Експерт із кібербезпеки Костянтин Корсун в інтерв’ю Radio NV — про проблеми із застосунком Резерв+ і його недоліки, що стосуються, зокрема, захисту персональних даних.
— Чи вже подолані проблеми з запуском Резерв+? Частина потенційних користувачів говорили про те, що вони хочуть почекати перші тижні, аби пофіксили додаток.
— Так, у перший і другий день були серйозні проблеми із доступністю самого додатку, зокрема, з-за кордону. І для тих, хто знайшов його, завантажив, були десь добу чи більше труднощі з авторизацією через BankID. А це свідчить, що, як завжди, ми виявилися неготовими.
Наприклад, той же додаток Дія існує п’ятий рік. На п’ятий рік свого існування він виявився неготовим до масового голосування за нацвідбір на Євробаченні, хоча вже є чотири роки інтенсивного набивання шишок. А тут перша версія. Перша, релізна версія завжди найслабша. Це кожен айтішник вам скаже. І це правило без винятків. Немає ідеальних додатків, які не треба фіксити після першого дня релізу. Тому версією 1.0 завжди краще не користуватися.
Чому наші люди масово побігли цим користуватися? Важко сказати. Це, найімовірніше, соціологія, психологія і інше. Але я бачив, що Міністерство оборони заявило про 1,1 млн громадян, які скористалися цим додатком. Не ясно, чи оновили свої дані, чи просто це статистика завантажень додатку, але ясно, що все ж таки це явище масове.
І при цьому наводяться цифри, що близько 55 тисяч оновили дані через ЦНАПи і 38 тисяч через ТЦК. Розуміємо, які масштаби. Це близько 1:20. Більшість має розуміти, які ризики і щодо персональних даних, і щодо кібербезпеки їх очікують.
Але більшість не фахівці, на них розраховано це все. А з погляду кібербезпеки, з погляду захисту персональних даних, це катастрофа. Можу детально розказати — я у своїх трьох дописах написав на цю тему у Фейсбуці.
[Серед проблем] — техпідтримка через Телеграм, наприклад. І те, що додаток зроблений на основі недоробленого додатку Мрія — це шкільний онлайн-щоденник. І ще безліч різних нюансів, з яких випливає те, що додаток навіть функціонально не був готовий. Дуже сильно поспішали на 18 травня його випустити, аби збіглося з першим днем дії оновленого закону про мобілізацію. А те, що дуже швидко робиться, ніколи не буває якісно. Кожен з нас прекрасно знає це правило.
Навіть по функціональності не вгадали, хоча мали всі вихідні дані. Приблизна кількість військовозобов’язаних більш-менш була зрозумілою, і можна було розрахувати навантаження на додаток, можна було якось адаптувати авторизацію через BankID. Треба було просто цю купу зібрати і прорахувати. Але вийшло все як завжди.
Я не знаю, чому так відбувається у нашій країні з року в рік. Але я ще раз наголошу, що навіть функціональність не була готова, а безпека завжди відстає від функціональності, вона на другому, третьому, п’ятому, десятому місці. Головне — функціональність, аби воно працювало, виконувало ту функцію, яку розробник закладає в нього. А закладалася функція, щоби військовозобов’язаний, призовник чи резервіст міг віддалено оновити свої дані. Це одна функція, одностороння. І з цією задачею впоралися так собі.
Тому з питанням безпеки, а особливо захисту персональних даних… Я думаю, що ці ризики просто проігнорували, хоча вони є. Але завдання було у максимально короткі терміни отримати максимальну інформацію про потенціал для мобілізації. З цією задачею так-сяк впорались, але знехтували питанням кібербезпеки і персональних даних.
Щодо кібербезпеки це означає, що в найгіршому варіанті база якимось чином опиниться у ворога. Цей ризик завжди головний, по суті. Він очевидний, він на поверхні. Як його вирішували, як від нього страхувалися, я не знаю, тому що ця інформація закрита, вона не публічна. Нічого — ні слова, ні пів слова — про інфраструктуру і яким чином забезпечується безпека не сказано, не повідомлено. Відповідно, можна будувати будь-які конспірологічні теорії.
Щодо персональних даних. Також ви не можете проконтролювати свої персональні дані. Ви не можете знати, хто і як ними розпоряджається, як вони зберігаються, чи надійно забезпечений їх захист. А все це передбачено, навіть українським слабеньким законодавством, не кажучи вже про європейський GDPR, до якого ми начебто прагнемо.
