Темная сторона "государства в смартфоне". Устроят ли украинцам цифровой концлагерь

  • 19 декабря, 11:31
  • 4360
  • 0

В Минцифре любят рассказывать о своих диджитал-планах и антибюрократических перемогах. Люди под постами - в восторге. А киберспецы - местами в ужасе.

Министерству цифровой трансформации чуть больше 100 дней. За это время оно успело объявить с десяток прогрессивных, полезных и амбициозных инициатив: очистить систему от бумажек и чиновников электронными услугами и кабинетами, перенести выборы в интернет, открыть/упростить реестры, загнать все необходимое в смартфон, который всегда под рукой. 

Все это выглядит круто и инновационно, но у технологий всегда есть и обратная сторона.

Как на инициативы и заявления молодого Министерства смотрят киберспециалисты? Какая опасность в том, что все документы переедут в смартфон, а реестры объединятся и некоторые распахнутся настежь?

Темная сторона "государства в смартфоне". Устроят ли украинцам цифровой концлагерь

Документы в смартфон - провокация на полицейский произвол?

Начнем со свежих примеров. В декабре Минцифры активно взялось за обещание перенести документы в смартфон. Начали с водительских прав. Мол, зачем таскать с собой пластик, если можно показать все полицейскому на смартфоне в приложении Дія? Если бета-тест пройдет успешно, то в Дію наверняка предложат перенести и другие документы.

CEO HackControl Никита Кныш в таких инициативах не видит проблемы. Но с оговоркой: оцифровка всего-всего - это поле раздора для мошенников. “Риски есть. Электронные подписи и документы должны быть защищены от всех возможных способов фрода и мошенничества”, - утверждает эксперт.

Хакер Шон Таунсенд в е-документах видит в лучшем случае сокращение времени, которое гражданин тратит на общение с системой. Зато риски информационной безопасности - огромные. 

Про мошенников он конкретизирует: “По сути там (в приложении - Ред.) хранится номер водительских прав, а информация будет подтянута из реестра. Китайская модель концлагеря - "честным людям нечего скрывать". 

Представьте ситуацию, вам звонит в дверь полицейский и говорит: у вас соседа ограбили, можно я вас сфотографирую и соседу покажу? А потом ещё себе в базу добавлю, чтобы два раза не ходить. Вы же согласитесь, вы же честный человек и вам нечего скрывать? Вот это вот и есть "Дія" в действии.

По словам Таунсенда, смартфон и так перегружен личной информацией, и если туда добавить еще документы, подписи “и прочие е-балалайки”, то он станет очень привлекательной целью для преступников.

А с другой стороны - поводом для злоупотреблений силовиков. Ведь доступ к водительской базе у них и так уже есть.

“Государство должно хранить копию ваших данных и прятать её в первую очередь от силовиков. Достать архивную копию должно быть сложно, а не легко (вот почему нельзя объединять реестры). А рабочая копия хранится у вас в устройстве, и она должна быть неклонируемая” - утверждает хакер. По аналогии как бумажные документы защищают водяными знаками, голограммами и прочими изощренными способами. 

Иначе, по мнению Таунсенда, наступает риск того, что нашими данными сможет торговать любой патрульный. Или - тем более - хакеры. Цифровая грамотность населения за развитием технологий просто не успевает. 

“А когда потекут все эти "Дии" и "реестры реестров" нас ждет волна identity theft и основанного на нем мелкого мошенничества”, - говорит хакер.

Шон Таунсенд и эксперт по кибербезопасности Андрей Перевезий видят еще одну опасность. Так как данные, например, прав все равно берутся из реестра, то полицейские могли бы подтягивать их по номеру. 

“А зачем тогда нужно приложение? Я думаю для того, чтобы воровать другие ваши данные из телефона. Я просто других вариантов не вижу”, - считает хакер. Например, при необходимости установить слежку за “подозрительными элементами”. 

Это сладкое слово на букву “б”

Блокчейном в украинских министерствах заболели пару лет назад, когда начался хайп с криптовалютами. С криптой история своя: вносятся законопроекты, подписывается меморандум с крупнейшей мировой биржей. А вот в блокчейне некоторые еще видят панацею от манипуляций с реестрами. К слову, сам министр Федоров роль блокчейна считает преувеличенной. 

Темная сторона "государства в смартфоне". Устроят ли украинцам цифровой концлагерь

Специалисты тут скептичны.

“Вопрос не в том, на блокчейне реестр или нет. Всегда была проблема, что какой-то регистратор из села перерегистрирует целые заводы непонятно на кого и на каких основаниях. Нужно решить вопрос ответственности “черных” регистраторов и цифровой идентификации” - считает Никита Кныш, CEO HackControl.

