«Вроде теста Какой ты фрукт. Приложение Резерв+ — это катастрофа. Интервью NV с экспертом по кибербезопасности

 — Уже преодолены проблемы с запуском Резерв+? Часть потенциальных пользователей говорили о том, что они хотят подождать первые недели, чтобы пофиксили приложение.

— Да, в первый и второй день были серьезные проблемы с доступностью самого приложения, в частности, из-за рубежа. И для тех, кто нашел его, загрузил, были где-то сутки или больше трудности с авторизацией через BankID. А это свидетельствует, что, как всегда, мы оказались не готовы.

Например, то же приложение Дія существует пятый год. На пятый год своего существования оно оказалось неготовым к массовому голосованию за нацотбор на Евровидении, хотя уже есть четыре года интенсивного набивания шишек. А тут первая версия. Первая, релизная версия всегда самая слабая. Это каждый айтишник вам скажет. И это правило без исключений. Нет идеальных приложений, которые не надо фиксить после первого дня релиза. Поэтому версией 1.0 всегда лучше не пользоваться.

Почему наши люди массово побежали этим пользоваться? Трудно сказать. Это, скорее всего, социология, психология и прочее. Но я видел, что Министерство обороны заявило о 1,1 млн граждан, которые воспользовались этим приложением. Не ясно, обновили ли свои данные, или просто это статистика загрузок приложения, но ясно, что все же это явление массовое.

И при этом приводятся цифры, что около 55 тысяч обновили данные через ЦПАУ и 38 тысяч через ТЦК. Понимаем, какие масштабы. Это около 1:20. Большинство должно понимать, какие риски и по персональным данным, и по кибербезопасности их ожидают.

Но большинство не специалисты, на них рассчитано это все. А с точки зрения кибербезопасности, с точки зрения защиты персональных данных, это катастрофа. Могу подробно рассказать — я в своих трех сообщениях написал на эту тему в Фейсбуке.

[Среди проблем] — техподдержка через Телеграм, например. И то, что приложение сделано на основе недоделанного приложения Мрія — это школьный онлайн-дневник. И еще множество разных нюансов, из которых следует то, что приложение даже функционально не было готово. Очень сильно спешили на 18 мая его выпустить, чтобы совпало с первым днем действия обновленного закона о мобилизации. А то, что очень быстро делается, никогда не бывает качественным. Каждый из нас прекрасно знает это правило.

Даже по функциональности не угадали, хотя имели все исходные данные. Приблизительное количество военнообязанных более-менее было понятно, и можно было рассчитать нагрузку на приложение, можно было как-то адаптировать авторизацию через BankID. Надо было просто эту кучу собрать и просчитать. Но получилось все как всегда.

Я не знаю, почему так происходит в нашей стране из года в год. Но я еще раз подчеркну, что даже функциональность не была готова, а безопасность всегда отстает от функциональности, она на втором, третьем, пятом, десятом месте. Главное — функциональность, чтобы оно работало, выполняло ту функцию, которую разработчик закладывает в него. А закладывалась функция, чтобы военнообязанный, призывник или резервист мог удаленно обновить свои данные. Это одна функция, односторонняя. И с этой задачей справились так себе.

Поэтому с вопросом безопасности, а особенно защиты персональных данных… Я думаю, что эти риски просто проигнорировали, хотя они есть. Но задача была в максимально короткие сроки получить максимальную информацию о потенциале для мобилизации. С этой задачей худо-бедно справились, но пренебрегли вопросом кибербезопасности и персональных данных.

В отношении кибербезопасности это означает, что в худшем варианте база каким-то образом окажется у врага. Этот риск всегда главный, по сути. Он очевиден, он на поверхности. Как его решали, как от него страховались, я не знаю, потому что эта информация закрыта, она не публичная. Ничего — ни слова, ни полслова — об инфраструктуре и каким образом обеспечивается безопасность не сказано, не сообщено. Соответственно, можно строить любые конспирологические теории.

Что касается персональных данных. Также вы не можете проконтролировать свои персональные данные. Вы не можете знать, кто и как ими распоряжается, как они хранятся, надежно ли обеспечена их защита. А все это предусмотрено, даже украинским слабеньким украинским законодательством, не говоря уже о европейском GDPR, к которому мы вроде бы стремимся.

