Небезпека держави в смартфоні. Розповідаємо про вразливості державного цифрового проекту «Дія»
З лютого в Україні працює додаток «Дія», який має об’єднати всі електронні послуги держави до 2024 року. Це втілення обіцянки президента Володимира Зеленського зробити «державу в смартфоні». У «Дії» можна сплатити штрафи за порушення правил дорожнього руху чи отримати допомогу при народженні дитини. Зараз «Дія» тримається серед лідерів найпопулярніших застосунків в українських Play Market та App Store – понад два мільйони завантажень. Водночас у команді розробників на сайті немає жодного спеціаліста з кібербезпеки, а темі захисту персональних даних присвячений лише один абзац. Автор Заборони Самуїл Проскуряков розібрався, чим небезпечний головний цифровий проект країни.
Як працює «Дія» й що це таке
«Держава в смартфоні», яку під час президентських виборів обіцяв українцям Володимир Зеленський, стала реальністю взимку 2020 року. Публічно мобільний застосунок із цифровими документами «Дія» (скорочено від «Держава і я»), презентували 6 лютого. Запускати головний цифровий проект країни приїхав сам президент. Тодішній прем’єр-міністр Олексій Гончарук розповів про плани оцифрувати всі державні послуги за три роки, а 50 основних – уже у 2020.
Завантажити додаток можна безкоштовно в App Store та Play Market. Ідентифікація користувачів відбувається за допомогою технології BankID, а далі «Дія» підтягує дані з державних реєстрів. ID-картка, біометричний паспорт громадянина України для виїзду за кордон, водійські права, техпаспорт і студентський квиток – усе це завантажується через динамічний QR-код, який генерується щоразу, коли власник його показує, і діє протягом трьох хвилин.
На державному порталі «Дія» вже можна отримати майже 30 публічних послуг онлайн, зокрема, зареєструватися як фізична особа-підприємець, змінити діяльність та закрити ФОП, оформити довідку про несудимість, допомогу при народженні дитини або щомісячне відшкодування вартості послуг із догляду за дитиною до 3 років. Також можна подати позов до суду, зареєструвати авто або отримати послуги, пов’язані із документами водія, оформити низку ліцензій, дозволів чи отримати витяги з реєстрів.
Чи не щотижня розробники додають нові функції та держпослуги. Зокрема, 22 квітня стали доступними цифрові паспорти, а для підприємців запустили онлайн-платформу «Дія.Бізнес». Проектом займається Міністерство цифрової трансформації на чолі з Михайлом Федоровим. Створювати застосунок «Дія» допомагали 35 спеціалістів-волонтерів від найбільшої в Україні аутсорсингової ІТ-компанії EPAM Systems.
15 квітня Кабінет міністрів визнав електронні закордонні паспорти чи ID-картки, завантажені в додаток «Дія», такими ж повноцінними документами, як і паперові та пластикові паспорти, які вони заміняють. Але до закону, який містить перелік та вигляд документів, що підтверджують громадянство України, відповідні зміни так і не внесли. Це означає, що визнавати документи в додатку можуть тільки державні установи, а не бізнес. Тобто, такий електронний паспорт можуть не прийняти, наприклад, у супермаркеті.
Підвищена таємничість
«Оскільки застосунок працює з чутливими даними громадян, аби йому можна було довіряти, його код повинен бути відкритий. У такий спосіб його можна переглядати і вивчати, так незалежні фахівці зможуть перевірити твердження Мінцифри щодо безпеки персональних даних», – пояснює Забороні політичний хакер Українського Кіберальянсу Шон Таунсенд.
Наприклад, документація державних цифрових послуг Сингапуру доступна на одному з найбільших вебсервісів для спільної розробки програмного забезпечення GitHub, там також є українська система електронних публічних закупівель Prozorro і навіть вихідний код ядра Linux. Але ніде у відкритому доступі немає документації й технічного опису додатку «Дія».
До того ж код додатку пройшов через процедуру обфускації, тобто заплутування, що ускладнює аналіз і розуміння алгоритму роботи застосунку. За словами Шона Таунсенда, заплутування коду досить поширена практика, але у випадку з державним застосунком варто було б навпаки все опублікувати й пояснити, чому ухвалені саме такі технічні рішення. «Як можна вірити коту в мішку?» – каже він.