Але тут на днях виявилася ще одна цікава історія щодо легітимності Резерв+. Я сьогодні перечитав закон України, який вносить зміни в законодавство про мобілізацію. Там написано, що можна оновити свої дані через ТЦК або через електронний кабінет військовозобов’язаного, призовника, резервіста — так це називається. І там нічого не сказано про Резерв+.
— Можна трактувати Резерв+ як електронний кабінет військовозобов’язаного, призовника, резервіста чи ні?
— У мене є юридична освіта, одна з двох.
— У мене її немає, тому я вас запитую, як це оцінювати юридично.
— Будь-який першокурсник юридичного вишу вам скаже, що законодавство має певні правила. Те, що написано, можна по всякому трактувати, але тільки це і мається на увазі. Ідеальне законодавство — максимально просте і не передбачає двозначностей.
Отже в цьому випадку навіть про це не йдеться. Якщо написано люміній, значить люміній. Написано чугуній, значить чугуній. Написано електронний кабінет призовника, військовозобов’язаного, резервіста і нічого немає про Резерв+. З погляду закону, це додаток такий же, як ви пройшли тест Який ти фрукт? Суто формально-юридично.
І навіть в самому додатку прямо нічого не сказано. Якби там було написано Резерв+, а десь внизу дрібним шрифтом написано, що цей продукт є електронним кабінетом військовозобов’язаного, призовника, резервіста, то ще можна було б [так трактувати]. Якісь були б двозначності, можна було сперечатися, але якось, хоч трошечки воно би вписувалось у законодавство. Цього нічого немає, відповідно, і юридичних наслідків це жодних не створює.
Тим більше, що після оновлення даних у Резерв+ ви нічим не можете це довести. Щось ви потикали, вам на екранчику щось показали, дякую, оновлено. Але жодних документальних свідчень цьому немає, тому що міністерство, розробники додатку цю функцію генерування QR-коду, який веде на електронний військово-обліковий документ, який підтверджує, [планують запустити] лише після 18 червня. І це одразу було заявлено.
Тим людям, які зараз це все заповнюють: це ні від чого не страхує, нічого не доводить і юридичних наслідків ніяких не створює. Ви такі задоволені, оновили все через додаток, ідете вулицею, вас зупиняє патруль ТЦК і каже: «А у нас в базі немає нічого про вас. Сідайте в бусик, будь ласка, поїхали в ТЦК, на медкомісію».
— Тож можливі два сценарії: або необхідно в законодавстві розширити [перелік] — через кому написати Резерв+, коли ітиметься про цей електронний додаток; або написати, бодай малими, дрібними літерами знизу, що саме цей додаток і є електронним кабінетом.
— Так, має бути юридичний зв’язок між тим, що написано в законі, і тим, що написано в додатку.
Але зазначу, що поняття Електронний кабінет значно ширше, ніж просто поняття додаток. Не можна взяти додаток і сказати, що це — електронний кабінет. Для розуміння: електронний кабінет — це як автомобіль, а додаток — це як дверцята цього автомобіля, і не обов’язково водійські. У цьому випадку додаток Резерв+ виконує одну просту задачу — авторизує. І через ці дверцята ви якимось чином передаєте свої дані кудись.
— Йдеться про те, що це альтернативний спосіб розголошення інформації про себе, коли ти не мусиш стояти в черзі тривалий час. Це була ключова мета.
— Так. Але я ще раз скажу, що це якихось юридичних наслідків не створює. Це ви передали, ви виконали, як вам здається, вимоги законодавства, але не факт, що так само вважатимуть у ТЦК. І ви думаєте, що ви внесли дані, але немає гарантії, що вони з того боку, з бекенда, з серверної частини, коректно внеслися, коректно збереглися, що їх там випадково не видалили. Це одне.
А з іншого боку, у працівника ТЦК, який робитиме запит щодо вас у цій базі, куди ви внесли дані, теж коректно буде [все відображатися], що в нього буде доступ тощо. Безліч суто технічних моментів, які нічого не гарантують.
