Какие угрозы влечет объявленная властью диджитализация страны
Если предложения «просто прекратить стрелять» и «начать договариваться посередине» с Россией привели к многотысячным митингам «Нет, капитуляции», то попытки правительства исправить советскую систему управления с ее длинными очередями по талонам на получение справок многие воспринимают с энтузиазмом.
Никому, даже чиновникам, не хочется пользоваться печатными машинками, стационарными проводными телефонами, пыльными бумагами и другими архаичными атрибутами предыдущего технологического уклада. Но современные технологии приносят как удобство, так и новые риски, пишет Шон Таунсенд в статье “Цифрова недовіра” в издании “Тиждень”. Удобно не только вести бизнес, но и воровать деньги. Просто не только подавать отчетность, но и шпионить, в частности за собственными гражданами. Успешность модернизации определяется не «цифровыми подписями» и модными слоганами, такими как «государство в смартфоне», а доверием граждан к государственным институтам.
Фото: УНІАН
Доверие, как хорошо заметил эксперт телекоммуникационного рынка Роман Химич, можно представить как дробь, где в знаменателе – все неоднократные обещания, немало проектов и заявлений чиновников, а в числителе – те редкие ситуации, когда они оправдались. В украинском обществе это число, или, как сегодня модно говорить, «ключевой показатель эффективности» (kpi), падает до нуля. Призывы еще раз объединиться, затянуть ремни и поработать для общего блага в итоге еще больше отчуждают людей и власть.
Еще в августе министры Федоров и Дубилет насчитали 341 государственный реестр и обещали за три месяца провести их аудит для оптимизации и объединения. Последний раз об этом говорили в конце октября, когда Рада приняла за основу закон о реестрах, в котором предполагалось создать еще один реестр реестров, чтобы наконец навести в них порядок. И начать объединять их в единую систему,
Когда речь заходит о безопасности данных, Министерство цифровой трансформации ссылается на рабочую группу в СНБО, однако и Национальный координационный центр кибербезопасности, и Государственный центр киберзащиты ГСССЗИ пока не могут похвастаться успехами. Украина только начинает осознавать масштаб проблемы, а это уже не мало, потому что первый шаг к решению проблемы – это признать, что она есть.
В январе волонтеры нашли уязвимость на сайте Национального агентства по вопросам государственной службы, которое проводит конкурсы для найма новых госслужащих. В открытый доступ попали анкеты и документы всех кандидатов. В отличие от многих других ситуаций, когда распорядители данных просто отмалчивались и игнорировали дыры в защите, на этот раз реакция оказалась чрезмерной. Дырой заинтересовался омбудсмен по правам человека (его офис занимается, в частности, защитой персональных данных), и он начал внеплановую проверку НАГС. Тут все же высадился «десант» Госспецсвязи, а СНБО созвала внеплановое совещание.
Если учесть количество дыр, которые нашли в государственных системах, то, боюсь, СНБО придется отложить все свои дела и заседать непрерывно. Буквально за несколько дней до того поплыли платежки за коммунальные услуги Киевской городской администрации вместе с именами и адресами, чем могли бы воспользоваться мошенники. Не секрет, что каждое учреждение, чтобы увеличить свои полномочия, пытается тут же расплодить реестры и собрать как можно больше информации. Информация – это деньги и власть. Кровь современного мира.
В налоговой СБУ разоблачила махинации с автоматизированной системой, которые давали преступникам возможность списывать до пятисот миллионов гривен в месяц. В реестрах прав собственности безнаказанно распоряжаются рейдеры. Историями болезни в системе eHealth вполне могут заинтересоваться фармацевтические и страховые компании.
Многие процессы, которые сейчас пытаются автоматизировать, не должны быть ни быстрыми, ни простыми. Иногда усилия, которые прилагают, чтобы сменить владельца компании, изобразить из себя другого человека и проголосовать на выборах, – это просто способы защиты. Автоматизация ускоряет и упрощает любые задачи: мошенничество, подделку документов, кражу личности и коррупцию.
