Юрист прокоментував витік особистих даних українців і оцінив безпеку додатка "Дія"

Цифровий додаток "Дія" - за, проти, підводні камені. Експерт розповів, у чому потенційна небезпека його використання, і чи можуть інші особи купити ваші персональні дані.

За словами Міністерства цифрової інфраструктури, Державний портал "Дія" до 2024 року надасть понад 50 онлайн-послуг. З його допомогою можна буде оформити довідку про несудимість, зареєструватися як ФОП, закрити ПП, оформити допомогу при народженні дитини, подати позов до суду, зареєструвати машину і отримати можливість оформити водійські права, ліцензію, дозвіл, отримати виписки з реєстрів або оплатити штраф за порушення ПДР і т.д. Додатком вже користується 2,5 мільйона українців, і "Дія" стала лідером з завантаження з Play Market і App Store. Однак експерти запевняють, портал не має надійної кібербезпеки. Адвокат компанії Barristers Вадим Колокольников розповів кореспонденту ASPI news, чим небезпечний головний державний цифровий проєкт країни.

"Додаток надає можливість отримати на екран смартфона електронні версії документів, зауважте, дані не третіх осіб, а саме ваші особисті. "Дія" працює шляхом завантаження з Play Market (пара хвилин) і авторизації (ще менше часу). Додаток у режимі онлайн отримує доступ до відповідного реєстру, бази даних і до необхідних документів. Це може бути як цифровий паспорт (у тому числі закордонний), цифрове посвідчення водія, свідоцтво про реєстрацію транспортного засобу, страховка і т.д. Зручно? Так. Сучасно? Так. Цікаво? Так. Потенційно небезпечно? Так.

Простота додатку в тому, що воно, по суті, не є ні базою даних, ні реєстром. Портал є своєрідним шлюзом, "дверима" до джерела інформації, що дозволяє користувачеві отримати доступ до певного переліку державних реєстрів та завантажити з них інформацію.

Чому він не є принципово революційним? Тому що практично всі міністерства (МВС, МЗС і т.д.) і їхні структурні підрозділи зараз мають свої бази з персональними даними громадян, з мільярдами записів. Навіть приватні організації (банки, монополісти у сфері ЖКГ, служби доставки, туроператори, соціальні мережі, оператори мобільного зв'язку і т.д.) мають аналогічні бази даних з куди більшими обсягами інформації.

Чи були подібні "витоки" даних і можливість купити необхідну інформацію до введення в користування додатку "Дія"? Так були, це не є секретом. Практично всі копіювалося оптом і в роздріб, відповідно до настроїв ринку і потреб покупців. Тому Міністерство цифрової трансформації України насправді зробило те, що давно напрошувалося, але ніхто не наважувався здійснити - створило один додаток, який мав би доступ до певних реєстрів. З точки зору здорового глузду - це, як мінімум, зручно, сучасно і значно зменшує тимчасові витрати.

У той же час, вимоги до захисту інформації в такому додатку є надвисокими. Днями в месенджері Telegram з'явився бот UA Baza, який показував персональні дані багатьох громадян України, нібито отримані за допомогою програми "Дія".


Чи справді це так? А чому б і ні? Наприклад, ще в лютому 2020 року Міністерство цифрової трансформації повідомило про "запуск власної ІТ-компанії" DIIA Company, є навіть промо-сайт. Однак Єдиний державний реєстр юридичних осіб-підприємств з такою назвою не знає. Тому у розсудливої ​​людини виникає низка питань: хто є розробником програми? Чому невідомі прізвища відповідальних осіб? Є інформація про заходи безпеки, які використовуються в додатку? Ні. Є інформація про організації, які проводили тестування додатка, і які результати тестування? Ні. Це нормальна практика? Ні.

"Моя поліція мене захистить"

Звичайно, Національна поліція України, разом з СБ України, вже здійснюють досудове розслідування і шукають "витоки" інформації. Зараз результатів ще прогнозовано немає. Однак у мене є обґрунтовані сумніви в можливості зазначених правоохоронних органів знайти істину в цій справі, і мій скепсис заснований хоча б на історії з недавніми обшуками в ГО "Український кіберальянс". Що тут можна зробити? Спробувати відповісти для себе на питання, сказані вище. Не використовувати сумнівне програмне забезпечення. Дотримуватися інформаційної гігієни. І підсумовуючи викладене, висловлюю надію, що я помиляюся, але це не точно... "

Як повідомляло ASPI news, юристи вказали на суттєві недоліки в додатку "Дія". Нагадаємо, що Міністерство цифрової трансформації спростувало звинувачення, ніби за допомогою "Дія" в мережу злили базу даних водійських посвідчень.