Набирает силу скандал вокруг продажи 26 млн персональных данных украинских граждан на телеграмм-канале UA Baza Bot. В открытый доступ попали номера паспортов, данные из госреестров, пароли к соцсетям и водительские удостоверения. Многие предполагают, что утечка конфиденциальной информации могла произойти через мобильное приложение «Дия». Чиновники и создатели программы отрицают такую возможность, называя подобные заявления фейками. Они объясняют это тем, что масштабный слив личных данных произошел полгода назад из старых реестров. Однако некоторые пользователи соцсетей отмечают, что недавно внесенные личные данные также попали в общий доступ. На данный момент СБУ начало расследование по факту утечки информации. Мы решили узнать, что обо всем этом думает специалиста по кибербезопасности Константин Корсун.

Почему, по Вашему мнению, персональные данные пользователей снова оказались в сети? Откуда произошла утечка и виновато ли в этом приложение Дия?

Константин Корсун: Во-первых, о безопасности приложения Дии ничего неизвестно. Во-вторых, утечка информации произошла напрямую из реестров, от которых Дия также принимает данные. После двух дней расследования правоохранители так и не зафиксировали никаких инцидентов, связанных с приложением, но это тоже довольно сомнительные результаты. И здесь возникает другой вопрос — нужна ли вообще Дия? Насколько она нужна, чтобы ради нее создавали целое министерство и тратили большие деньги налогоплательщиков? Хотя Федоров всех убеждает, что программа разрабатывалась бесплатно, но по факту это не так. Мы же платим из своего кармана за существование ГП Дия? Почему тогда у руководителя зарплата 100 тысяч грн., а у заместителей 90 тысяч грн.? Это называется бесплатно? Например, Дия и Минцифра будут платить за подготовку сорока тысяч ИТ-специалистов, которые потом пойдут работать в частный сектор. Если минимальная стоимость двухмесячных курсов 10 тысяч грн., то за обучение сорока тысяч айтишникив государство выложит 400 миллионов грн. Это такое завуалированное бюджетное финансирование ИТ-компаний со стороны министерства? Эти аспекты указывают на то, что разработка Дии была не совсем бесплатной. Все это, а именно, какие средства тратятся на создание этой платформы, тщательно скрывают от нас.

В-третьих, пусть власть докажет, что это мобильное приложение является безопасным. Федоров без каких-либо доказательств заявляет, что все правила безопасности соблюдены. Я и другие эксперты посылали запросы всем высшим чиновникам с требованием предоставить всю информацию о безопасности приложении Дия. Но несмотря на все наши требования, госслужба так и не предоставила ни одного доказательства, которое бы подтвердил или опровергло их слова.

В Минцифры утверждают, что никакой информации на серверах приложения Дии не сохраняется, поэтому утечка в принципе невозможна. Это правда?

Константин Корсун: Скорее всего, данные украинцев действительно не хранятся на серверах Дии, но это не имеет никакого значения. Если сломать серверную часть, то можно получить в полном объеме все данные, проходящие через сервер приложения. Этот сервер имеет полный доступ к соответствующим базам демографического реестра, где хранятся все данные о гражданах Украины. Если есть доступ к серверу, то есть доступ ко всем данным, поскольку они проходят через него. И когда Федоров говорит, что даже теоретически это невозможно — он врет нам прямо в глаза. То, что приложение еще не сломали, не означает, что оно хорошо защищено, а лишь доказывает то, что у хакеров нет для этого мотивации. Хакеры сломают что угодно при наличии мотивации. Что хакеры получат, когда сломают Дию, кроме того, что уже имеется в открытом доступе? Ничего. Вместо этого они напрасно потратят кучу времени, ресурсов и денег. То, что Дию до сих пор не сломали и не вывернули наизнанку лишь свидетельствует об отсутствии желания со стороны хакеров что-то подобное сделать.

diia.jpg (327 KB)

Константин, Вы уже говорили о том, что Дия может быть и не нужна. По Вашему мнению, лучше разработать какую-то другую платформу или вообще отказаться от этой идеи?