Якщо ви, наприклад, прийдете в ТЦК і оновите дані, то вам за запитом мусять видати і витяг з реєстру з якимось QR-кодом. І ось із цим папірцем ви можете сміливо вже [йти далі]. Це вже документ. [Наприклад], ви вважаєтесь у розшуку, а ви оновили дані, у вас є документ. Ви йдете до суду і скасовуєте ті штрафи — 25 тисяч гривень, на секундочку.
Тому юридичних, правових наслідків заповнення даних через цей додаток поки що не проглядається.
— Ви вже згадували про підтвердження за допомогою BankID. Чому пішли саме цим шляхом? Могла бути, наприклад, авторизація в Дії. Бо з’являлися перестороги про те, що якщо це BankID, то, можливо, ТЦК матиме інформацію про банківські рахунки і зможе стягувати всі штрафи. Скільки в цьому є міфу, а скільки реальності?
— Усе переплутано, все в купу навалено насправді. Я вам зараз коротенько на двох пальцях покажу.
Те, що ви називаєте авторизацією через Дію, — це і є BankID. Дія авторизує через BankID. Що таке BankID? Є десяток чи півтора десятки українських банків. Ви приходите, відкриваєте якийсь рахунок, вам дають картку, вас фотографують з тією карткою, з паспортом чітко, однозначно ідентифікують. І так роблять багато банків. І система BankID прив’язується саме до цих банківських акаунтів, розраховуючи, покладаючи надію на те, що банки належним чином, глибоко перевірили свого клієнта, 100% ідентифікували, подивилися йому в очі, з ним розмовляли.
І вся ця система об’єднується у BankID. Все це контролює Національний банк, і він же виступає гарантом надійності цієї системи. Наскільки це насправді — складно сказати. Чи можливо, що банк вигаданій людині відкриє рахунок? Мабуть, що можливо. А чи багато відомо про це фактів? Нічого не відомо. Це дуже-дуже втаємничено, якщо навіть і є таке.
Але я давно критикую цю систему. Дія — це державна програма, державний додаток, ціле міністерство під це зробили. Вони офіційно ідентифікують громадян, видають електронні документи, які засвідчують особу. Це найвищий ступінь довіри в державі. Це як гроші. А банки і будь-яка мережа комерційних організацій — це система нижчого рівня. Вона може бути надійною, не дуже надійною, але це комерційний сектор, він працює заради грошей, він ризикує грошима.
А держава, яка гарантує ідентичність виданих у ній документів, має побудувати власну систему ідентифікації, абсолютно незалежну від комерційного сектора. А це перекладання відповідальності на комерційний сектор, на те, щоби кожен банк сумлінно виконував абсолютно всі інструкції. У нашій країні, з нашими традиціями необов’язковості дотримання законодавства це трохи якось наївно виглядає.
Отже цю систему BankID використовує і Дія, тому що у Дії немає власної інфраструктури. Немає, умовно, Дія.пунктів для того, щоб активувати свій акаунт у Дії – це довго і дорого. Я не знаю, чому 2019 року, коли Дія задумувалася, пішли цим шляхом.
Але щодо побоювань, що ТЦК через банки матимуть доступ до карток і напряму блокуватимуть рахунки, це не так.
— Тому я і запитав, наскільки цей міф узагалі має під собою якесь підґрунтя. У соцмережах такі речі з’являлися, треба прокомунікувати.
— Якраз це питання — моє улюблене, адже знаходиться на стику технологій і юриспруденції. Тому що мало хто і в тому, і в тому розуміється, а я — так.
Отже, максимально, яке законодавство в нашій країні працює, — це банківське законодавство. У нас Нацбанк формально незалежний і по суті він набагато більш незалежний, ніж будь-яка інша інституція. У нього власне законодавство, він дуже самостійний у своїх рішеннях. І законодавство про банківську таємницю працює якось краще, ніж інше.
Щоб отримати дані по конкретному користувачеві, які в нього картки, які суми, які транзакції, треба судове рішення. І банки дуже чітко розуміють, що якщо вони не будуть дотримуватися законодавства і тихенько, без рішення суду, будуть видавати правоохоронцям чи військовим якісь дані, то їхньому банку гаплик скоро настане, тому що від нього підуть клієнти.
Банківська система дуже чутлива до різних чуток і до таких піар-акцій. Якщо про якийсь банк запустити чутку, що він ось-ось лусне, туди побіжать усі клієнти забирати свої гроші, і він дійсно лусне. Тоді плітка може реалізуватись у конкретний колапс.
За матеріалами nv.ua
