Що треба знати про безпеку державного застосунку Дія

10 лютого 2020, 07:00
Вы также можете прочесть этот материал на русском языке

Про запуск програми «Дія» чув мало не кожен українець. В основному чули те, що це і є та сама «Держава в смартфоні». Але що відомо про її безпеку?

На поточний момент в застосунку «Дія» доступні водійські права і «техпаспорт» в електронному вигляді.

Поки що це маленька частина того, що оцифрували із запланованого, але ось уже до весни, наприклад, в застосунок обіцяють додати ID паспорт і студентський. І тут точно багато зададуться (хотілося б вірити) запитанням — а що ж з безпекою даних і чи можна взагалі ось цьому всьому довіряти?

Відео дня

Дійсно, питання безпеки даних як ніколи актуальне. Розглянемо, що на сьогодні нам відомо про потенційні загрози для користувачів «Дія».

Перше, що у мене запитують — чи безпечно передавати із застосунком свій податковий номер, ім'я з прізвищем, пошту і так далі (зараз ці дані передаються в момент авторизації через застосунок банку).

Однозначної відповіді у мене немає, але якщо розбиратися і будувати різні теорії — можна піти в глибоку філософію.

Зараз нормально (знову ж таки, як «нормально» — у кожного своє розуміння), що жити в Україні без паспорта, податкового номера, мобільного телефону і так далі — не дуже зручно, скажімо так.

Якщо держава вами зацікавиться — інформацію про вас зберуть і без «Дії»

Чи небезпечно державі (із застосунком «Дія») передавати ці дані? Все просто: якщо держава ці дані вам присвоїла і видала, — природно, ці дані у неї і так є. І навіть більше даних. якщо держава (або хтось, хто має доступ до цих даних зсередини) вами зацікавиться — інформацію про вас зберуть і без «Дії». Та й якщо згадати 37-й рік, то «аналоговими» методами теж запросто можна вирішити подібне завдання.

Найголовніше в цьому випадку, щоб дані всередині держави були надійно захищені, доступ до них мав обмежене коло людей з фіксацією звернення до них. В такому випадку, ймовірність «зливу» або агрегації зменшується.

Друге. Чи надійний розробник?

Відомо, що проектом займалися розробники з українського EPAM (на волонтерських засадах).

Звичайно, EPAM — серйозні хлопці і вони навряд чи будуть ризикувати своїм ім'ям, роблячи застосунок «на коліні». Але чи проводився незалежний аудит? Тести на безпеку? Якщо ж тести були, — хто їх проводив, скільки разів і на яких етапах?

Якщо ми цього не знаємо — як правило, не довіряємо за замовчуванням. Та й тепер EPAM відходить від розробки програми та її продовжить державна IT-компанія DIIA.

Міністерство цифрової трансформації
Фото: Міністерство цифрової трансформації

Висновки робити поки що рано, але, ще раз, компанія — державна, зарплати, ймовірно, будуть нижчими за ринкові. Хто піде на ці посади? Подивимося. Хоча вже зараз помітно, що після публічного запуску державні реєстри не витримують навантаження, а «Електронний кабінет водія» у багатьох користувачів не відкривається в перші дні роботи програми.

Що може бути ще — покаже час. Напевно, шахраї зможуть знайти способи, як використовувати «Дію» в своїх «темних справах».

Якщо вони вже зараз легко викрадають SIM-карти і крадуть гроші з рахунків, то тепер, захопивши доступ до інтернет-банкінгу (через перевипуск SIM-карти), зможуть авторизуватися в застосунку «Дія», отримати доступ до прав, техпеспорта, а пізніше і до паспорта, і до всього іншого, що планують впровадити.

Якого роду збиток зможуть завдати — буде видно пізніше. Тому, не чекаючи перших кейсів — потрібно хоча б прив’язати свою SIM-карту до паспорта.

В підсумку. Я сам користуюся застосунком ще з бета-тесту і вважаю, що проект потрібний, а старт хороший. Але завжди потрібно бути уважним, розуміти що як працює і розуміти, що завжди є ризики.

Якщо ви не знаєте для чого вам цей застосунок — подумайте, чи потрібно воно вам взагалі

Планувалося, що продукт буде масовим, а тому — повинен бути простим і зручним як ми знаємо, «безпека зручною не буває»). Якщо ви не знаєте для чого вам цей застосунок або ви звикли до паперових документів і оффлайнових процесів —подумайте, а чи потрібно воно вам взагалі.

У всякому разі на цьому етапі.

poster
Підписатись на щоденну email-розсилку
матеріалів розділу Техно
Розсилка про те як технології змінють світ
Щопонеділка

Приєднуйтесь до нас у соцмережах Facebook, Telegram та Instagram.

Показати ще новини
Радіо НВ
X