Фото из сети Интернет
Ранее публиковали информацию относительно «22 главных недостатка приложения Действие» от специалистов в отраслях IT и кибербезопасности и отправляли запрос в Минцифры с просьбой объяснить каждый из пунктов документа. «Действие» дала развернутый ответ. Заместитель Министра цифровой трансформации Алексей Выскуб; разъяснил каждый случай. Вот почему, по его мнению, это фейк.
Его ответы не редактированы.
1. Существенные дефекты архитектуры приложения «Действие»
Примечание:
В приложении «Действие» нарушен один из базовых баз; принципов в государстве удаленной (электронной) идентификации — разграничение инструментов идентификации по уровням доверия.
Например, для идентификации пользователя высокого уровня доверия, которым должен быть владелец цифрового паспорта, в «Действия» разрешено использовать BankID — программный инструмент с всего лишь средним уровнем доверия. Между тем неоднократно доказано, что BankID в нынешнем виде не обеспечивает достаточной безопасности и является уязвимым для примитивных атак. В случае инцидентов с использованием BankID в кредитно-финансовой сфере возможные потери пользователей теоретически могут быть компенсированы за счет финансовых и банковских учреждений, поддерживающих данный инструмент.
В результате использования BankID для идентификации пользователя «Действия» нарушен принцип разграничения уровней; доверия. Инструменты с высоким уровнем доверия могут быть использованы для идентификации пользователей цифровых сервисов, требующих среднего и низкого уровней доверия. Инструменты среднего уровня доверия могут использоваться для идентификации пользователей сервисов, для которых достаточно низкого уровня доверия. В «Действия» все сделано наоборот: инструментами среднего и низкого уровня доверия идентифицируют пользователей наиболее критических сервисов, а именно цифровых документов, удостоверяющих личность.
Подобные ошибки представляют потенциальную угрозу для пользователей программ и мобильных приложений, где нарушен вышеупомянутый принцип разграничения уровней доверия. При любых обстоятельствах электронный идентификационный документ, — например, электронный паспорт для выезда за грань — имеет быть защищенным исключительно средствами наивысшего уровня доверия, чего что не можно сказать о действующем приложении «Действие».
Ответ:
Содержание данного замечания нет вообще никакого отношения к архитектуре мобильного приложения, что уже вызывает кучу вопросов относительно экспертности. этих замечаний и понимания авторами данной тематики в целом. Описанные в этом пункте замечания касаются использования средств электронной идентификации пользователей, а не архитектуры мобильного приложения. Поэтому формулировка такого названия пункта с замечанием является либо сознательной манипуляцией с целью нагнетания, либо непониманием базовых вопросов.
Что касается содержания пункта, то для начальной электронной идентификации пользователей в мобильном приложении «Действие», среди прочих, используется схема электронной идентификации BankID со средним уровнем доверия от Национального банка Украины. Такие схемы обычно используются для некритических электронных сервисов, результаты предоставления которых не могут привести к приобретению, изменению или прекращению прав и/или осуществлению обязанностей пользователя. Например, получение информации о себе из государственных реестров.
Очевидно, что после идентификации пользователю мобильного приложения «Действие» доступные сервисы, которые полностью соответствуют среднему уровню доверия, а именно: доступ к цифровому паспорту, цифровому удостоверению водителя, возможность заказать ководный сертификат, получить информацию о штрафах, судебных заседаниях и т.д. Все эти сервисы фактически являются отображением пользователю данных о нем из различных государственных реестров и информационных систем. Наконец-то граждане получили возможность доступа к информации о себе.
Отдельно обращаем внимание, что цифровой паспорт отображает данные из демографического реестра соответствующего биометрического паспорта гражданину, а не является новым документом. Непосредственное использование цифрового паспорта в банках, на почте, в путешествиях и т.д., безусловно, nbsp; является сервисом с более высоким уровнем риска, но это невозможно осуществить без владельца. Относительно «шеринга» — предоставление электронной копии цифрового паспорта, то такая процедура осуществляется с применением методов электронной идентификации с высоким уровнем доверия, основывающимися на криптографии. мобильном приложении «Действие», таких как изменение места жительства, назначение надлежащего пользователя и т.п., которые могут привести к приобретению, изменению или прекращению прав и/или осуществлению обязанностей пользователя. Все такие услуги доступны только с использованием «Действие.Подписи».
Итак, очевидно, что содержание замечания является либо манипуляцией, либо непониманием порядков предоставления услуг в мобильном приложении Действие.
