Мінцифри звітує про рік роботи. Ми перевірили їхні заяви та досягнення
16 березня 2021
16.03.2021

Через рік після оприлюднення мобільного додатку «Дія» Міністерство цифрової трансформації підбило підсумки своєї роботи. Загалом запустили 94 проєкти, серед яких застосунок і портал «Дія», створення мережі швидкісного інтернету в усіх областях України та платформа цифрової грамотності. Чи відповідають заявлені досягнення Мінцифри реальності та які ризики цифрової трансформації становлять для безпеки даних користувачів, розбиралась «Інтернет Свобода».

Усе в цифрі: запуск застосунку та порталу Дія

Мобільний додаток Дія презентували 6 лютого 2020 року. Наразі у мобільному застосунку доступні 9 цифрових документів: посвідчення водія, свідоцтво про реєстрацію транспортного засобу та автоцивілка, студентський квиток, ID-картка та закордонний біометричний паспорт, податковий номер, свідоцтво про народження дитини та довідка внутрішньо переміщеної особи. Також у додатку працюють 3 послуги: сплата штрафів за порушення ПДР, виконавчих проваджень та запис на вакцінацію. На десктопному порталі Дія понад 50 онлайн-послуг.

Над застосунком півроку працювали фахівці українського підрозділу EPAM Systems, американської компанії, що виробляє програмне забезпечення. Розробляли Дію на волонтерських засадах. Зараз роботою над додатком займається Diia Company, перша державна IT-компанія. Кошти надають окремі ініціативи, зокрема з США та Європи. Як стверджують Мінцифри, держава Дію не фінансує.

Для перевірки надійності Дії Мінцифри у грудні 2020 року провело конкурс (багбаунті) серед програмістів. Чим серйозніша вразливість знайдена, тим більше коштів отримують тестувальники.

Завдяки багбаунті у застосунку виявили два технічні баги найнижчого рівня: створення неправильного QR-коду, через який додаток видавав помилку, та можливість вільно отримати з додатку інформацію про поліс страхування автотранспорту, якщо відомий державний номер транспортного засобу та VIN-код. Проте, як зауважує Мінцифри, дані про поліс страхування автотранспорту і так перебувають у відкритому доступі та не підпадають під захист Закону «Про захист персональних даних».

Другий етап багбаунті планують провести цього року.

Чи дійсно усе так безпечно?

Експерти в сфері інформатизації та цифрової безпеки висловлюють застереження щодо функціонування додатку «Дія». Ключовими застереженнями є:

1. Витік особистих даних. Якщо хакери зламають акаунт, то вони отримають доступ одразу до одразу низки важливих документів.

У травні минулого року з’явилась інформація про можливий витік особистих даних, коли завдяки Дії хакери начебто отримали доступ до водійських посвідчень користувачів. Мінцифри звинувачення заперечили.

«Напевно, шахраї зможуть знайти способи, як використовувати «Дію» в своїх «темних справах». Якщо вони вже зараз легко викрадають SIM-карти і крадуть гроші з рахунків, то тепер, захопивши доступ до інтернет-банкінгу (через перевипуск SIM-карти), зможуть авторизуватися в застосунку «Дія», отримати доступ до прав, техпеспорта, а пізніше і до паспорта, і до всього іншого, що планують впровадити. Якого роду збиток зможуть завдати — буде видно пізніше. Тому, не чекаючи перших кейсів — потрібно хоча б прив’язати свою SIM-карту до паспорта», — Павло Бєлоусов, експерт Школи цифрової безпеки DSS380.

Проте перший заступник міністра цифрової трансформації Олексій Вискуб в інтерв’ю для «Інтерфакс-Україна» сказав, що зламати послугу електронного підпису в «Дії» було б складно:

«Електронний підпис ви і зараз можете втратити, якщо він на флешці. Згідно із договором з центром довірчих послуг, у цьому випадку, щоб призупинити дію електронного підпису, ви маєте зателефонувати і назвати пароль. Крім того, існує пароль до особистого ключа. який відомий лише власнику. Питання в тому, що у смартфоні до пін-коду в нас передбачається також face detection, який іншій людині не пройти, бо це не лише face recognition, там ще й потрібно крутити головою. Але звичайний запобіжник, який діє для банківських карт і електронних підписів, зараз у «Дії» також залишиться. Тож зламати послугу електронного підпису в «Дії» буде складним і дуже витратним процесом, я його взагалі собі не уявляю».

2. «Дія» порушує права громадян. Таку думку висловила Українська Гельсінська спілка. Євген Захаров, голова правління Української Гельсінської спілки та директор Харківської правозахисної групи, зауважував, що збір інформації користувачів повинен мати легітимну мету та ґрунтуватися на законних засадах.

