Айтишники планируют новую акцию протеста под стенами кабмина Украины. Теперь в центре внимания не режим «Дiя.City», а приложение «Дiя», электронные документы и кибербезопасность. Почему активисты вдруг сменили вектор, чего добиваются и что об этом думают в Минцифры, далее в материале Highload.
Разработчик Алексей Раев
Этот вопрос мы задали организатору акции и активисту независимой группы IT Ciч, разработчику Алексею Раеву.
По его словам, эксперты и специалисты по кибербезопасности уже много раз говорили об опасности ускоренной и непродуманной диджитализации — в правительстве это проигнорировали. Теперь айтишники не уверены, что государство делает достаточно для того, чтобы цифровые услуги и сервисы были безопасными.
«Власть в лице Минцифры сделала вид, что проблем не существует, а “значение кибербезопасности слишком преувеличено”. Мы выйдем под стены кабинета министров в наш профессиональный праздник и призываем обратить внимание на существующие угрозы и опасности, созданные непрофессионализмом и популизмом цифровых трансформаторов», — пишут в анонсе мероприятия в Facebook.
Уточняется, что на акцию в качестве спикеров приглашены ведущие специалисты и эксперты по информационной и кибербезопасности, которые расскажут, что именно пошло не так и что следует изменить, чтобы уберечь украинцев.
«Закон о внедрении режима “Дiя.Сity” был принят и подписан президентом. Попытки сейчас его отозвать или как-то отменить имеют достаточно призрачные шансы. Мы работаем над следующими шагами по другим законопроектам, связанным с “Дiя.Сity”», — говорит Алексей Раев.
Он добавил, что активисты также планируют выходить со своими предложениями по урегулированию трудовых отношений фрилансеров, независимых подрядчиков. Причем не только в IT, но и во всем «креативном секторе».
Эксперт рынка телекоммуникаций Роман Химич
Журналистка Highload пообщалась с приглашенным на акцию экспертом Романом Химичем. Он независимый консультант рынка телекоммуникаций, который занимается исследованием проблематики безопасности и доверия в цифровой среде, а также защитой прав потребителей в этой среде. Его клиенты — операторы мобильной связи, которые работают с mobile ID — одной из форм электронной цифровой подписи, электронными доверительными услугами.
«В Украине в сфере удаленной идентификации доверительных услуг происходит лютый треш. Все инструменты, которые государство навязывает нам для этого, скомпрометированы, их не раз публично ломали, глумились над ними. В сфере доверительных услуг самыми известными являются кейсы с Рябошапкой и Джо Байденом. Кроме того, с 2015 года имели место инциденты с липовыми цифровыми подписями нотариусов, госрегистраторов. В “Дiя” сегодня очередная проблема: средства удаленной электронной идентификации, каковыми являются электронные документы, не вызывают доверия. В них есть ряд изъянов. На них министерство закрывает глаза — врет или делает покер-фейс», — говорит Роман Химич.
Фото: Минцифры
По его словам, украинские финансовые учреждения, операторы медицинских систем типа Helsi, участники разных рынков продолжают игнорировать тот факт, что номер мобильной связи вообще не годится как фактор идентификации — эту практику нужно нормативно запретить. Ведь, имея на руках только сим-карту с номером телефона, можно получить доступ к интернет-банкингу, затем (с помощью BankID, ЭЦП и других инструментов) пройти авторизацию на сайтах и в сервисах госучреждений. А кражи финансовых мобильных номеров в Украине — не редкость.
«В последние годы разворачивается эпидемия преступлений в цифровой среде — разные мошенничества, кража средств. В конце прошлого года банковская ассоциация EMA сообщила, что, по данным ее членов в 2019 году зафиксированы около 60 тысяч успешных операций по подмене номера. То есть мошенники присвоили номера мобильной связи, которые используется для идентификации в сервисах. СБУ, киберполиция озвучивают аналогичные цифры. При том, что все признают очень высокую латентность такого рода преступлений, которая достигает 80–90%. То есть пострадавшие не обращаются в правоохранительные органы», — утверждает эксперт.
Решением проблемы Роман Химич считает многофакторную аутентификацию с помощью разных способов и в разных комбинациях. Тогда у мошенников снизятся шансы получить доступ к электронным документам.