2. Обработка и хранение персональных данных в приложении «Действие»
Замечания:
Несмотря на многочисленные заявления разных чиновников, «Действие» собирает, хранит и обрабатывает персональные данные. А само регистрирует, накапливает, адаптирует, изменяет, обновляет, использует и распространяет. Об этом прямо написано на сайте «Действия» и в разделе «Меню/Сообщение об обработке персональных данных» мобильного приложения «Действие.
Цитата: «7. Персональные данные хранятся Министерством цифровой трансформации Украины в течение срока функционирования электронного кабинета субъекта персональных данных на Портали Действие, но не более 5 лет, если законодательством не определен другой срок их хранения.Портал Действие и мобильное приложение Действие являются частями одной системы, в которой происходит синхронизация имеющейся информации, а информация с портала также дублируется в мобильном приложении. ;второй во время проверки цифровых документов, что неоднократно публично демонстрировалось экспертами.
Ответ:
Обращаем внимание, что этот пункт, как и весь документ, касаются мобильного приложения «Действие». А в содержании в пункте приведены ссылки на Сообщения об обработке персональных данных портала «Действие».
Очевидно, что и мобильное приложение и портал «Действие» обрабатывают персональные данные Что касается мобильного приложения, то с первого дня мы четко коммуникируем о применении принципа data in transition. Это означает, что мобильное приложение не агрегирует и не накапливает персональные данные граждан из различных реестров, а только отображает каждому пользователю данные о нем. Соответствующие данные хранятся непосредственно на устройстве пользователя.
Итак, данный пункт является сознательной манипуляцией с извращением как заявлений Минцифры, так и норм юридических документов по вопросов защиты персональных данных.
< h2>3. Возможность перехвата и накопления персональных данных при проверке е-документов в приложении «Действие»
Замечание:
При предоставлении цифровых документов паспортные данные человека могут скрыто копироваться в телефон считывающего, поэтому давать на считывание своих данных «Действие» можно только работникам полиции в единостроях, по условиям предъявления служебного удостоверения или значка с номером. Эти же данные проходят через инфраструктуру Минцифры, но неизвестно как они обрабатываются.
Ответ:
Для оценки несостоятельности этого замечания нужно «включить» критическое мышление и обычную логику. Ежедневно украинцы посещают тысячи различных организаций, получение услуг в которых предусматривает предъявление или предоставление копии паспорта, mdash; спортивные, медицинские, почтовые, транспортные услуги и т.д. Все эти организации имеют право обрабатывать персональные данные клиентов по условиям получения согласия. Соответственно работники этих организаций имеют доступ к персональным данным граждан, а на сами организации распространяются нормы Закона Украины «О защите персональных данных».
И вот возникает логичный вопрос: а зачем в этих организациях кому-то создавать очень сложное техническое решение для накопления сундуков данных, которые очень сложно обрабатывать и использовать, если эти данные и так доступны в базах данных этих организаций?! Но если кто-то из работников таких организаций решит распространять эти данные или использовать не по назначению, то это уже другой вопрос. это преступление и нарушение требований закона.
4. Возможные мошенничества с использованием «Действия»
Замечания:
В настоящее время существует возможность удаленно открыть банковский счет с использованием приложения «Действие». В настоящее время известно о не менее нескольких случаях несанкционированного входа злоумышленников в учетные записи жертв приложения «Действие» и с дальнейшим совершением противоправных действий в отношении пострадавших с корыстной целью (оформить кредит на владельца телефона, купить товар в магазине в рассрочку, совершить другие злоупотребления.)
Та при похищении телефона. Таких случаев только по официальной статистике в среднем 4566 на месяц (данные за 2021 год). Ответ:
Благодаря появлению мобильного приложения «Действие» и функции шеринга цифрового паспорта в Украине введены передовые банковские сервисы с возможностью дистанционного открытия счетов в банках.
Сразу, следует указывать, что дистанционное открытие счетов осуществляется, в частности, в соответствии с «Об утверждении Положения об осуществлении учреждениями финансового мониторинга». Действующим законодательством предусмотрено обязательное дополнительное фото/видео идентификацию клиента на стороне банка, что делает невозможным открытие счета, даже при компрометации цифрового паспорта.