Нас пытаются убедить в том, что если заменить подпись шариковой ручкой на цифровую подпись, то доверие возникнет само собой, с помощью магических технологий. Однако в 2016-м первый день работы системы электронного декларирования начался со скандала: была подана декларация с фальшивой цифровой подписью на имя Руслана Рябошапки. Как так случилось, никто еще не объяснил. Если не всегда можно доверять нотариусу, несмотря на личное присутствие и многочисленные документы, то как тогда доверять цифровой подписи? Подпись так же надежна, как и ее владелец. Чиновники и дальше нарушают собственные правила, подписи, как и раньше, выдают на незащищенных носителях и иногда удаленно, их легко скопировать. Так и «не взлетела» система Mobile ID.
Минцифра совместно с полицией и Миграционной службой бездумно пытаются добавить новые «услуги». В мобильной программе «Дія» уже появились водительские права, и обещают паспорт. Миграционная служба рассказывает, как удобно будет показывать цифровую копию паспорта в телефоне на железной дороге. Как по мне, удобнее было бы не показывать его совсем и отменить именные билеты.
Легче выдавать свидетельство о рождении и сертификат на получение помощи в роддоме, чем осчастливить мам десятью «услугами» е-Малыш. Или хотя бы добавить возможность отказаться от автоматической обработки ваших данных. В отличие от ID-карты, телефон не является защищенным носителем. Банки расскажут, сколько краж произошло из-за телефонов, но там риски известны. К чему приведут возможные неконтролируемые утечки из телефонов пользователей и из самой системы, никто не смог подсчитать.
Можно придумать несколько подходов, как решить проблему забытых дома прав. Во-первых, это реестр, к которому обращаются полицейские. В таком случае вам не нужна программа – достаточно запомнить номер удостоверения, а полиция подтянет информацию о вас из реестра. Во-вторых, можно пользоваться защищенным документом – специальным бланком или чипом, который не клонируется, – удостоверяющий факт: у вас есть привилегия водить машину. В первой ситуации нужен строгий контроль за тем, кто и почему обращается к системе; во второй – реестр нужен, чтобы контролировать, кого в полиции наказывать за «левые документы».
Пытаться совместить оба способа – рискованный шаг, он точно приведет к утечке. А если объединить реестры через систему документооборота, то ответственность размывается до гомеопатических доз. Практически любую информацию о гражданах можно будет получить бесконтрольно. Сомневаюсь, что кто-то интересовался вопросом безопасности еще на этапе проектирования. Крайнего не найти. Избыток информации открывает новые возможности для злоупотреблений.
Лет десять наши правоохранители с завистью смотрят на Российскую Федерацию с ее системами СОРМ (оперативно-розыскных мероприятий). СОРМ – массовое и бесконтрольное прослушивание (и телефонной связи, и интернета). До сих пор все попытки контролировать интернет в Украине заканчивались скандалом и протестами. Недавно полиция изменила подход.
В конце января полтавское отделение киберполиции разослало письмо в редакции онлайн-изданий, в котором спрашивала, не хотят ли журналисты добровольно установить на свои сайты скрипт для деанонимизация пользователей? Скрипт создавал своеобразный отпечаток посетителя и отправлял его в базу, чтобы потом можно было сравнить отпечатки и найти IP-адреса “до VPN” и “после”. Такое предложение вызвало шквал критики в интернете. Полиция немедленно удалила все скрипты со своих сайтов и выпустила пресс-релиз о том, как сложно стало ловить преступников. Вроде до появления сети это было просто. С введением все новых е-услуг, реестров реестров и мобильных программ нет никаких гарантий, что в «Дія» или другой программе рядом с е-Малышкой НЕ присядет рядом «товарищ майор».
Никто не собирается отказываться от компьютеров и сети, но в лихорадке диджитализации «слуги народа» забывают о том, что доверие и принятие решений нельзя заменить компьютером, даже «квантУмним» (как говорит Дубилет) и на блокчейне.