Но тут на днях обнаружилась еще одна интересная история относительно легитимности Резерв+. Я сегодня перечитал закон Украины, который вносит изменения в законодательство о мобилизации. Там написано, что можно обновить свои данные через ТЦК или через электронный кабинет военнообязанного, призывника, резервиста — так это называется. И там ничего не сказано о Резерв+.

— Можно трактовать Резерв+ как электронный кабинет военнообязанного, призывника, резервиста или нет?

— У меня есть юридическое образование, одно из двух.

— У меня его нет, поэтому я вас спрашиваю, как это оценивать юридически.

— Любой первокурсник юридического вуза вам скажет, что законодательство имеет определенные правила. То, что написано, можно по всякому трактовать, но только это и подразумевается. Идеальное законодательство — максимально простое и не предусматривает двусмысленностей.

Так что в данном случае даже об этом речь не идет. Если написано люминий, значит — люминий. Написано чугуний, значит — чугуний. Написано электронный кабинет призывника, военнообязанного, резервиста и ничего нет про Резерв+. С точки зрения закона, это приложение такое же, как вы прошли тест Какой ты фрукт? Сугубо формально-юридически.

И даже в самом приложении прямо ничего не сказано. Если бы там было написано Резерв+, а где-то внизу мелким шрифтом написано, что этот продукт является электронным кабинетом военнообязанного, призывника, резервиста, то еще можно было бы [так трактовать]. Какие-то были бы двусмысленности, можно было бы спорить, но как-то, хоть немножечко оно бы вписывалось в законодательство. Этого ничего нет, соответственно, и юридических последствий это никаких не создает.

Тем более, что после обновления данных в Резерв+ вы ничем не можете это доказать. Что-то вы потыкали, вам на экранчике что-то показали, спасибо, обновлено. Но никаких документальных свидетельств этому нет, потому что министерство, разработчики приложения эту функцию генерирования QR-кода, который ведет на электронный военно-учетный документ, который подтверждает, [планируют запустить] только после 18 июня. И это сразу было заявлено.

Тем людям, которые сейчас это все заполняют: это ни от чего не страхует, ничего не доказывает и юридических последствий никаких не создает. Вы такие довольные, обновили все через приложение, идете по улице, вас останавливает патруль ТЦК и говорит: «А у нас в базе нет ничего о вас. Садитесь в бусик, пожалуйста, поехали в ТЦК, на медкомиссию».

— Поэтому возможны два сценария: либо необходимо в законодательстве расширить [перечень] — через запятую написать Резерв+, когда речь пойдет об этом электронном приложении; либо написать, хотя бы маленькими, мелкими буквами снизу, что именно это приложение и является электронным кабинетом.

— Да, должна быть юридическая связь между тем, что написано в законе, и тем, что написано в приложении.

Но отмечу, что понятие Электронный кабинет значительно шире, чем просто понятие приложение. Нельзя взять приложение и сказать, что это — электронный кабинет. Для понимания: электронный кабинет — это как автомобиль, а приложение — это как дверца этого автомобиля, и не обязательно водительская. В этом случае приложение Резерв+ выполняет одну простую задачу — авторизует. И через эту дверцу вы каким-то образом передаете свои данные куда-то.

— Речь идет о том, что это альтернативный способ разглашения информации о себе, когда ты не должен стоять в очереди длительное время. Это была ключевая цель.

— Да. Но я еще раз скажу, что это каких-то юридических последствий не создает. Это вы передали, вы выполнили, как вам кажется, требования законодательства, но не факт, что так же будут считать в ТЦК. И вы думаете, что вы внесли данные, но нет гарантии, что они с той стороны, с бэкэнда, с серверной части, корректно внеслись, корректно сохранились, что их там случайно не удалили. Это одно.

А с другой стороны, у работника ТЦК, который будет делать запрос по вам в этой базе, куда вы внесли данные, тоже корректно будет [все отображаться], что у него будет доступ и так далее. Множество чисто технических моментов, которые ничего не гарантируют.

