Державну "Дію" звинуватили у витоку даних мільйонів українців [ Редагувати ]
От яких скандалів у нас уже давно не було, так це - діджитал-скандалів. Але цього тижня ми, як країна, виконали норму напевно до кінця року. Державну "Дію" звинуватили у витоку даних мільйонів українців. Усе - паспортні дані, фото, відомості про майно та роботу опинилось у відкритому доступі.
Чому так сталося? Та як запобігти цьому в майбутньому? Ірина Баглай розбиралася.
Знаєте, така ідея, чим поскоріше все би закончилося.
На самоізоляцію втретє. Житель Тячева Юрій повертається зі Словаччини. Анкет уже не заповнює - на смартфон завантажує застосунок "Дій" вдома.
Юрій Цьока, житель м.Тячів:
Є той додаточок, якщо хтось порушив карантин, якщо я даже десь поїду, не буду дома по тій програмі, так я поняв вони мене побачать.
При поверненні з-за кордону у кожного є вибір: обсервація у державному санаторії чи готелі на 14 діб або ж самоізоляція під контролем удома.
Додаток Дій вдома такий собі віртуальний електронний браслет, на стеження через який ви добровільно погоджуєтесь. Там все просто. Встановив після перетину кордону. Зробив еталонне фото - селфі. Розробники радять зробити його якісним. Не ставати проти сонця. Відправив. Далі програма пропонує зафіксувати геолокацію. І тут не поспішайте. Спочатку доїдьте додому. Бо яке перше місце відзначите - те й подасте, як місце вашого перебування на наступні 2 тижні. Ну як бонус у цьому додатку - екстренне звернення до медиків.
На сьогодні домашній затишок під наглядом обрали більш як 35 тисяч людей. І дали "Дії" оцінку - застосунок працює на трієчку.
Основні претензії - не чутно звуку смс для перевірки, програма не розпізнає обличчя, а то й узагалі доводиться тиснути по кілька десятків разів, аби надіслати фото. Ну і не верифікує місцерозташування.
Михайло Федоров, міністр цифрових трансформацій:
Люди не люблять коли їх контролюють і коли їм кажуть що робити це нормальна реакція.
15 хвилин на підтвердження - "я вдома". Якщо програма його не зафіксує - вами зацікавиться поліція. За добу оператори "102" приймають тисячі дзвінків. І частина з них від "Дії вдома". За два тижні поліція лише на Прикарпатті перевірила більше тисячі повідомлень.
Моя робота полягає щоб оперативно направити наряд поліції. По карті ми дивимось, який наряд знаходиться найближче до місця події та направляємо для ефективного реагування.
Доброго дня. Як ви себе почуваєте? Не порушуєте умови самоізоляції.
"Дій вдома" добряче додала роботи копам. Бо більшість повідомлень із цієї тисячі виявилися хибними.
Андрій Веляник, начальник управління превентивної діяльності ГУ НПУ в Івано-Франківській області:
Бувають різні причини, більшість в сільській місцевості особи мають роботу не завжди хтось бере із собою мобільний телефон. Десь там порається по господарству, повідомлення від мобільного додатку надійшло, але він забув своєчасно відреагувати.
Якщо факт порушення самоізоляції не підтвердився, вас не мають права покарати. Ну і зрештою, якщо вас дратує застосунок - ви завжди маєте право від нього відмовитись, кажуть юристи. Але маєте розуміти: відмова від "Дії" не означає відмови від обсервації.
Михайло Ілляшев, адвокат, керуючий партнер "Ілляшев та Партнери":
І ви ж розумієте примусити фізично неможливо це є таким психологічним тиском, коли людину вмовляють, що це треба для її ж блага. В будь-який момент вона може відмовитися від цієї згоди відкликати її.
Фото, геолокація та інформація, що ви у групі ризику. Де ж зберігається вся ця персональна інформація? І хто має до неї доступ?
Єгор Аушев, експерт з кібербезпеки:
Это самая важная информация в интернете - это наша с вами персональные данные.
Початок лютого, так доволі помпезно роблять перший крок на шляху до діджиталізації. І переводять реальне життя у смартфон.
Володимир Зеленський, президент України:
Наша задача зробити так, щоб усі відносини з державою людина могла здійснювати за допомогою смартфона.
Діджиталізація, відмова від паперової бюрократії, вибір без черг - усе це приваблює зручністю та прогресом. Але...
Єгор Аушев, експерт з кібербезпеки:
Кибербезопасность, киберзащита не менее важны, чем функционал этих приложений. Весь мир уходит в онлайн так давайте правильно туда идти.
"Дію" хакнули, "Дія" і "Дій Удома" - джерело витоку персональної інформації. Перший гучний скандал навколо новацій міністерства цифрових технологій розгорівся цього тижня. Коли дані 26 мільйонів українців - паспортні дані, водійські посвідчення і навіть адреси - злили в загальний доступ. А саме в телеграм-боти.
Перші три запити про людину безкоштовні, а далі - більш розширена інформація вже за тарифом. По максимуму про майно, номер банківської картки, телефон, прописку та решту даних можна дізнатися за 200 доларів. Розробники "Дії" не забарились із відповіддю. Кажуть - їхній застосунок до зливу стосунку немає.
Михайло Федоров, міністр цифрових трансформацій:
У дії немає власної бази дія просто транслює що є в реєстрі, ми створювали дію з такою архітектурою спеціально, щоб неможливо було зламати ми на кожному етапі не володіємо персональними даними.
Єгор Аушев, експерт із кібербезпеки:
Для того, чтобы сказать возможно это или не возможно нужно провести проверку и я даже готов бы устроить пари с министром, что там уязвимости есть.
Однак і в міністерстві, і в середовищі "білих хакерів" єдині в думці - найчастіше подібні зливи інформації - це банальна жадібність держслужбовців. Які мають низьку заробітну плату і доступ до реєстрів.
Михайло Федоров, міністр цифрових трансформацій:
Такі злиття баз 10 років вже відбуваються, за два роки 500 кримінальних проваджень. Сьогодні запропонував всіх тримачів баз реєстрів перевірити на детекторі.
Джерелом чи не найбільшої бази хакерів стали бази Приватбанку, Нової пошти та низки державних установ, зокрема МВС. Збиралося все це не один рік, а зараз все оновили ще й даними біометричних паспортів. Хакерами і заробітчанами на інформації зацікавились СБУ та ДБР.
Єгор Аушев, експерт із кібербезпеки:
Нету показательных кейсов наказательных, вот чтобы взяли нашли наказали, нужно найти виноватого наказать, следующий, кто будет заводить подобные группы, будет думать какие же его ожидают наказания.
І справді, тільки заблокували перший бот, як з'явилися кілька нових клонів. Аби спростити пошук злочинців, каже Єгор Аушев, потрібно призначити відповідального за кібербезпеку в кожній організації, яка володіє базами персональних даних. Ну і пам'ятати про персональну кібер-гігієну. Бо кожен із нас часто безтурботно дає доступ чужинцям до свого привату.