Стоило бы подумать не о том, как сделать электронную справку о составе семьи, а о том, как сделать так, чтобы справки стали не нужны. Лучший способ защитить информацию – не копить ее. Самой большой угрозой для данных являются не так взломщики, как сами чиновники. Их анонимность. Их безнаказанность. Мы живем в стране с прочным переходным периодом. Все ветви власти едва справляются со своей работой. Запихивая государство в смартфон, мы рискуем получить в смартфоне цифровую коррупцию, электронное беззаконие и автоматизированную систему организованной преступности.
Если государству нет доверия в физическом мире, то ее не будет и в онлайне. А еще нельзя забывать об оккупантах, которым независимая Украина стоит поперек горла. Есть два вида компаний: те, кто знает, что их взломали, и те, кто об этом узнает со временем.
Яркий иностранный пример о приложениях и про “країну-в-смартфоні” вообще
Специалист по информационной безопасности, организатор ежегодной конференции по кибербезопасности UISGCON, сооснователь компании “Бережа Секьюрити” Константин Корсун приводит несколько примеров произошедших на Западе инцидентов с подобными приложениями.
Константин Корсун
***
Есть в Израиле такая правящая партия Ликуд. Это как у нас «Слуга народа».
И попросили они (Ликуд то есть) одну местную ИТ-компанию Elector Software разработать классное такое приложение Elector. Приложение предназначенное для “общения со своими избирателями” накануне выборов. На всякий случай напомню: “Дія” – это тоже приложение.
Так вот, как официально зарегистрированная политическая партия (а тем более – правящая), Ликуд имеет доступ к реестру всех израильских избирателей. И этот самый доступ легонько так был предоставлен компании-разработчику. Зачем? А потому что могу. Так надо.
И что делает компания разработчик, догадались? Верно, кося со всей силы, с размаху бьется “головой о батарею”.
Как это выглядело извне: приложение можно было скачать из соответствующего специального сайта elector.co.il (сейчас уже нельзя). А на многих сайтах можно нажать правую кнопку мыши и попросить сайт «показать код».
И на этом замечательном сайте код показывал очень интересные вещи, например логин-пароль работников разработчика для входа в базу данных избирателей.
И тогда один неленивый программист Ran Bar-Zik из компании Verizon Media взял и залогинился. А потом закричал “Джекпот!”. Потому что он получил весь реестр избирателей государства Израиль. Вот так просто.
6 500 000 записей: имена, адреса, номера телефонов, номера паспортов. Все данные, необходимые избирателю для голосования. Максимально актуальные. За подобной реестр на подпольном рынке можно смело просить 5-10 тысяч долларов, а то и пару биткоинов.
Фото: Emil Salman / Haaretz.com
Но для того, чтобы стать счастливым “владельцем” всего реестра израильских избирателей бесплатно(!), не требовалось никакой хакерской подготовки. Вот совсем никакой. Просто знать где нажать пару клавиш.
Кто и сколько раз скачал этот реестр – пока информацию об уязвимости не была обнародована – пока неизвестно. Зато известно, что пользователями приложения были люди из США, Китая, России и Молдовы.
А выборы в Израиле – уже 2 марта, на минуточку.
И что характерно: после разглашения уязвимости, скандала и криков, удаления приложения с сайта и начала расследование – что говорит разработчик?
«Это был одноразовый инцидент и мы сразу им занялись» и после того говорят, что «занялись усилением безопасности сайта». То есть «то все фигня, с чего такой шум поднимать?»
Глупо сказали, конечно. Надо было признавать ошибку, каяться и идти посыпать голову пеплом. Конечно, назовут дебилами, но скорее всего простят. Но это уже тонкости кризисных коммуникаций, в высоких материях.