«Акция будет направлена на то, чтобы привлечь внимание к дефектам безопасности электронных документов, к очень масштабной и серьезной проблеме со средствами удаленной электронной идентификации. Неправильно говорить о проблемах в сервисах “Дiя”. Ее мобильное приложение — это функциональная часть: публичные услуги, которые открывают доступ к электронным документам. Министерство усиленно продвигает порочный нарратив: давайте обсуждать проблему, докажите, что “Дiя” уязвима. Bug bounty — сплошной сеанс уриноофтальмологии. Неправильно говорить только о приложении. Нужно говорить об электронных документах. Потому что в случае с ними уязвимость уже доказана», — резюмировал эксперт.
Алексей Раев предоставил Highload комментарий коллеги, участвующего в bug bounty (имя не раскрыл). Он утверждает, что якобы была выявлена уязвимость новой технологии PhotoID (с ее помощью можно подтвердить личность вместо переавторизации, доступна в бета-версии — прим.).
«Это разработка Минцифры, которую можно сломать как новыми (3D-печать), так и совсем старыми (face-swap, 3D-модель по фото) методами. Она, в отличие от PhotoID от Apple, не использует датчики глубины и намного менее надежна. Технология является единственным фактором защиты при авторизации в “Дiє” по ID-карте или создании “Дiя.Пiдпису”.
То есть раньше, похитив вашу ID-карту, злоумышленник имел доступ только к информации, записанной на ней, а сейчас имеет доступ ко всему функционалу “Дiя”.
Вторая проблема — ненадежные средства идентификации. Как можно верить, что в ваш аккаунт не войдет злоумышленник, если мы видели логин Joe Biden или ûÉÒÏËÁÑ? Минцифры всегда перебрасывает половину ответственности за это на банки и BankID. Фактически каждый запрос авторизации через BankID проходит через id.gov.ua — сервис, на сайте которого при авторизации большими буквами написано “Министерство цифровой трансформации Украины”, а внизу — логотип госпредприятия “Дiя”. Этих двух пунктов достаточно, чтобы не доверять свои персональные данные и возможность делать запросы в госучреждения и банки от вашего имени».
В пресс-службе ведомства подчеркнули, что Украина — независимое государство и каждый гражданин имеет право на выражение собственного мнения. Минцифры и «Дiя» всегда открыты к диалогу и не против критики, если она конструктивна, отмечают там.
«Приложение является безопасным государственным IT-продуктом и не хранит персональные данные, а лишь отражает информацию, которая уже есть о вас в реестрах. Если кто-то не уверен в его безопасности и хочет проверить “Дiю” на уязвимости, сейчас Минцифры проводит bug bounty», — говорят в министерстве.
Фото: Минцифры
Там также напомнили, что в приоритете сейчас — проверка новой электронной подписи «Дія.Підпис», генерации электронной копии и шеринг документов, а также, что bug bounty проходит в копии приложения «Дiя» без доступа к внешним информационным системам — госреестрам, банковским системам (регистрация в приложении происходит через BankID) и информационным системам вендоров (функционалу для шеринга документов).
«Все найденные уязвимости будут проанализированы нашей командой специалистов и позволят нам усилить систему защиты сервиса. Сейчас на портале “Дiя” вы можете просмотреть информацию об уже найденных уязвимостях. Это баги низших уровней, которые не несут угрозы для пользователей. Они сразу же были обработаны и устранены», — подчеркнули в пресс-службе.
Активисты приглашают всех желающих присоединиться к акции в День программиста, 13 сентября, около здания кабмина по ул. Грушевского 12/2. Старт – в 10:00. Участников просят соблюдать все действующие ограничения: носить маски и соблюдать безопасную социальную дистанцию.
Сегодня мы поговорим о том, как выбрать лучшие курсы Power BI в Украине, особенно для…
В 2023 году во всех крупнейших регионах конкуренция за вакансию выросла на 5–12%. Не исключением…
Unicorn Hunter/Talent Manager Лина Калиш создала бесплатный трекер поиска работы в Notion, систематизирующий все этапы…
Edtech-стартап Mate academy принял решение отправить своих работников в десятидневный отпуск – с 25 декабря…
Служба безопасности Украины задержала в Киеве 46-летнего программиста, который за деньги устанавливал шпионские программы и…
IT-специалист Джордан Катлер создал и выложил на Github подборку разнообразных ресурсов, которые помогут достичь уровня…