Константин Корсун: Процесс диджитализации проходил и до Федорова, и до Зеленского, и до Дии. И на это выделялись определенные средства ЕС и США, а также международных организаций. В частности, на них были созданы центры предоставления административных услуг. То есть диджитализация двигалась эволюционным путем, а с приходом к власти Зеленских и Федоровых ее развитие перешло в скачкообразную форму. Они пытаются ее ускорить и наскоро штампуют различные цифровые проекты. Я не считаю это естественным путем развития, поскольку постоянно игнорируется проблема безопасности. Я всячески поддерживаю развитие цифровых технологий при условии, что разработчики будут придерживаться всех надлежащих правил безопасности, поскольку это ключевая вещь в такого рода вопросах. Подобные приложения должны действительно помогать и значительно облегчать жизнь людям, но из-за несоблюдения норм безопасности успех может превратиться в крупное поражение. Как результат — люди просто отвернутся от цифровых технологий, которые не оправдали их ожиданий. А это, в свою очередь, отбросит прогресс на несколько шагов назад. Поэтому, я считаю, что это больше похоже на подрывную деятельность и дискредитацию цифровых технологий. Чтобы создать надежную и безопасную программу следовало бы пойти более сложным и длинным путем.

Я не эксперт в вопросах создания мобильных приложений, поэтому я не могу вам точно сказать, как будет лучше — создать новую программу или усовершенствовать существующую.

Несмотря на то, что эта утечка данных не была вызван Дией, все внимание общества снова приковано к ней. Рано или поздно с платформой произошли бы те же проблемы — ее бы или сломали, или произошла бы утечка информации.

Мы знаем о том, как работники правоохранительных органов продавали закрытые базы данных за бесценок. Так, утечка информации из реестра МВД привела к гибели украинских контрразведчиков Шаповала и Хараберюша. Также мы все прекрасно помним о том, что в свое время на Петровке можно было приобрести любые базы данных на компакт-дисках. То есть этот бизнес существует и процветает уже давно. Если в Украине невозможно защитить закрытые данные в любом виде, то как после произошедшего можно вообще доверять чиновникам?

Константин Корсун: В Украине существует около 300 государственных реестров, если не больше. У большинства из них огромные проблемы с безопасностью или ее вообще нет. Некоторые из них мы можем видеть онлайн, а некоторые из них вообще никогда не видели. Но огромные проблемы с безопасностью остаются как в открытых базах данных, так и закрытых. Есть обычные работники этих реестров, есть системные администраторы, есть руководство, есть министерства и ведомства, которые ими заведуют. Там везде есть коррупция и в них можно купить оптом и в розницу все что угодно. Это огромный клубок проблем. Каждый отдельный реестр — это отдельная проблема, потому что они все разные и сделаны по различным технологиям. Нельзя одну проблему решить и масштабировать ее на другие. У одних реестр может быть в виде Excel таблички, а у других — базы Oracle. Когда «зеленая» команда пришла и начала с этим разбираться, то они поняли, что это проблема на десятилетия. А поскольку у них времени для этого нет, они в привычной им манере все проигнорировали. И решили оставить все как есть (хаос в реестрах, коррупцию, продажу баз данных), то есть без каких-либо изменений. Более того, они создали специальное мобильное приложение для пользователей, соединяющее данные этих реестров.

Власть постоянно сотрудничает с ИТ-компаниями, которые разрабатывают софтверные продукты. В ЕРАМ есть много достаточно профессиональных киберспециалистов, но насколько было учтено их мнение — мы не знаем. Для этого необходимо увидеть отчет о тестировании и что именно там написала команда по кибербезопасности. Я думаю, что если они и обнаружили какие-то проблемы, то они об этом написали в отчете. Учла ли компания эти уязвимости? Опять, же – мы не знаем. Тем более, что, по их словам, им за это приложение ничего не заплатили.

После презентации платформы многие украинцы столкнулось с рядом проблем: программное обеспечение не поддерживало старые версии Android и не устанавливалось на смартфоны с root-правами. То есть пользователям предложили абсолютно «сырое» и недоработанное приложение. По вашему мнению, почему перед презентацией программу толком не протестовали и не устранили все эти ошибки?

