Е-паспорти прирівнюють до паперових: у чому ризики
16 квітня 2021
16.04.2021

15 квітня Президент України Володимир Зеленський підписав Закон «Про внесення змін до Закону України «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус» № 1368-ІХ. Згідно з ним, електронні паспорти матимуть юридичну силу на рівні з паперовими аналогами.

Що передбачає закон?

Громадяни України зможуть використовувати е-паспорти:

  • під час подорожей залізницею або літаком у межах України;
  • під час медичного обслуговування чи банківських операцій;
  • для отримання адміністративних, готельних, телекомунікаційних, бібліотечних послуг та пошти;
  • під час придбання товарів у магазин;
  • для підтвердження особи на запит поліції та правоохоронних органів.

Електронними паспортами можуть користуватися українці, які мають ID-картку або біометричний закордонний паспорт. Закон набирає чинності 23 серпня 2021 року.

До цього 30 березня Верховна Рада ухвалила в другому читанні законопроєкт №4355 про легалізацію електронних паспортів, який дозволяє їх використання на рівні з паперовими. Згідно з ним, українці можуть за допомогою е-паспорта громадянина України та закордонного е-паспорта посвідчувати особу та підтверджувати громадянство на території країни.

У чому ризики?

На думку Андрія Барановича (відомого як Шон Таунсенд), співзасновника «Українського Кібер Альянсу», спосіб, у який отримують доступ до електронних паспортів у «Дії», «прискорює та полегшує шахрайство». «Ідентифікація не в карті, не в мобілці, не в книжечці і не в цифровому підписі. Ідентифікація відбувається, коли у вас є "артефакт", який важко скопіювати і ви самі (скопіювати ще складніше)». Через те, що зайти в додаток не складно, виникає значний ризик supply-chain атаки (впровадження шкідливого коду в процес розробки програмного забезпечення).

За словами експерта Павла Бєлоусова, додаток «Дія» поки що має недостатньо сильну систему захисту даних. Отримати доступ до цифрових документів іншої людини можна заволодівши її банківською або SIM-картою.

«Наразі головне те, що є можливість отримати чужу авторизацію в “Дії”, наприклад, когось, хто не сильно в цьому розбирається, та цим скористатися. Наприклад, бабуся має картку Привату. За допомогою цього робиться авторизація в “Дії”, підтягується паспорт, з ним йдеш до відповідного нотаріуса та переписуєш на себе квартиру. Бабця й не дізнається. З паперовим паспортом складніше»,— прокоментував Павло Бєлоусов. — Зараз якогось захисту від цього немає. Лише іноді можуть відбуватися повторні запити на авторизацію. Але хто авторизовується — не перевіряється поки. Ніби, пізніше це зроблять, до моменту вступу закону у дію».

Як повідомлялося раніше, у Верховній Раді зареєстрували проєкт Закону №5376 «Про внесення змін до Податкового кодексу України щодо стимулювання розвитку цифрової економіки в Україні». Документ має стати правовою основою запуску податкової системи для розвитку IT-галузі в «Дія City».