Заборона не знайшла інформації про незалежний аудит, а це базова умова для перевірки захисту персональних даних. Є тільки гарантії самих розробників EPAM Systems та слова Федорова, що все під контролем. «Якщо аудит був, то де публічний звіт? Де технічна документація? «Ми старалися» – це не результат, а хороша епітафія. Її пишуть на могильному камені, а не на сайті чи застосунку», – підсумовує політичний хакер.
Заборона надіслала запит до Міністерства цифрової трансформації України про документацію й технічний опис додатку, аби дізнатися, як реалізована «Дія». Міністерство не відповіло нам у визначений законом п’ятиденний термін, але ми однаково чекаємо на відповідь.
У мрії президента багато ворогів
«Україна – третя в Європі й десята країна у світі, у якій є електронні документи в смартфоні», – сказав міністр цифрової трансформації Михайло Федоров. Але це далеко від правди. Експерт ринку телекомунікацій Роман Хіміч, голова юридичного департаменту Лабораторії цифрової безпеки Віта Володовська й хактивіст Шон Таунсенд розповідають про сім підводних каменів «Дії».
Зберігати паролі та ключі в смартфоні не надійно, адже його можна легко зламати. Окрім цього, шахраї успішно викрадають SIM-карти, а опісля отримують доступ до рахунків у банку, до пошти, паспорту й даних ФОПа. Це відбувається так: абоненту телефонують багато разів, домагаються, щоби він самостійно перетелефонував. Потім замовляють в оператора послугу відновлення SIM-карти, коли для ідентифікації абонента його просять назвати кілька останніх вхідних чи вихідних номерів. Також іноді зловмисники можуть перерахувати незначні суми коштів на мобільний рахунок своєї жертви, щоби точно знати дату останнього поповнення рахунку. Це глобальна проблема. Американський Bitcoin-підприємець Майкл Терпін кілька разів втрачав заощадження, тому що в нього вкрали мобільний номер. Навіть після того, як він замовив у свого оператора VIP-статус із посиленою безпекою, у нього знову вкрали номер і зняли із рахунків криптовалюту, що коштувала на той момент 23 млн доларів.
Крадіжки через інтернет-банкінг взагалі стали буденністю. У месенджері Telegram з’явилися два боти, які шукають персональні дані українських користувачів, зокрема серію й номер паспорта, прописку та ІПН, за номером телефону за гроші. Боти, найімовірніше, беруть дані з украденої бази користувачів «ПриватБанку».
В Україні взагалі погано з кібербезпекою. У січні 2020 року стався витік персональних даних громадян, які реєструвалися на сайті career.gov.ua для проходження конкурсу на державну службу. У вільному доступі опинилися копії документів кандидатів, зокрема паспортів.
Восени 2019 року СБУ разом із кіберполіцією затримали групу «чорних реєстраторів». Вони розсилали нотаріусам електронні листи від імені державних органів. Безпосередньо у листах були віруси, у такий спосіб отримували віддалений доступ до комп’ютерів користувачів. Цей доступ шахраї використовували для того, щоби знімати арешти із нерухомості в Державному реєстрі. Група пропонувала замовникам свої послуги, зокрема через месенджер Telegram, за суму від 7 до 50 тисяч доларів. Водночас зловмисники добре орієнтувалися, як саме знімати арешти з нерухомості, адже деякі із них працювали в органах юстиції на посаді державних виконавців.
«Ми не можемо довіряти людям, які регулярно лажають і закликають не робити з цього проблеми, – зауважує Роман Хіміч. – Неможливо довіряти даним, які належно не захищені, тим більше якщо вже є прецеденти успішних атак».
Паролі, підписи, ключі ідентифікують пристрій, а не людину. Наприкінці серпня 2016 року в системі е-декларування з’явилася підроблена декларація, заповнена невідомою особою від імені члена Нацагентства з питань запобігання корупції Руслана Рябошапки про те, що він нібито отримав 25 мільйонів гривень від фіктивної компанії. Це не злам: фальшива електронна декларація була підписана справжнім електронним ключем, створеним держпідприємством «Українські спеціальні системи». Винні в підробці досі не знайшлися, а Державна служба спеціального зв’язку та захисту інформації (ДССЗЗІ) і зовсім не побачила потреби в перевірці центру сертифікації ключів ДП «УСС».