Хотя в Украине все еще тупее, просто на порядок. Обычно владельцы никак не защищенных ресурсов реагируют по уже надоевшей схеме:
1) Это все ложь, нас никто не ломал;
2) Ломал, но мы были в курсе, не надо нас носом тыкать;
3) Да там и не было важной информации;
4) А вапще-то этот заказ наших конкурентов, мы знаем;
5) Мы напишем на вас (тех, кто обнародовал косяк) заявление в полицию. В полиции часто над такими откровенно смеются.
Демократы в штате Айова о проиграли свои кокис (внутренние выборы) также с помощью «специально разработанного приложения», которое не тестировали независимые эксперты и в котором содержалась куча конфиденциальной информации.
А в прошлом году в Болгарии российские хакеры украли базу данных всех взрослых людей страны.
Не только я, но и издание The New York Times, например, считает, что “эти огромные базы данных избирателей является еще одной причиной того, о чем предупреждали кибер-чиновники всего мира: новые технологии лучше держать подальше от рук избирательных чиновников и политических партий “.
А еще The New York Times говорит, что «лучше было бы, если бы новые технологии, в том числе машины для голосования и приложения, которые используются политическими партиями, были протестированы несколько месяцев или даже лет, прежде чем разворачиваться в публичной плоскости».
Да и вообще, задумывался кто-то в нашей стране (так чтобы серьезно): а почему гораздо более технологически развитые страны не спешат бешеными темпами диджитализироваться?
Почему у них покрытие мобильным Интернетом в два раза лучше, а приложения подобного “Дії” у них до сих пор нет?
Может, у них программисты хуже? Неправда, не хуже. У них власть меньше заботится об упрощении бюрократических процедур? Ложь. Может, просто на гниющих Западе гениальные идеи не приходят в голову? Федоровым в Украине приходят, а на Западе – не приходят?
Думаю, тотальную диджитализацию в более технологически развитых странах не форсируют потому, что уже оценили риски таких резких движений.
Потому что уровень цифровизации не должен опережать уровень доверия к власти, неистово пришпорив эту самую цифровизацию, забывая позаботиться о доверии к самим властнім институтам.
Шаткая система общественных отношений «доступность Интернета – доверие к власти – готовность к новым технологиям – цифровизация» должна быть сбалансирована, без перекосов в какую-то одну сторону. Иначе все рухнет.
Если оцифровать кучу навоза, то она останется той же кучей навоза. Но вонять будет не только у вас за домом, но по всей стране.
Доверяем ли мы судьям, ментам, прокурорам? Не очень, правда? Тогда почему мы должны доверять неизвестно как и кем разработанному мобильному приложению, которое берет данные из реестров, в которых испокон веков по-барски хозяйничают те же люди, которым мы не доверяем? Что они там вносят или меняют в этих реестрах – никто до сих пор толком не знает и не контролирует. Каждый клерк, который работает в «реестрах» за копеечную зарплату, может за мелкий прайс что-то в тех реестрах «подправить» или продать всю базу (чуть дороже). И ему ничего за это не будет, никто даже не заметит.
И вот на эту кучу навоза побрізгали из баллончика ярким приложением и теперь нам п(р)одают как деликатес. Уникальное достижение, до которого никто раньше не додумался.
Закончить хочу все же тем, с чего начал: безопасность приложений.
Израиль значительно опережает Украину в развитии, в том числе информационных технологий. В стране работает огромное количество ИТ-стартапов, проводятся ультрасовременные исследования, разрабатываются уникальные технологии, эта индустрия привлекает многомиллиардные инвестиции. Все это поощряется государственными программами и специальными условиями. Но и в таком высокотехнологичном обществе случаются феерические провалы, напрямую связанные с игнорированием вопросов безопасности приложений, причем на самом высоком уровне.
Как думаете, сколько шансов у доморощенных “ДіЄвих” диджитализаторов, для которых “роль кибербезопасности немного преувеличена”, попасть в схожий с израильским скандал? Точнее будет спросить – когда это произойдет и к какому масштабу последствиям приведет?
По материалам издания “Тиждень” и поста в Фейсбук
Tweet