«Дія» порушує не тільки право на захист персональних даних. Він (додаток) порушує право на приватність. В даному випадку мова йде про приватності комунікацій, тому що фактично орган уряду, який уповноважений це робити, знімає інформацію з каналів зв'язку без жодного рішення (суду)», — зазначив Євген Захаров.

3. Збої у роботі «Дія» через перевантаження. Так 15 грудня 2020 року додаток «Дія» працював з перебоями через активність сотні тисяч користувачів, що одночасно намагались подати заяву на отримання одноразової матеріальної допомоги ФОПам та найманим працівникам. Пізніше Мінцифри повідомила, що для застереження таких випадків почала масштабувати бек-офіс.

«Ми плануємо, що «Дія» працюватиме у двох центрах обробки даних з умовно кажучи «гарячим резервуванням», можливістю швидкого переключення з одного ЦОДу на інший. Наразі у нас лише один дата-центр — DeNovo. У ньому на 100% розміщені портал і застосунок, але цього року прийняли рішення зробити гаряче резервування ще й каналів», — Олексій Вискуб, перший заступник міністра цифрової трансформації, у інтерв’ю з «Інтерфакс-Україна».

4. Відсутність документації та технічного опису додатку «Дія». Про таку проблему повідомляє Заборона Медіа. Онлайн сервери, що мають доступ до приватних даних громадян, повинні мати відкритий код, аби його змогли перевіряти незалежні експерти.

«У випадку з додатком «Дія» ми маємо саме ситуацію цифровізації безладу, наслідком чого буде вже цифровий безлад», — пояснив Забороні Медіа Роман Хіміч, експерт ринку телекомунікацій. На його думку, помилкові дані та невідповідності можуть призвести до «складного комплексу проблем, на які Мінцифри не має впливу».

Окремо варто зазначити про критику порталу «Дія.Бізнес», мета якого — допомагати середньому та малому бізнесу. Як повідомляють Букви, сайти представництв «Дія.Бізнес» у Харкові та Миколаєві зареєстровані в Росії. Їхні вебсторінки створені у російському конструкторі сайтів Tilda та зареєстровані через хостинг REG.RU LLC, розташований в Москві.

«Ці сайти зроблені в конструкторі «Тільда». Це сервіс, в якому можна легко і просто робити сторінки, такий конструктор сайтів. Мабуть, через «Тільду» куплені домени, і на її ж сервісах розміщується сайт. «Тільда» — російський сервіс, тому використовує російський хостинг. Тобто фізично сайти «Дія.Бізнес» знаходяться в Росії, домени куплені у російського реєстратора. IP-адреси, відповідно, теж російські», — Євген Войніч, IT-фахівець.

Мінцифри зазначає, що створенням сайтів центрів займалась неприбуткова громадська організація.

«Центр «Дія.Бізнес» оперує в рамках чітких гайдлайнів і правил. Разом з тим, у них є свобода вибору щодо, зокрема, хостингу», — повідомили у Міністерстві.

Інтернет для всіх: національний проєкт із забезпечення швидкісним інтернетом всіх жителів України

У липні 2020 року Міністерство цифрової трансформації презентувало дослідження, згідно з яким мешканці 65% сіл України не мали доступу до швидкісного інтернету.

Завдяки проєкту із забезпечення швидкісним інтернетом, як повідомляє Мінцифри, 7 мільйонів українців отримали доступ до мобільного інтернету 4G. Для роботи над ним об’єднались три оператори — Kyivstar, Vodafone і Lifecell. 24 листопада 2020 року відбувся останній етап проєкту, підключення інтернету в Луганській і Донецькій областях.

Як звітують мобільні оператори?

Національна комісія, що здійснює державне регулювання у сфері зв’язку та інформатизації розробила тестову версію вебкарти (станом на 11.01.2021) покриття України мобільним зв’язком на базі технології 4G з урахуванням отриманих даних від Kyivstar, Vodafone і Lifecell.

Мобільний оператор Kyivstar зазначає, що станом на 2021 рік має 14 млн абонентів, що перейшли на 4G. Також повідомляється про розміщення 14,2 тисяч станцій для покриття швидкісного інтернету 4G на всій території України. Натомість у Vodafone і Lifecell, за даними Kyivstar, 11,4 тисячі та 6,7 тисяч відповідно.

Скріншот мапи 4G-покриття Kyivstar, джерело: Kyivstar

Скріншот мапи 4G-покриття Vodafone, джерело: Vodafone

Скріншот мапи 4G-покриття Lifecell, джерело: Lifecell

Серед низки ризиків є й позитивні зрушення. Так завдяки проєктам, що були реалізовані у 2020 році Міністерством цифрової трансформації, Україна стала першою країною з електронними паспортами та четвертою в Європі з цифровими посвідченнями водія.