«Двері не бачать, хто вставляє ключ. Комп’ютер не бачить, хто вводить пароль. Ваш ключ – це не ви. Якщо хтось дістанеться до вашого телефону, то зможе отримати цифровий підпис на ваше ім’я в «ПриватБанку» в режимі онлайн. І використовувати його з іншого комп’ютера без вашого відома», – пояснює Шон Таунсенд.
Злиття реєстрів полегшує безконтрольний доступ до інформації. У моделі, коли вся інформація об’єднана в загальний банк даних, виникають нові ризики. Так зловмисники можуть легше отримати всю необхідну інформацію, а не шукати її в різних реєстрах. Таунсенд впевнений, що копії паспортів, цифрових підписів і баз будуть витікати як із незахищених пристроїв користувачів, так і від безвідповідальних та корумпованих чиновників.
Держава і правоохоронні органи отримують велику кількість чутливої інформації – так відкривається величезний простір для зловживань. У квітні 2019 року диверсійна група влаштувала невдалий замах на українського розвідника Кирила Буданова. Машину вистежували за допомогою комплексної системи відеоспостереження «Безпечне місто». У матеріалах суду вказано, що доступ до системи надав співробітник податкової поліції Києва. За два роки до цього бойовик так званої «Донецької народної республіки» Олег Шутов заклав вибухівку під автомобіль співробітника Головного управління розвідки Міноборони України Максима Шаповала. Полковник загинув. За інформацією СБУ, машину також вистежували за допомогою «Безпечного міста».
Державні реєстри працюють погано, а проте їх об’єднують. Сам очільник Мінцифри Михайло Федоров визнає, що технічний стан державних реєстрів жахливий. Водночас запевняє, що відомство працює над наведенням ладу.
Співрозмовник Заборони Роман Хіміч пояснює, що низька якість реєстрів є наслідком складного комплексу проблем, на які Мінцифри не має впливу. «Про проблеми з реєстрами персональних даних громадян відомо як мінімум років десять. Йдеться про наявність безлічі помилкових даних у межах окремо взятих реєстрів і, що особливо важливо, невідповідності між персональними даними громадян у різних реєстрах. Це робить складним або неможливим масу начебто тривіальних завдань на кшталт запиту даних про громадянина самими чиновниками. Тож у випадку з додатком «Дія» ми маємо саме ситуацію цифровізації безладу, наслідком чого буде вже цифровий безлад».
Досі немає закону для того, аби «Дія» легально працювала. Голова юридичного департаменту Лабораторії цифрової безпеки Віта Володовська каже, що «Дія» взагалі не передбачена жодним законом, лише постановами Кабміну. За законом, у кожного реєстру є окремий адміністратор (найчастіше Мін’юст або Міністерство внутрішніх справ). Інформація з цих реєстрів передається в систему Мінцифри й держпідприємства, яке забезпечує функціонування додатку «Дія». Звідси питання щодо законності обробки застосунком та порталом персональних даних. Додаток, наприклад, передбачає можливість передавати дані третім особам, але не деталізує, кому саме.
«Дія» на самоізоляції
7 квітня Мінцифри презентувало «Дій вдома» – застосунок, який дозволяє моніторити, як громадяни виконують режим обсервації та самоізоляції. Схожі додатки є в Китаї, Сингапурі, Ізраїлі та Польщі. Влада наголошує, що цей додаток добровільний, але в описі на Google Play Market стверджувалося, що «застосунок в обов’язковому порядку встановлюється в смартфони осіб, які можуть бути потенційними носіями вірусу COVID-19 та яких зареєстровано в медзакладах як тих, що потребують самоізоляції або обсервації». Пізніше опис змінили на більш нейтральний, «в обов’язковому порядку» зникло.
Додаток перевіряє фотографії обличчя та геолокації мобільного телефону на момент фотографування. Після встановлення «Дій вдома» у випадкові проміжки часу протягом дня користувач отримує push-повідомлення. Після цього потрібно обов’язково зробити фото свого обличчя впродовж 15 хвилин. У разі невідповідності геолокації або фотографії, відсутності зв’язку з мобільним додатком, видалення, встановлення обмежень щодо передачі інформації за допомогою мобільного додатка, до органів Національної поліції надсилається повідомлення про випадок порушення умов самоізоляції. Далі вже правоохоронці вирішуватимуть, чи треба приїхати та перевірити.
До 8 квітня користування застосунком було добровільним, опісля – стало обов’язковим для потенційно хворих, що повернулися з-за кордону. Є ризик, що цей додаток можуть згодом почати використовувати для тотального контролю.