Если вы, например, придете в ТЦК и обновите данные, то вам по запросу должны выдать и выписку из реестра с каким-то QR-кодом. И вот с этой бумажкой вы можете смело уже [идти дальше]. Это уже документ. [Например], вы числитесь в розыске, а вы обновили данные, у вас есть документ. Вы идете в суд и отменяете те штрафы — 25 тысяч гривен, на секундочку.

Поэтому юридических, правовых последствий заполнения данных через это приложение пока не просматривается.

— Вы уже упоминали о подтверждении с помощью BankID. Почему пошли именно по этому пути? Могла быть, например, авторизация в Дії. Потому что появлялись предостережения о том, что если это BankID, то, возможно, ТЦК будет иметь информацию о банковских счетах и сможет взимать все штрафы. Сколько в этом есть мифа, а сколько реальности?

— Все перепутано, все в кучу навалено на самом деле. Я вам сейчас вкратце на двух пальцах покажу.

То, что вы называете авторизацией через Дію, — это и есть BankID. Дія авторизует через BankID. Что такое BankID? Есть десяток или полтора десятка украинских банков. Вы приходите, открываете какой-то счет, вам дают карточку, вас фотографируют с той карточкой, с паспортом четко, однозначно идентифицируют. И так делают многие банки. И система BankID привязывается именно к этим банковским аккаунтам, рассчитывая, возлагая надежду на то, что банки должным образом, глубоко проверили своего клиента, 100% идентифицировали, посмотрели ему в глаза, с ним разговаривали.

И вся эта система объединяется в BankID. Все это контролирует Национальный банк, и он же выступает гарантом надежности этой системы. Насколько это на самом деле — сложно сказать. Возможно ли, что банк вымышленному человеку откроет счет? Видимо, что возможно. А много ли известно об этом фактов? Ничего не известно. Это очень-очень засекречено, если даже и есть такое.

Но я давно критикую эту систему. Дія — это государственная программа, государственное приложение, целое министерство под это сделали. Они официально идентифицируют граждан, выдают электронные документы, которые удостоверяют личность. Это самая высокая степень доверия в государстве. Это как деньги. А банки и любая сеть коммерческих организаций — это система низшего уровня. Она может быть надежной, не очень надежной, но это коммерческий сектор, он работает ради денег, он рискует деньгами.

А государство, которое гарантирует идентичность выданных в нем документов, должно построить собственную систему идентификации, абсолютно независимую от коммерческого сектора. А это перекладывание ответственности на коммерческий сектор, на то, чтобы каждый банк добросовестно выполнял абсолютно все инструкции. В нашей стране, с нашими традициями необязательности соблюдения законодательства это немного как-то наивно выглядит.

Так что эту систему BankID использует и Дія, потому что у Діи нет собственной инфраструктуры. Нет, условно, Дія.пунктов для того, чтобы активировать свой аккаунт в Діе — это долго и дорого. Я не знаю, почему в 2019 году, когда Дія задумывалась, пошли по этому пути.

Но что касается опасений, что ТЦК через банки будут иметь доступ к картам и напрямую блокировать счета, это не так.

— Поэтому я и спросил, насколько этот миф вообще имеет под собой какую-либо почву. В соцсетях такие вещи появлялись, надо прокоммуницировать.

— Как раз этот вопрос — мой любимый, ведь находится на стыке технологий и юриспруденции. Потому что мало кто и в том, и в том разбирается, а я — да.

Итак, максимально, какое законодательство в нашей стране работает, — это банковское законодательство. У нас Нацбанк формально независим и по сути он гораздо более независим, чем любая другая институция. У него собственное законодательство, он очень самостоятелен в своих решениях. И законодательство о банковской тайне работает как-то лучше, чем другое.

Чтобы получить данные по конкретному пользователю, какие у него карты, какие суммы, какие транзакции, надо судебное решение. И банки очень четко понимают, что если они не будут соблюдать законодательство и тихонько, без решения суда, будут выдавать правоохранителям или военным какие-то данные, то их банку гаплык скоро наступит, потому что от него уйдут клиенты.

Банковская система очень чувствительна к различным слухам и к таким пиар-акциям. Если о каком-то банке запустить слух, что он вот-вот лопнет, туда побегут все клиенты забирать свои деньги, и он действительно лопнет. Тогда сплетня может реализоваться в конкретный коллапс.