Міністр цифрової трансформації Михайло Федоров порадував всіх нас повідомленням про те, що ось-ось стане доступним застосунок Дія, де у всіх, хто бажатиме, зберігатимуться цифрові водійські посвідчення, техпаспорт на авто і навіть страховий поліс, у чому Україна беззастережно обігнала планету всю. І у нас навіть для цього є вся необхідна нормативна база, Кабмін уже все взяв і дозволив.

Читайте також:

Михайло Федоров

Цифрові водійські права. У чому унікальна Україна?

З колонки міністра незрозуміло, як саме буде організована видача таких прав, але деякі деталі, згадані в тексті, викликають настороженість. Фрази на кшталт «унікальний електронний ідентифікатор, тобто QR-код» взагалі збивають з пантелику, оскільки QR-код ніяким ідентифікатором не є — це графічне машиночитане подання інформації, будь то адреса сайту в рекламі, інстаграм-візитка або контактна інформація, яку показують замість візитної картки. Згадка про «електронну ідентифікацію» прямо в мобільному застосунку наводить на думку, що для отримання цифрових водійських прав не знадобиться нікуди приходити — і ось це починає лякати.

Ми вже звикли до систем на кшталт Apple Pay і Google Pay, де досить прямо через смартфон прив’язати карту підтримуваного банку і надалі платити хоч смартфоном, хоч годинником з підтримкою такої функції, і на перший погляд може здатися, що немає ніякої проблеми точно так же прив’язати картку водійських прав, яку ви і так тримаєте в руках. Але проблема є, тому що банк для перевірки того факту, що прив’язку (а насправді випуск дубліката) карти здійснює саме її власник, використовує другий канал аутентифікації — це може бути SMS або власний застосунок банку, де клієнт залогінений. Який другий канал аутентифікації передбачається використовувати при випуску електронних прав? Інакше кажучи — як застосунок перевірить, що ці права запитує власник оригінальних прав, а не хтось ще?

Однак випустити права — це навіть менше половини справи. Як їх планується пред’являти і зчитувати? У випадку з платіжними картами інформація про засіб платежу, яку випускає банк, зберігається в зашифрованому сховищі всередині смартфона, причому ключем до сховища зазвичай виступає унікальна інформація — відбиток пальця, верифікація за обличчям або, в крайньому випадку, пароль. Цю інформацію неможливо відокремити від смартфона, і вона повідомляється назовні тільки в зашифрованому вигляді, тільки на певні запити — наприклад, коли ви підносите смартфон до POS-терміналу. Що з себе являтиме водійське посвідчення в цифровому вигляді — QR-код? Але у нього немає ніякого захисту. Він буде генеруватися динамічно самим застосунком? Тоді як його зчитати співробітнику поліції? Припустимо, у інспектора буде свій застосунок, який цей код зчитає і розшифрує — а як його перевірити на справжність? Як дізнатися, що у водія не відібрали права годину тому на сусідньому посту поліції?

Звичайно, найпростіша відповідь на ці запитання — вся інформація буде перевірятися онлайн через базу МВС. Але, залишаючи осторонь питання покриття країни якісним зв’язком 3G/4G, давайте поставимо собі більш фундаментальне — а якщо співробітник поліції, який зупинив мене у будь-якій точці України, може отримати доступ до Єдиного реєстру МВС, де зберігається копія мого водійського посвідчення, навіщо мені взагалі йому щось пред’являти в паперовому, пластиковому або цифровому вигляді? Нехай запитає прізвище, ім'я та будь-які інші персональні дані, введе їх куди треба і побачить права з фотографією і техпаспорт на машину.

Співробітники діджитал-міністерства дуже не люблять слова про оцифровку хаосу і у будь-якому зручному випадку повторюють (зокрема на сайті програми Дія), що вони цим не займаються. Але, перепрошую, я ніяк не можу підібрати іншу назву до ідеї видати всім замість фізичного документа з декількома ступенями захисту QR-код, що легко копіюється, замість того, щоб відмовитися взагалі від ідеї носія такої інформації.

Наостанок приведу два приклади нелегкої долі цифрових баз і документів в Україні. Багато років я літаю з українських аеропортів і протягом декількох років на кожному перетині кордону мене питав співробітник прикордонної служби, яке у мене по батькові. Кілька разів мене навіть просили пред’явити інший документ — паспорт громадянина або права. Я розумію, що однофамільців у мене чимало, але це ніяк не зменшує абсурдність ситуації, в якій організація, яка видала мені закордонний паспорт, буквально через місяць, тримаючи його в руках і маючи онлайн-доступ до своєї бази, вимагає від мене додатково засвідчити мою особистість.

Не так давно мені виповнилося 45 років. Зрозуміло, я й не збирався вклеювати фотографію в паспорт, отриманий в 1996 році, і звернувся за випуском ID-карти. Випуск самої карти пройшов досить швидко, але при отриманні мені видали візитку місцевого ЦНАП і повідомили, що я повинен туди звернутися за отриманням витягу про реєстрацію. Виявляється, незважаючи на те, що на моїй ID-картці в захищеному вигляді зберігається багато інформації про мене, включно з адресою реєстрації, зчитати цю інформацію можна не скрізь і тому, наприклад, будь-який нотаріус законно відмовить мені в будь-якій послузі, якщо я йому надам тільки карту, без паперової виписки про місце реєстрації. Черга на отримання цієї виписки — приблизно місяць.

Тож я поки що продовжу їздити з невеликою картою водійських прав у гаманці. А з огляду на все сказане вище, хочеться вимагати від Міністерства трансформації одну критичну функцію — можливість заборонити випускати будь-які цифрові посвідчення або техпаспорти на моє ім'я. Як кажуть фахівці — до першого сервіспаку.

Приєднуйтесь до нашого телеграм-каналу Мнения НВ