Чем рискуют украинцы, которые решат воспользоваться последним достижением "государства в смартфоне" — ID-картой в смартфоне, Фокус спросил у экспертов по кибербезопасности.
На днях Верховная Рада приняла законопроект №4355: документ, согласно которому цифровой паспорт гражданина Украины и цифровой паспорт для выезда за границу в приложении "Дія" будут иметь такую же юридическую силу, как их физические аналоги.
Закон должен еще подписать президент. И, скорее всего, он его подпишет, потому что одним из пунктов Владимира Зеленского программы является диджитализация государства, к которой он идет бодрыми шагами. Однако эксперты по кибербезопасности уже раскритиковали е-паспорта, указав на целый ряд недостатков и уязвимостей как самих носителей, так и приложения "Дія". Еще больше их смутил (и возмутил) чисто политический аспект дела: ведь получается так, что все персональные данные будет контролировать государство, в то время как граждане никак не смогут на это влиять.
Фокус выяснял, чем конкретно рискуют украинцы, которые собираются пользоваться диджитал-паспортами.
Непотопляемая "Дія"
По словам руководителя по развитию электронных услуг в Минцифре Мстислава Баника, подделать е-паспорта невозможно.
Во-первых, потому что нельзя подделать приложение "Дія". Чиновник акцентировал, что приложение "Дія" можно скачать только с App Store или Play Market. Если вы видите его в других магазинах приложений — значит, это фейк.
Во-вторых, по словам Баника, в настоящую "Дію" все данные подтягиваются из реестров Государственной миграционной службы Украины (ГМС). Если приложение фейковое, данные из реестров в нем отображаться не будут.
"Электронный паспорт не является ни скриншотом, ни копией физического паспорта. Это информация, которая отображается из реестра. Если кликнуть по eID, он "перевернется" и на его "обратной стороне" вы увидите QR-код. При проверке документа по этому QR-коду обращение идет в реестр, а затем человек, запросивший ваши данные, получает уведомление на свою "Дію". После этого в "Дії" на его смартфоне откроется проверенный документ. Если данные запрашивала компания, то они появятся в ее системе", — пояснил чиновник принцип работы eID.
Однако Андрей Баранович, сооснователь ОО "Украинский Кибер Альянс" утверждает, что во время взаимодействия пользователей с приложением "Дія" секретную сессию можно украсть и использовать на другом телефоне, точно так же, как это можно сделать с Facebook или Telegram.
"Только Telegram — это не ваш паспорт, с его помощью не откроешь счет в банке и не зачекинишься в аэропорту, — говорит эксперт. — Да и обычный телефон не подходит для хранения столь важных персональных данных. Вот, к примеру, Германия договаривается с компанией Samsung об интеграции специальных чипов во флагманские смартфоны, которые достаточно защищены для того, чтобы хранить там паспорта".
Это действительно так. Правительство Германии только в прошлом году частично внедрило eID при содействии компании Samsung. Да, граждане этой страны тоже получили цифровые копии паспортов в смартфоне, однако они хранятся не в приложении, а на специально интегрированном в смартфоны чипе.
Государство гарантировало гражданам высокую степень защиты чипа и отметило, что новая разработка полностью соответствует регламенту ЕС eIDAS. Этот регламент устанавливает единый стандарт, которому должно соответствовать аппаратное и программное обеспечение для генерации цифровых подписей. Все токены проходят обязательную сертификацию. Для физических лиц, в данном случае, токенами являются электронный паспорт или смартфон, а для организаций — смарт-карты, USB-токены, другие устройства.
Первыми телефонами, получившими дополнительные чипы, стали модели линейки Samsung Galaxy S20.
Документ документу — рознь
Мстислав Баник в комментарии Фокусу отметил, что бумажный паспорт или ID-карта — это всего лишь бланки, на которых записаны данные о личности гражданина.
"Что касается бумажного паспорта или ID-карты, то, технически, при создании таких документов создается запись в реестре. По сути, пластиковый документ, или бумажный, является бланком, на котором есть информация из реестра паспортов", — прокомментировал чиновник.
Андрей Баранович и вовсе не считает еID документом. По его мнению, документ должен существовать отдельно от реестров и являться уникальным предметом, который тяжело подделать, и за подделку которого предусмотрено наказание.
"Дія" — это "китайская модель", в которой все данные о гражданах принадлежат государству. Но в Китае вы можете записать номер паспорта на салфетке и предъявить его в таком виде, и это — ответственность государства проверить, говорите ли вы правду, или нет. Украина выбрала промежуточный путь, когда на салфетках мы будем писать договора", — иронизирует Баранович.
Кому принадлежат наши данные?
Следуя логике чиновника Баника, подлинниками стоит считать не паспорта-книжки, не пластиковые ID-карты, а записи, хранящиеся в реестре, за безопасность и корректную работу которого отвечает ГМС Украины. Когда Фокус спросил, как защищены реестры, в Минцифры ответили: "Это вопрос к ГМС". Написав шесть запросов к ГМС, мы пока не получили ответа — все наши письма перенаправлялись на другие адреса или отклонялись ввиду того, что ящики адресатов переполнены.
Как бы там ни было, в отличие от Германии, у нас никаких дополнительных чипов не предвидится. Просто обычный смартфон, приложение "Дія" и государственные серверы, на которых хранятся реестры. Кстати, немецкое правительство, собираясь установить дополнительные чипы на смартфоны, сообщило гражданам, что информация, на них размещенная, будет храниться локально. Это значит, что каждый гражданин, пользующийся таким смартфоном, получит полный контроль над своими данными. У нас же все данные оказались в руках государства.