Вопреки утверждениям авторов, отметим, что на сегодняшний день не существует ни одного подтвержденного факта получения незаконного кредита с использованием мобильного приложения. И это вообще невозможно в соответствии с требованиями действующего законодательства. Так, действительно на страницах авторов в Facebook распространялись откровенные фейки по взятию кредитов через мобильное приложение «Действие». Все эти фейки были быстро опровергнуты как представителями банков или микрокредитных финансовых учреждений, так и киберполицией.
Также обращаем внимание на статистику, приведенную авторами относительно 4,5 тыс. мошенничеств с кредитами на месяц (или 54 тыс. в год). На сегодня в «Действия» 14 млн пользователей и ежедневно осуществляется примерно 40 тыс. шерингов цифровых документов. А теперь представим, что эти 5 или 6 фейковых кредитов от авторов действительно были. Это 0,00009% от всех мошеннических кредитов и 0,0000003% от всех шерингов у Действия. Эти цифры говорят сами о себе.
Итак, можем констатировать умышленное распространение недостоверной информации о кредитах через «Действие» и умышленное поднятие информационного отрицательного шума авторами. А с какой целью?! Это вопросы авторов фейков.
Заметим, что в «Действия» введен очень полезный сервис по информированию о запросе о кредитной истории, который в итоге может свести количество мошеннических действий с кредитами с 54 тыс. на год до нуля.
5. Возможность следить за пользователями через приложение «Действие»
Замечания:
Минцифры в лице Государственного предприятия «Действие» (которое разрабатывает и поддерживает приложение «Действие» и цифровые документы), имеет техническую возможность следить за владельцами смартфона, на котором установлено приложение «Действие». Следование может быть реализовано как в самом приложении «Действие», как отдельная функция, так и на стороне серверов, обслуживающих приложение и логирующих каждое действие пользователя, время и Такое слежка, хранение логов активности и их обработка— ничем не регламентированы, а ДП «Действие», выпускающее приложение, не проходит регулярные независимые проверки и постоянно от них отказывается, что не является подтверждением хороших намерений&nb функционирование приложения «Действие».
Независимые проверки — это проверки, которые проводят всемирно известные профессиональные кибербезопасные компании, которые имеют безупречную репутацию и никоим образом не связаны ни с разработчиками «Действия», ни с их руководителями. Результаты таких проверок должны публиковаться с указанием того, что и как проверялось.
Ответ:
Этот пункт также является абсолютным фейком. Для того, чтобы, даже теоретически, говорить о возможности следения, мобильное приложение должно запрашивать у пользователей разрешение на определение местоположения. Такое разрешение не спрашивается, а соответственно, даже теоретически не может накапливать место использования функции или действий пользователя.
Также отмечаем, что государственным бюджетом предусмотрены средства на проведение международного аудита киберзащиты «Действия» в 2022 году.
6. Риски дистанционного несанкционированного проникновения в смартфон («взлома») с установленным приложением Действие
Примечание:
С стороны государства: В случае заинтересованности, производитель Действия может дистанционно установить на мобильный телефон пользователя Действия «обновление с дополнительными функциями», то есть шпионскую версию Действия. Таким образом, пользователь даже не будет думать о проведении негласных действий наблюдения, законность которых может быть подвергнута сомнению. Приложение Действие запрашивает наибольшие привилегии в мобильном телефоне, от камеры (микрофон в комплекте) до дискового хранилища, а следовательно, все необходимые права уже предоставлены и дополнительного запроса не будет. С стороны третьих лиц: известны случаи, когда преступники получили полный контроль над смартфонами и всеми установленными в нем приложениями. Часто пользователи об этом даже не догадывались.
Пример: в 2021 году Служба безопасности Украины сообщила о задержании группы злоумышленников, специализировавшихся на дистанционном взломе мобильных устройств и незаконном сборе персональных данных. Стоимость излома одного смартфона стоила 200 долларов США.
«Хакнутый» третьими лицами мобильный телефон — это, безусловно, проблема в любом случае, но «хакнут» телефон с Действием предоставляет третьим лицам гораздо больше возможностей, чем просто «хакнутый» телефон.
Ответ:
Публикация каждой функции в Действии проходит соответствующую процедуру согласования как в Google, так и Apple. Специалисты этих организаций проверяют как техническую реализацию, так и юридическое основание реализации всех функций. Ведь это государственное приложение. Например, юридическая защита публикации ковидных сертификатов длилась почти месяц с привлечением топ международных юридических экспертов.
