Украина первой в мире может приравнять электронный паспорт к бумажному. Рассказываем, почему это удобно и опасно
Верховная Рада приняла закон об электронных паспортах. Если его подпишет президент Владимир Зеленский, то Украина станет первым в мире государством, где электронные паспорта приравниваются к бумажным. С помощью цифрового документа можно будет открыть банковский счет онлайн, получить посылку, подтвердить возраст в супермаркете и заселиться в отель. Журналист Забороны Самуил Проскуряков разобрался, почему это удобно и опасно.
Украинский парламент поддержал законопроект о «паспорте в смартфоне», согласно которому электронные паспорта будут иметь такую же юридическую силу, как бумажные. «За» проголосовали 302 депутата, документ ждет подписи президента Владимира Зеленского.
«Мы — первая страна, где электронные паспорта имеют такую же юридическую силу, как их физические аналоги. Это инновационный шаг не только для нашей страны, но и для всего мира», — прокомментировал новость руководитель Министерства цифровой трансформации Михаил Федоров.
Министр объяснил, что когда законопроект подпишет президент, можно будет использовать цифровые паспорта наравне с бумажными и не волноваться, если вы забыли бумажный документ дома: всегда можно использовать паспорт в государственном мобильном приложении «Дия».
Михаил Федоров. Фото: Министерство цифровой трансформации
«Открытие банковского счета онлайн, кассовые операции в банке, путешествие на поезде или самолете внутри страны, заселение в отель, получение посылок на почте, подтверждение возраста в супермаркете», — перечислил Федоров возможности е-паспорта.
В то же время с электронным паспортом в смартфоне все же нельзя будет пересечь границу Украины или попасть на временно оккупированные территории.
«Чистое безумие»
Эксперт Лаборатории цифровой безопасности Вадим Гудима объясняет Забороне: паспорт — это одно из средств идентификации личности. Особенность бумажного паспорта или ID-карты заключается в том, что достоверность этого средства гарантируется государством. Государство эту гарантию обеспечивает тем, что, во-первых, получить такую идентификацию сложно: надо физически идти в паспортный стол. Во-вторых, копии паспортов и связанная с ними информация не хранятся в одном месте. В-третьих, их сложно скопировать. И четвертый пункт — уголовная ответственность за подделку.
По мнению эксперта, в идее электронного паспорта ослабляются по меньшей мере две гарантии: вторая и третья. Если объединить всю информацию в общий банк данных, злоумышленникам легче будет получить ее, не ища в различных реестрах или паспортных столах [сама «Дия» не хранит у себя паспорта или водительские удостоверения, а подтягивает данные из государственных реестров]. Электронные паспорта легче подделать и продать, чем их бумажные аналоги и ID-карты.
Вадим Гудима
«Получение гарантированного государством документа не может быть простым и дешевым, — пояснил Гудима. — Никто в мире не знает, как: А) обезопасить электронные файлы от кражи и копирования; Б) гарантировать безопасность централизованных баз данных; В) гарантировать безопасность физических носителей информации, в частности мобильных устройств, где все дырявое».
К тому же практически нигде приложения вроде «Дии» на смартфонах не используются в качестве единственного источника идентификации — только как дополнительный фактор, соединенный с другими факторами безопасности — геолокацией, почтой, паролями и тому подобным.
«Я не понимаю до конца, как это хотят реализовать у нас, но пока что идея кажется чистым безумием. Или же непониманием, в чем разница между регистрацией на онлайн-форуме и государственным ID», — считает Гудима.
Об электронных документах думает и Германия. Но чтобы защититься от «кражи личности», правительство ведет переговоры с производителями телефонов, в частности, южнокорейским гигантом Samsung, чтобы те добавили в свои устройства специальный защищенный чип вроде того, который есть в биометрических паспортах и ID-картах.
Хактивист Украинского Киберальянса Шон Таунсенд говорит Забороне, что сами по себе смартфон и электронная почта не способны решить проблему кражи персональных данных.
«Иногда лучше не быть «первым», а быть правым, — говорит Шон Таунсенд. — В любом случае я бы не спешил. Пусть Германия попробует, а мы посмотрим. Не хочется быть морской свинкой».
Шон Таунсенд
Хакер также рассказывает, что в Украине вообще все плохо с кибербезопасностью: из госреестра и банков постоянно «сливают» данные украинцев, в системе е-декларирования могут появляться поддельные декларации, а интернет-мошенники снимали аресты с недвижимости в Государственном реестре.
«Если вы обращаетесь к сайту — а «Дия», грубо говоря, является сайтом, — то «Дия» знает ваш IP-адрес, — пояснил хактивист. — А еще она знает ваш паспорт. Что может пойти не так? Это и есть «интернет по паспорту» и прочая китайщина. И Федоров, и [Председатель Госспецсвязи Юрий] Щегол повторяют, что «Дия» обязана передавать данные правоохранительным органам. То есть как только это понадобится — все связи IP, цифровой паспорт, история перемещений, телефонные номера будут в полиции. Кагарлык в смартфоне. Хуже, чем в Китае. Потому что китайцы хотя бы знают, что за ними следят».
Всеми новыми и удобными цифровыми возможностями можно воспользоваться без вашего ведома и куда более скрыто, чем в случае с традиционными документами.
Министерство цифровой трансформации / Заборона
«Каждая новая технология несет в себе и новые риски, — говорит Шон Таунсенд. — Все пытаются найти приемлемое решение, которое было бы и удобным, и безопасным одновременно. Украинское решение особенно опасно, так как оно не только не снижает традиционные «бумажные» риски, но и добавляет новые. И о них никто не думает. И безумная идея цифровизации, которую продвигает Минцифры, приведет только к цифровому рейдерству и мошенничеству».
Ранее Заборона рассказывала об опасности «государства в смартфоне». В частности, нигде в открытом доступе нет документации и технического описания приложения «Дия», которым занимается Минцифры. К тому же код приложения прошел через процедуру обфускации, то есть запутывания, что затрудняет его анализ и понимание алгоритма работы.
На сегодня есть только Bug Bounty — программа, где люди могут получить вознаграждение за нахождение ошибок и уязвимостей в том или ином цифровом продукте. Это сделано на американской платформе Bugcrowd при поддержке агентства по международному развитию США (USAID). Впрочем, проверяли там не «Дию», а только копию приложения. «Этических хакеров», которые искали уязвимости, Bugcrowd отбирала из своей базы: зарегистрироваться всем желающим не разрешили. На тестирование программы и API дали неделю — крайне мало для декомпиляции и полноценного анализа. К тому же тестировщикам приходилось обходить защиту ssl-pinning, что тоже является пустой тратой времени. И Bug Bounty, по мнению специалиста по кибербезопасности Владимира Стирана, не доказывает безопасность приложения или сайта, а вознаграждение в один миллион гривен за проверку приложения, которое обрабатывает данные граждан едва ли не самого крупного европейского государства, слишком низкое и непривлекательное.
Заборона отправила в Министерство цифровой трансформации запрос и ждет ответа.