Эксперт по кибербезопасности Баранович подтверждает наши опасения, говоря о том, что реестры нужны лишь для того, чтобы доказать подлинность документа или опровергнуть это. Но быть источником информации реестр не должен.
"Иначе нас ждет "авторитаризм на минималках", когда без чиха чиновника вы не сможете купить билет на поезд. Вы — гражданин Украины, но не потому что так написано в реестре. Реестр — вспомогательное средство для проверки информации, не более. И чиновники — основная угроза, именно они крадут и подделывают данные в реестрах", — комментирует эксперт.
Беззащитные телефоны
Приложение "Дія", как заявляют разработчики и заказчик, Минцифры, соответствуют украинским стандартам кибербезопасности. Если бы уровень доверия к правительству у нас был бы высоким, может, и украинские стандарты тоже считались бы таковыми. Однако они были разработаны в середине 1990-х и модернизированы на заре 2000-х. В то время как немецкая система, применяемая для защиты чипов, соответствует стандартам регламента ЕС eIDAS, действующего с 2016 года и уязвимости которого в последний раз были обнаружены и исправлены в 2019 году.
Но есть и еще одна проблема — безопасность самих устройств. Украинское государство, в отличие от немецкого, ваши смартфоны обезопасить и не собирается.
Вадим Гудыма, специалист и тренер по цифровой безопасности в ОО "Лаборатория цифровой безопасности", считает, что именно физический документ должен занимать главенствующее положение, а приравнивать его к цифровому документу и помещать этот е-документ в обычный телефон не стоит.
"Мобильные телефоны, кроме дюжины самых дорогих и самых последних Android-моделей и iPhone, большинство которых в Украине легально даже не продаются, имеют десятки уязвимостей, которые злоумышленники массово не используют только потому что, обычно, оно того не стоит. Но теперь повод есть, и в результате простые граждане могут столкнуться с такой проблемой, как незаконное оформление кредитов или кража документов на какую-либо собственность через уязвимости в мобильном устройстве с "электронным паспортом", — рассуждает эксперт.
Опыт Эстонии и Швеции
Минцифры постоянно приводит в пример опыт Эстонии, которая начала выдавать своим гражданам ID-карты с 2002 года, а уже через пять лет провела первое в мире онлайн-голосование. Но Украина не собирается пасти задних. Как известно, мы тоже стали первыми в мире — в плане цифровизации внутренних паспортов, приравняв их к физическим документам. Отлично. Однако возникает вопрос: почему Эстония, е-государство которой считается лучшим из лучших, до сих пор этого не сделала? Ответ очевиден: все дело в безопасности.
В Эстонии для того, чтобы подключиться к любому порталу госуслуг или принять участие в онлайн-голосовании, необходимо использовать личную идентификационную смарт-карту, цифровую подпись и отдельное устройство — кард-ридер (такой есть у каждого гражданина, имеющего ID-карту). В итоге каждый гражданин получает тройную степень защиты собственных данных. В Украине, как мы писали выше, обеспечение кибербезопасности — проблема исключительно пользователей.
А вот в такой продвинутой стране как Швеция, ID-картой и пользуются крайне редко, разве что, если вам нужно открыть счет в банке или если чиновник/полицейский потребует ее предъявить. И там тоже предусмотрено наличие спецоборудования, а сама ID — считается подлинником, но не запись о вас в реестре.
"В редких случаях персонификация проводится без помощи высоких технологий, а просто предъявляется ID-карта или "драйв-лиценз" (права на управление авто). Однако в процессе такого "классического" акта подтверждения личности ключевым атрибутом легитимизации является сама карта (с элементами защиты, сроком действия, информацией о владельце, включая биометрику в чипе). Карта в принципе не подразумевает копирования или "делегирования" своих свойств", — поделился своим иностранным опытом Сергей Позний, основатель и CEO inAspect, эксперт по вопросам кибербезопасности.
Если вы решите открыть счет в банке, то после оформления заявки, будет изготовлена "Bank-ID", а специальное оборудование для ее использования придет по почте. Также на ваш девайс установят официальное мобильное приложение. BankID является универсальным средством авторизации и легитимизации на всех государственных онлайн-сервисах, финансово-банковских сервисах и подавляющем большинстве прочих коммерческих сервисов.
В случае, если возникает необходимость подтвердить личность в обычном порядке, например, по просьбе полиции, достаточно назвать свой "першун-нумер" — аналог украинского "налогового номера". Он состоит из 10 цифр, 6 из которых — дата рождения, а оставшиеся 4 можно просто запомнить.
"Получив "першун-нумер", полицейский найдет ваш персональный профиль в реестре шведских налогоплательщиков, который де-факто является реестром населения Швеции (включая детей). Соответственно, представители служб (клерки банков, сервис- и торговые работники) видят фотографию, имя, рост, статус и пр. необходимую (доступную) им информацию о вас, необходимую для визуального подтверждения личности, авторизации и т.д.", — рассказал Сергей.
Не стоило спешить
Пользоваться ли е-паспортом — решать вам, но эксперты по кибербезопасности рекомендуют применять пластиковую ID-карту или паспорт-книжку. Для пущей надежности. А Министерству цифровой трансформации Украины они советуют больше внимания уделять обеспечению кибербезопасности и пересмотру приоритетов.
"Фактически в Минцифре целый год занимались не тем — вместо продвижения еID нужно было поставить в приоритет разработку надежной системы идентификации пользователей через смартфон для доступа к сайту электронных услуг (на основе той же ID-карты), а также внедрить квалификационную электронную подпись (КЭП) для подписи электронных документов. Но разработка этих двух важных блоков еще не завершена", — резюмировал Сергей Антоненко, CEO и основатель Science Research Center for Legal Informatics.