Константин Корсун: Это традиционная практика для ИТ-компаний, потому что есть определенные стадии разработки ПО, предусматривающие тестирование. Но какое ЕРАМ разрабатывало Дию нам до сих пор неизвестно. Соблюдали ли они весь стандартный цикл разработки? Или все же пренебрегли какими-то этапами? Даже под большим давлением общества, никто ничего не говорит, то есть применяется закон омерты (круговая порука, молчание). Но я понимаю почему они ничего не рассказывают. Потому что если рассказать правду, то все ужаснутся. Крайне редко бывает, что первый релиз более или менее стартует удачно, поскольку всегда возникают какие-то проблемы. Само приложение кроссплатформенное и должно функционировать как на iOS, так и на Android.

Для того, чтобы разобраться в том, почему возникают проблемы, нужно посмотреть исходный код. Минцифра его прячет как страшную тайну и никому не показывает. Уже сейчас три миллиона человек скачали это приложение, а в перспективе должно быть 20-25. В таких стратегических проектах исходный код должен быть обязательно доступен. Для того, чтобы граждане могли убедиться в том, что приложение выполняет только те функции, которые заявлены и у него нет скрытого доступа к микрофону, оно не читает наши сообщения и оно не включает камеру. А это вполне возможно с технической точки зрения. Таким образом может осуществляться массовое наблюдение. Конечно, это только мое предположение, но пусть разработчики и Минцифра докажут обратное.

84169350_2558431921147763_1536955820695093248_n_01.jpg (144 KB)

У Дии до сих пор нет аттестата соответствия комплексной системы защиты информации (КСЗИ). Нужна ли вообще лицензия на мобильные приложения? Или подобный подход к лицензированию является пережитком прошлого?

Константин Корсун: Есть у нас такой закон о лицензировании определенных видов хозяйственной деятельности. В 90-х там еще было предусмотрено лицензирование технической защиты информации. Но поскольку для этого никаких оснований нет, то лицензируются только отдельные виды деятельности в сфере криптографической защиты информации (гостайны). Поэтому в Украине ввоз и вывоз оборудования в сфере технической и криптографической защиты в большинстве своем не подлежит лицензированию вообще. Здесь действительно не требуются лицензии и это правильно. Сертификация оборудования — это широкое поле для злоупотреблений.

Требования по КСЗИ существуют, хотя они давно устаревшие и минимально строгие в отношении безопасности информационных систем. Распространяются они на государственные информационные ресурсы и без аттестата соответствия КСЗИ их нельзя запускать вообще. Что касается других сетей, то в свое время одна статья закона об информационных системах вызвала большие споры между бизнесом и чиновниками. Именно пункт об обработке информации с ограниченным доступом чиновники использовали в своих корыстных целях, требуя от предпринимателей лицензировать свое оборудование.

Ели все государственные реестры могут и имеют хоть какой-то аттестат соответствия, то приложение Дия — нет. Хотя, по моей информации, они начали что-то делать в этом направлении. Сейчас найдут какою-то фирму-лицензиата, которая все быстро подпишет и согласует. Тем более, что Госспецсвязь, которая утверждает эти аттестаты соответствия, в прямом подчинении г-на Федорова.

Перед запуском какого-либо проекта власть должна убедиться в том, что тендер был проведен честно, а компания-победитель отвечает всем необходимым критериям. Сама же программа должна обязательно пройти все стадии проверки на безопасность. В конце концов, граждане доверяют свои персональные данные государству и надеются на то, что оно их защитит. Ведь так все и должно быть, правда?

Константин Корсун: Заниматься всеми государственными информационными ресурсами должно Госспецсвязь, которая когда-то взяло оборонные функции под свой контроль. Однако согласно закону, ответственность за безопасность информационного ресурса несет его собственник и распорядитель. То есть это должны делать государственные учреждения (министерства, службы), которые размещают у себя эти базы данных. Госспецсвязь ни за что не несет ответственность. По всей Украине государственных информационных систем в целом насчитывается более 100 тысяч. И государственная служба может только давать предписания, выявлять, контролировать, влиять и писать предупредительные письма. Есть там несколько не слишком квалифицированных специалистов, которые проводят оценку защищенности реестров. Даже если увеличить количество специалистов в этой сфере, они все равно не смогут охватить все сети, нуждающиеся в помощи.

