Україна першою у світі може прирівняти електронний паспорт до паперового. Розповідаємо, чому це зручно і небезпечно

Samuil Proskuryakov
Украина первой в мире может приравнять электронный паспорт к бумажному. Рассказываем, почему это удобно и опасно

Верховна Рада ухвалила закон про електронні паспорти. Якщо його підпише президент Володимир Зеленський, тоді Україна стане першою державою світу, де електронні паспорти прирівнюються до паперових. За допомогою цифрового документа можна буде відкрити банківський рахунок онлайн, отримати посилку, підтвердити вік у супермаркеті й заселитися в готель. Журналіст Заборони Самуїл Проскуряков розібрався, чому це зручно і небезпечно.


Український парламент підтримав законопроєкт про «паспорт у смартфоні», за яким електронні паспорти матимуть таку ж юридичну силу, як паперові. «За» проголосували 302 депутати, документ чекає підпису президента Володимира Зеленського.  

«Ми — перша країна, де електронні паспорти мають таку ж юридичну силу, як їхні фізичні аналоги. Це інноваційний крок не лише для нашої країни, а і для всього світу», прокоментував новину очільник Міністерства цифрової трансформації Михайло Федоров.

Міністр пояснив, що коли законопроєкт підпише президент, можна буде використовувати цифрові паспорти нарівні з паперовими й не хвилюватися, якщо ви забули паперовий документ вдома: завжди можна використати паспорт у державному мобільному застосунку «Дія».

«Відкриття банківського рахунку онлайн, касові операції в банку, подорож поїздом або літаком всередині країни, заселення в готель, отримання посилок на пошті, підтвердження віку в супермаркеті», — перерахував Федоров можливості е-паспорта.

Водночас з електронним паспортом у смартфоні все ж не вдасться перетнути кордон України або потрапити на тимчасово окуповані території.

«Чисте божевілля»

Експерт Лабораторії цифрової безпеки Вадим Гудима пояснює Забороні: паспорт — це один із засобів ідентифікації особи. Особливість паперового паспорта чи ID-картки полягає в тому, що достовірність цього засобу гарантується державою. Держава цю гарантію забезпечує тим, що, по-перше, отримати таку ідентифікацію складно: треба фізично йти в паспортний стіл. По-друге, копії паспортів і пов’язана з ними інформація не зберігаються в одному місці. По-третє, їх складно скопіювати. І четвертий пункт — кримінальна відповідальність за підробку.

На думку експерта, в ідеї електронного паспорта послаблюються щонайменше дві гарантії: друга і третя. Якщо об’єднати всю інформацію в загальний банк даних, зловмисникам легше буде отримати її, не шукаючи в різних реєстрах чи паспортних столах [сама «Дія» не зберігає у себе паспорти чи водійські посвідчення, але підтягує дані з державних реєстрів]. Електронні паспорти легше підробити й продати, ніж їхні паперові аналоги та ID-картки.

«Отримання гарантованого державою документа не може бути простим і дешевим, — пояснив Гудима. — Ніхто у світі не знає, як: А) убезпечити електронні файли від крадіжки та копіювання; Б) гарантувати безпеку централізованих баз даних; В) гарантувати безпеку фізичних носіїв інформації, зокрема мобільних пристроїв, де все діряве».

До того ж практично ніде застосунки на смартфонах на кшталт «Дії» не використовуються як єдине джерело ідентифікації — лише як додатковий фактор, поєднаний з іншими факторами безпеки — геолокацією, поштою, паролями тощо.

«Я до кінця не розумію, як хочуть реалізувати це в нас, але ідея поки виглядає чистим божевіллям. Або ж нерозумінням, у чому різниця між реєстрацією на онлайн-форумі й державним ID», — вважає Гудима.

Про електронні документи думає й Німеччина. Але щоби захиститися від «крадіжки особистості», уряд веде переговори із виробниками телефонів, зокрема, з південнокорейським гігантом Samsung, щоби ті додали у свої пристрої спеціальний захищений чіп на зразок того, який є в біометричних паспортах та ID-картах. 

Хактивіст Українського Кіберальянсу Шон Таунсенд каже Забороні, що самі по собі смартфон і електронна пошта не здатні розв’язати проблему крадіжки персональних даних.

«Іноді краще не бути «першим», а мати рацію, — каже Шон Таунсенд. — У будь-якому випадку я б не поспішав. Нехай Німеччина спробує, а ми подивимося. Не хочеться бути морською свинкою».

Хакер також розповідає, що в Україні взагалі все погано з кібербезпекою: з держреєстрів і банків постійно «зливають» дані українців, у системі е-декларування можуть з’являтися підроблені декларації, а інтернет-шахраї знімали арешти із нерухомості в Державному реєстрі. 

«Якщо ви звертаєтеся до сайту — а «Дія», грубо кажучи, є сайтом, — то «Дія» знає вашу IP-адресу, — пояснив хактивіст. — А ще вона знає ваш паспорт. Що може піти не так? Це і є «інтернет за паспортом» та інша китайщина. І Федоров, і [Голова Держспецзв’язку Юрій] Щиголь повторюють, що «Дія» зобов’язана передавати дані правоохоронним органам. Тобто щойно це знадобиться — всі зв’язки IP, цифровий паспорт, історія переміщень, телефонні номери будуть у поліції. Кагарлик у смартфоні. Гірше, ніж у Китаї. Тому що китайці хоча б знають, що за ними стежать».

Усіма новими та зручними цифровими можливостями можна скористатися без вашого відома й куди більш приховано, ніж у випадку з традиційними документами. 

«Кожна нова технологія несе в собі й нові ризики, — говорить Шон Таунсенд. — Всі намагаються знайти прийнятне рішення, яке було б і зручним, і безпечним водночас. Українське рішення особливо небезпечне, тому що воно не тільки не знижує традиційні «паперові» ризики, але й додає нові. І про них ніхто не думає. Та божевільна ідея цифровізації, яку просуває Мінцифри, призведе тільки до цифрового рейдерства й шахрайства». 

Раніше Заборона розповідала про небезпеку «держави в смартфоні». Зокрема, ніде у відкритому доступі немає документації й технічного опису застосунку «Дія», яким опікується Мінцифри. До того ж код додатку пройшов через процедуру обфускації, тобто заплутування, що ускладнює його аналіз і розуміння алгоритму роботи. 

На сьогодні є тільки Bug Bounty програма, де люди можуть отримати винагороду за знаходження помилок і вразливостей у тому чи іншому цифровому продукті. Це зроблено на американській платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID). Втім, перевіряли там не «Дію», а лише копію застосунку. «Етичних хакерів», які шукали вразливості, Bugcrowd відбирала зі своєї бази: зареєструватися всім охочим не дозволили. На тестування програми й API відвели тиждень — вкрай мало для декомпіляції та повноцінного аналізу. До того ж тестувальникам доводилося обходити захист ssl-pinning, що також є марнуванням часу. Та й Bug Bounty, на думку фахівця з кібербезпеки Володимира Стирана, не доводить безпеку застосунку або сайту, а винагорода в один мільйон гривень за перевірку додатку, який обробляє дані громадян чи не найбільшої європейської держави, занадто низька й неприваблива. 

Заборона відправила до Міністерства цифрової трансформації запит і чекає відповіді. 

Сподобався матеріал?

Підтримай Заборону на Patreon, щоб ми могли випускати ще більше цікавих історій