентировали на этом внимание. Чудеса да и только. Разве что решили быстренько «нарисовать» аттестаты КСЗИ, благо что Госспецсвязи, которое их выдает, подчинено КМУ (читай - Федорову).

На эту тему: 82% програмного забезпечення в Україні не ліцензоване, — Business Software Alliance

4) Вишенка на торте - напоследок.

Электронную версию паспорта гражданина Украины («е-паспорт») можно использовать для участия в «в выборах Президента Украины, народных депутатов Украины, депутатов Верховной Рады Автономной Республики Крым, местных советов, сельских, поселковых, городских голов, всеукраинских и местных референдумах.»

Правда, только на период действия «эксперимента» с е-документами, то есть в 2020-2021 годах.

Теперь выборы будет выигрывать тот, кто контролирует всю цепочку электронных систем, которыми будут передаваться персональные данные граждан. На любом звене данные можно будет немного подправить. Или продублировать, чтобы один и тот же гражданин одновременно проголосовал на 100-200-300 избирательных участках. А чей-то паспорт «внезапно» в день голосования не загрузится через приложение. А что, это просто техническая ошибка, ты поставил галочку «согласен»? Просто так совпало, что в день выборов. Беги за «книжечкой», терпела, если не обменял на е-паспорт, потому что участок скоро закрывается.

Помните «карусели» и «печенье» на выборах часв януковощей? Так то детский сад. Величайший лидер и его всемогущая десница будут управлять процессом так называемого «народного волеизъявления» со своих домашних компьютеров, без всяких титушек, подкупа избирателей, членов комиссий и других устаревших технологий.

Какие у нас там ближайшие выборы? Местные? Хорошо, как раз испытаем новые технологии.

И как раз дата выборов - октябрь 2020 года - попадает в промежуток «эксперимента». С учетом риска переноса на 2021 год из-за коронавируса - идеально. Прямо какое-то магическое совпадение. Вот повезло так повезло.

Кто-то может заметить мне: "не драматизируй”.

А я напомню историю от 2004 года о называемом «транзитном сервере ЦИК».

Его существование отрицали и штаб Януковича в, и председатель ЦИК, и все чиновники, причастные к выборам Президента Украины в том году. А он был, и его же активно использовали. Вот, например, в 2008 году (после победы Ющенко) Председатель СБУ рассказывает, как это было.

На эту тему: Виктор Медведчук: к власти по костям. «В криминальном мире таких называют «отморозками»

Но ситуация тогда и сейчас принципиально разная.

Тогда информационные системы только дублировали информацию с бумажных протоколов, не сильно влияя на результаты выборов. Эмоционально влияли, но фактически - слабовато.

А вот сейчас, если все пойдет по сценарию зеленоголовых, электронные системы уже будут активно влиять на избирательный процесс. И на порядок эффективнее.

Хотя до сих пор от общества скрывают информацию о степени защищенности и гарантий безопасности этих новых государственных информационных ресурсов: портал Дія и приложение Дія.

Если эти ресурсы будут использованы во время выборов - я хочу заключений независимых всемирно-известных компаний с безупречной деловой репутацией. И что настройки системы безопасности не могут быть изменены после независимого международного аудита. И каков план действий, если внезапно «все сломается». И кто все эти моменты будет контролировать. Кроме заинтересованных лиц, конечно.

На эту тему: Первая Мировая кибервойна. Почему "государство в смартфоне" не только полезно, но и опасно

И пока безбашенные жижитализаторы наваливают все больше яиц в сомнительную корзину, я бы не советовал пользоваться их подозрительными контрольно-полицейскими сервисами. Конечно, если для вас ценны такие штуки как приватность, безопасность персональных данных, свобода доступа к информации и другие либеральные прихоти.

Но это уже дело лично каждого.

—

Константин Корсун,  опубликовано на странице автора в Facebook

На эту тему:

• Законопроект № 6688: автор — ФСБ?
• Увы, это не паранойя: за нами следят
• GDPR: мифы и реальность
• Как российские хакеры взламывали избирательную систему США. Секретный отчет АНБ
• «Антивирус Касперского»: угроза для государства Украина
• Битвы Великой технологической: как в современном мире сражаются за мировое господство