По его мнению, виноват тот, кто внес неправомерные изменения - и отвечать он должен имуществом и деньгами. А выбирать нужно самые обкатанные технологии. Сделать тот же реестр земельных ресурсов на обычной логике, чтобы была видна вся история изменений, кто их вносил, кто когда владел участком и т.д. 

“Никакой блокчейн не вернет доверие общества, пока вороватые чиновники-мошенники уходят от наказания. Ситуация, когда в реестре прав меняется собственник произволом чиновника, в других странах просто немыслима, хотя документы бумажные”, - говорит хакер Шон Таунсенд.

Кстати, о реестрах есть еще один свежий пример - новость о “странном скрипте”.

“В минувшую пятницу мы запустили первые 9 электронных услуг в сфере строительства без чиновника. Внимательно следя за первыми услугами, мы обнаружили удивительный факт: документы после автоматизированной проверки регистрируются в реестре автоматически, однако они не отображаются в публичной части реестра”, - сообщил глава Минцифры Михаил Федоров.

По его словам, команда обнаружила странный скрипт, который скрывал новые документы. Эдакая закладка от предшественников. Скрипт удалили. Строительный реестр ожидает опубликования в формате открытых данных - чтобы избежать манипуляций в дальнейшем.

Шон Таунсенд иронизирует: не может не радовать новость, что "скрипты" удалили, вместо того чтобы провести расследование и наказать виновных за мошенничество. 

Эксперт по кибербезопасности Андрей Перевезий удивляется другому: судя по словам министра, систему вводили в эксплуатацию без тестирования. Тогда, мол, возникает вопрос к квалификации разработчиков и заказчика программного продукта. А то, что “закладка” нашлась только сейчас, странно: ведь Минцифры отвечает за реестры уже определенный участок времени и этого не видело.

Есть вопрос и к идее объединения и взаимодействия госреестров, в которой эксперты тоже видят опасность и дыры. Соответствующий законопроект в первом чтении принят 31 октября. Но оставим разбор для отдельного материала.

Е-услуги, е-резидентство, е-голосование и прочее е

Еще в июне в Офисе президента заявили, что за 5 лет хотят перевести в онлайн 90% госуслуг. Например, CEO HackControl считает отдельные электронные услуги полезными. 

Темная сторона "государства в смартфоне". Устроят ли украинцам цифровой концлагерь

“Е-малятко - это хорошая инициатива. Для тех, у кого есть дети, это идеальный способ открыть счет, свидетельство о рождении, идентификационные коды”, - говорит Никита Кныш.

Шон Таунсенд напротив считает, что не нужно плодить лишние сущности. Государство должно отказываться от услуг, которые населению не нужны, а не переводить их в другие формы. 

“Вам нужны справки (бумажные ли, электронные ли не важно)? Мне нет. Если же решения принимать не нужно, как в случае с пособием по рождению ребенка (е-малятко), то даже смартфонные процедуры излишни. Выдайте родителям новорожденного именной чек одновременно со свидетельством о рождении и не морочьте голову приложениями”, - говорит хакер. 

Такой же скепсис у него по поводу e-residence - электронного гражданства, которое должно облегчить иностранцам регистрацию бизнеса в украинской юрисдикции (его по плану Минцифры запустят в следующем году).

“Очень многие люди готовы платить - и платить много - чтобы никогда не видеть нашу налоговую, нашу полицию, наших фискализаторов с их желанием обилетить всё и вся, и особенно наши суды”, - рассуждает Таунсенд.

А эксперт по кибербезопасности Андрей Перевезий препарирует предложение министра Кабмина Дмитрия Дубилета провести электронную перепись населения:

1. Собираем анонимную информацию у мобильных операторов о количестве пользователей и их расположении - как минимум, на каком основании собираем? Это персональные данные - ведь мы получаем расположение конкретного пользователя.

2. Собираем данные из реестров о детях (ЗАГСы) и пенсионеров (Пенсионный Фонд), так как эти группы имеют меньшее проникновение мобильных телефонов.

3. Проводим «калибровкой» социологические опросы. Уточняем, сколько SIM-карт приходится в среднем на одного украинца в разных группах - соцопрос где? Даже в селах у людей по два телефона или ни одного.

4. Вставляем эти данные в математическую модель - какая математическая модель?

И главный вопрос - каким образом собранные данные будут защищены

На вопрос же о возможности электронного голосования в Украине эксперты только отмахиваются. 

“Электронное голосование при состоянии кибербезопасности в Украине как минимум не вижу смысла обсуждать, если даже Швейцария от этого отказалась”, - говорит Андрей Перевезий.

Источник: liga.net


0 комментариев
Сортировка:
Добавить комментарий

IT Новости

Смотреть все