Доступ к камеры запрашивается исключительно для прохождения электронной идентификации FaceID, и это обычно тщательно проверяется специалистами Google и Apple, как и наличие юридического основания. разрешения в мобильном приложении не спрашиваются. И это является очередным фейком от авторов.
Поэтому такие заявления авторов свидетельствуют о реальном непонимании процессов создания и публикации государственных приложений и очередную сознательную манипуляцию. ;такой доступ не может привести к получению услуг с высоким уровнем доверия.
7. Невозможность самостоятельно заблокировать свой аккаунт в Действии (опция Opt-Out).
Примечание:
Фактически, возможность активировать аккаунт в приложении Действие существует у каждого гражданина Украины, который получил ID-карту или загранпаспорт с биометрическим чипом (документы, содержащие цифровые фото).
При этом не имеет значения есть ли у гражданина намерение пользоваться своим аккаунтом (учетная запись) в Действия — такая возможность все равно существует и им может воспользоваться постороннее лицо без ведома легального пользователя. Сейчас этим пользуются мошенники для похищения кредитных средств, оформленных на людей, которые по разным причинам не активировали свою учетную запись.
Но в дальнейшем этому ж возможность «угона» цифровой личности можно применить и для других юридически значимых действий без ведома лица: регистрации места жительства, вызова с суд, операций с недвижимостью, голосования на выборах и т.д. -какие инструменты управления рисками, связанные с цифровыми документами:
- возможность заблокировать свою учетную запись;
- возможность запретить активацию цифровых документов, удостоверяющих личность;
- возможность отказа от пользования уже активированными цифровыми документами;
- уведомление о несанкционированной попытке активировать новый экземпляр уже заблокированных цифровых документов.
Наличие указанных возможностей/инструментов (так называемая опция Opt-Out) могла бы стать на защиту прав гражданина в разрешении спорных ситуаций (пример получения кредита третьим лицом путем манипуляций и мошеннических действий, либо непосредственно по похищению; взлом компьютерной системы (компьютера), и т.д.
Эффективным решением проблемы несанкционированного использования аккаунта в Действии посторонними лицами могла бы стать его обязательная первая активация путем личного визита в ЦНАП с бумажным/пластиковым паспортом и соответствующим заявлением. А также возможность аналогичным образом юридически «заморозить» любые операции в Действия путем личного визита в ЦНАП с документами.
Также желательно введение механизма, которым бы блокировалась и фиксировалась (с дальнейшей автоматической процедурой сообщения полиции) каждая попытка использования имени тех граждан, которые отказались от пользования указанным государственным сервисом.
Технически и организационно внедрение подобной защиты не является сложным вопросом, но почему-то такой возможности гражданам Украины не предлагается, несмотря на значительный социальный запрос и большие риски.
Ответ:
У пункте 1 было подробно описано, почему невозможны все перечисленные авторами действия. Ведь для предоставления критических сервисов предполагается использование средства электронной идентификации с высоким уровнем доверия Действие. Подпись, которая, среди прочего, предусматривает биометрическую идентификацию пользователя. и мониторы доступа.
8. Риски фальсификации «выборов в смартфоне» с использованием приложения Действие
Замечания:
Непосредственно В. Зеленский и М.М. Федоров неоднократно озвучивали тезисы об их главной цели — голосование на выборах через смартфон. Вероятно, имеется в виду использование для этого приложения Действие.
Большой негативный опыт фальсификаций на традиционных выборах свидетельствует о больших рисках. А реализация такой идеи содержит угрозу национальной безопасности и попытку свержения конституционного строя путем фальсификации избирательного процесса онлайн.
В целом, во время онлайн-выборов невозможно обеспечить секретность голосования, голосование без принуждения, и одновременно провести голосов.
Ни одна страна Мира (кроме Эстонии) пока не решилась провести онлайн выборы.
В апреле 2020 г. более 80 руководителей и ведущих сотрудников научно-исследовательских организаций США, работники научных учреждений и ведущих экспертов, в том числе такие всемирно известные эксперты как Брюс Шнаер и Мартин Хеллман. ;руководителей избирательных комиссий США с требованием «воздержаться от разрешения использовать любых систем Интернет-голосования».
В Эстонии голосуют онлайн около 45% избирателей, но эта страна строила собственную модель онлайн-голосования около 20 лет, под тщательным контролем общественности, местных политических партий и представителей Европейского Союза. За это время в системе онлайн-голосования было обнаружено много критических уязвимостей, она постоянно дорабатывается лучшими специалистами, но сейчас этот метод голосования работает на принципах, кардинально отличных от приложения Действие, а также на граждане. власти.