Госспецсвязь часто проверяла крупные госпредприятия с большим финансовым капиталом. И очень часто там действительно все было плохо с безопасностью сетей или порталов. После чего они начинали договариваться и через подставных фирм-лицензиатов отмывали с помощью откатов немалые деньги.

Сейчас там замкнутый круг и управлять сферой киберзащиты хотят одновременно Госспецсвязь, СНБО, Минцифра и даже СБУ. Все хотят управлять и хотят, чтобы на них замыкались денежные потоки.

Мы уже писали о том, что Дия разрабатывалась белорусской компанией EPAM Systems, которая является якобы американской. По Вашему мнению, как так получилось, что белорусской компании позволили разрабатывать приложение, которое имеет доступ почти ко всем важным базам данных?

Константин Корсун: Я очень хорошо ориентируюсь на рынке кибербезопасности, а не в целом в ИТ-сфере. Поэтому могу прокомментировать этот вопрос не на экспертном уровне, а исходя из своего опыта. У нас очень много собственных ИТ-компаний, которых в нашей среде называют «галерами». ЕРАМ входит в десятку лучших компаний. Я знаю некоторых людей, которые там работают — они настоящие профессионалы своего дела. К ним никаких вопросов нет.

Обычный цикл разработки софта предусматривает обязательное привлечение команды по кибербезопасности. Вопрос только в том, когда именно — в начале процесса (при планировании архитектуры) или в конце (когда создан готовый продукт и на него пытаются «навесить» безопасность). При разработке информационных платформ с самого начала необходимо прописывать соответствующие безопасное кодирование. Но проблема в том, что большинство программистов (90%) не знают, что это такое. Чем меньше по размеру программный код, тем лучше для программы. Обязательным этапом является тестирование портала на безопасность. Это стандартная практика и она почти никогда не нарушается ни в одной из «галер». В самом конце производства программы приходит команда по кибербезопасности и проверяет ее на уязвимости. После обнаружения ошибок, они пишут соответствующий отчет, который отдают разработчикам. Последние исправляют найденные уязвимости и «выкатывают» новую версию приложения, которую тоже тестируют. Чем больше тестов, тем лучше для программы. Я не сомневаюсь в том, что ЕРАМ точно проводило одно тестирование.

Как вы относитесь к тому, что ЕРАМ имеет российский капитал?

Константин Корсун: Каждая «галера» имеет хоть одного российского инвестора. Это же интернациональный бизнес. Российский рынок очень большой и практически каждая «галера» сотрудничает с ним уже не первой год. В Украине на ИТ-рынке огромная конкуренция. И если откажешь российскому инвестору только потому, что он российский, он пойдет к твоему конкуренту и отдаст деньги ему. Если «галере» нужны инвестиции, они не будут особо думать -русские они или нет. Если тебе необходимо выжить в конкурентной среде, надо выживать. Почти каждая ИТ-компания так или иначе имеет одного российского или полуроссийского инвестора (учредителя, инвестора, владельца). Для того, чтобы во время тендеров не «светились» российские граждане, в основном используются оффшорные компании, зарегистрированные на Кипре, Сингапуре, острове Мэн и Каймановых островах.

Я не слышала, чтобы проводился тендер на разработку Дии. Он вообще был?

Константин Корсун: Ничего не проводилось. Спросите это у господина Федорова. Формально на разработку приложения средства не выделялись. Если нет средств, то не надо проводить тендер. Не надо выбирать исполнителя и можно обойтись без ProZorro. Это такое ноу-хау, которое придумал Федоров или кто-то из его команды. С самого начала под это не планировалось выделять средства. И потом начинаются «движуха». Ведь, как мы знаем, бесплатный сыр бывает только в мышеловке. На самом деле, это очень хитрая и дальновидная схема, рассчитанная на определенную категорию людей, которые ничего в этом не понимают. Однако они всем рассказывают, что это было сделано бесплатно и на волонтерских началах.