Ответ:
На сегодняшний день в Украине не существует законодательных актов, описывающих процедуру реализации Интернет-голосования, в т.ч. через мобильное приложение Действие. Поэтому обсуждение гипотетических сценариев не имеет смысла.
Только отметим, что, кроме Эстонии, интернет-голосование проводится в Австралии и Швейцарии. Также существует несколько общеизвестных технических решений в мире, которые успешно реализуют как секретность голосования через технологию двойного конверта, так и голосование без принуждения благодаря возможности изменить голос.
9. Риски «повестки через Действие»
Замечания:
Риск стать жертвой сомнительных и противоправных действий с стороны государства или третьих лиц через внедрение и легитимизацию автоматического гарантированного сообщения. граждан о «предупреждении», «повестку», «вызов в суд» и подобные действия. Это также неоднократно озвученная цель Минцифры, которая может быть реализована и добавит гражданам проблем. Представим ситуацию, когда по каким-либо причинам гражданин не пользуется, или больше не пользуется приложением Действие, на которое приходит уведомление о вызове в суд по иску о собственности гражданина. Юридически, отправленное такое сообщение является признаком фактического сообщения. А следовательно, непоявление гражданина в суде, или несвоевременное представление запроса о переносе судебного заседания по любой причине дает возможность (государству, мошенникам, «черным регистраторам» и т. п.) манипуляций в&nbn ;польза гражданина.
Ответ:
Да, действительно, государство Украина сегодня использует значительные бюджетные ресурсы на юридическое значимое сообщение граждан о различных важных действиях, в частности, вызов в суд. /p>
Реализация гарантированного электронного сообщения возможна только при условии предоставления сознательного подтверждения от пользователя.
Уверены, что если гражданин не скрывается от суда или военного комата, то он максимально заинтересован в получении таких сообщений как можно скорее и доступнее.
10. Риски отсутствия доступа к Интернет приложению Действие
Примечание:
Согласно заявлениям разработчиков приложения Действие, приложение не сохраняет электронные документы граждан, при этом изображение с данными документа хранятся в смартфоне.
Но легитимность их отображения в смартфоне можно проверить только при наличии доступа к Интернету. Недавние события в Казахстане (когда во время протестов власти выключали доступ в Интернет) показали, что похожая ситуация вполне может произойти при определенных условиях и в Украине. В продолжительном отсутствии доступа к Интернет, документы в Действии станут лишь нелегитимными картинками в смартфоне. Аналогичная ситуация актуальна в некоторых районах Украины, где сейчас отсутствует или нестабильный доступ к Интернету.
В таких условиях возникает необходимость всегда носить с собой бумажные или пластиковые документы, что подвергает сомнению целесообразность установки и использования приложения.
Действие является централизованной системой (частью которой является мобильное приложение Действие), и в случае отказа одного из элементов останавливается вся система. Мы уже были свидетелями многочисленных отказов в обслуживании сервисов Действия. Следовательно, на работоспособность такого важного приложения можно легко повлиять через локальное (глушилки), или глобальное отключение доступа к Интернету для пользователей. , е-документы должны быть самодостаточными.
Ответ:
Относительно утверждений авторов «в время длительного отсутствия доступа к Интернет» и «недавние события в Казахстане», то в в таком случае будет остановлено предоставление государственных услуг в целом, в т. ч. через ЦНАП, которые также работают с государственными реестрами через сеть Интернет. Такие события, как и отключения электроэнергии, имеют статус чрезвычайных и влияют на все аспекты жизни граждан, а не только сервисы Действия. Очевидно, что доступность электронных сервисов ;цифровыми навыками. И эти две задачи среди базовых целей Минцифры.
В последние 2-х года благодаря активной деятельности Минцифры значительно ускорились темпы покрытия территории Украины скоростным мобильным Интернет 4G. Доступ к такой технологии впервые получили более 3,2 млн украинцев в 9,6 тыс. населенных пунктов, а различные цифровые курсы прошли более 1 млн граждан. ООН определило интернет базовым правом граждан.
11. Не все граждане имеют возможность пользоваться приложением Действие
Замечания:
Для использования Действия необходим современный смартфон, но не все граждане Украины имеют возможность его приобрести. Это реальная проблема из-за принудительного ограничения предоставления определенных функций исключительно через приложение (например, сертификатов о вакцинации).Некоторым людям (особенно старшего возраста) трудно вводить пин-коды, поэтому для них их родственники либо все пин-коды снимают, либо ставят коды типа 1111. Действие с простым пин-кодом— это очень опасно. Разработчики не имеют возможности контролировать насколько эффективно пользователь защитил свой смартфон, и полагаются на высокий уровень осведомленности о правилах персональной кибербезопасности владельца/пользователя смартфона.
Надлежащее пользование цифровыми документами, удостоверяющими личность, предполагает наличие многих навыков, которые совершенно неочевидны для многих граждан, особенно старших возрастных категорий. Минцифры не предлагает ни официального руководства для пользователей, ни официальных рекомендаций, которые содержали исчерпывающие руководящие указания для всех без исключения критических аспектов пользования цифровыми паспортами и применением Действие.
Модель предоставления государственных электронных услуг в Приложение Действие либо искусственно лишает таких граждан возможностей получать государственные цифровые услуги, либо подвергает их риску, для управления которыми не является; предлагает надлежащие инструменты.
Ответ:
Как уже было отмечено в пунктах 10, электронные услуги имеют определенные ограничения, и это очевидно. Как и предыдущие, это замечания не к действиям, а к услугам в целом. Вместе с тем, ежегодно в Украине уровни проникновения смартфонов, цифровой грамотности и скоростного интернета стремительно растут.
Электронные услуги являются более современной и эффективной офлайновой альтернативой. Очевидно, что большинство пожилых людей будут использовать офлайновые документы еще долго, как и посещать ЦНАП. Это их право. И мы ежедневно работаем над расширением сети ЦНАП, их стандартизацией и улучшением качества офлайн-услуг.
Вместе с тем, цифровые технологии открывают много новых преимуществ для граждан. И мы стремимся обеспечить уровни цифровые права. Так, в этом году заработает обширная президентская программа есть Smartphone, которая имеет целью обеспечить пожилых людей смартфонами и предоставить соответствующие базовые цифровые навыки.
12. Чрезмерная централизация системы и агрегация полномочий
Замечания:
Сосредоточение сверхбольших прав у администраторов Действия и отсутствие системы мониторинга и предохранителей их работы приводит к появлению огромного искушения для таких администраторов, которые могут задать определенное поощрение и представить их. информацию в пользу третих лиц, или предоставить собственный административный доступ третьим лицам.
Обеспокоенность вызывает также возможная чрезмерная агрегация полномочий.
Инциденты последнего времени, такие как, например, как уязвимость Log4Shell, и более известные виды атак (например SQL Injection) могут также быть использованы с уровня администраторов Действия и привести к повреждению или другому влиянию на реестра персональных лиц. Например, существует вероятность существования возможности создания запроса к любого подключенного реестра, который внесет изменения или даже приведет к потерям данных или даже их уничтожению, поскольку выполнен он будет с правами администраторов Действия.
По результатам взлома большого количества государственных сайтов скомпрометированными оказались не только базы данных и программный код портала Действие, но и частные ключи SSL сертификатов к доменам государственных сайтов. Это те же сертификаты, которые защищают ваше соединение с сайтом. Но даже после возобновления работы этих ресурсов в течение десяти дней никто не позаботился перевыпустить SSL сертификаты. Такая поразительная некомпетентность ставит под риск дальнейшей утечки особо чувствительных аутентификационных данных пользователей (логинов и паролей).
Ответ:
Описание этого пункта свидетельствует об абсолютном непонимании авторами правил работы государственных реестров. Утверждение о доступе администраторов Действия к государственным реестрам настолько некомпетентно, что подвергает сомнению любой намек на экспертное восприятие этого документа.
Внесение данных в базовые государственные реестры происходит соответствующими должностными лицами с обязательным применением квалифицированной электронной подписи. То есть регистраторы вещных прав регистрируют право собственности граждан, работники миграционной службы производят соответствующие записи о паспортах и так далее. Такие права и перечень лиц очень жестко регламентирован каждым органом, и, конечно, никакие администраторы действия не могут иметь такой доступ даже теоретически.
Электронное взаимодействие Действия с реестрами происходит через систему «Трембита» с соблюдением единых стандартов и протоколов, правил шифрования и авторизации и т.п. ;дальнейшим отображением этих данных в Действия. Без каких-либо прав на доступ, запись, модификацию.
Итак, этот пункт является результатом полной некомпетентности авторов.
13. Отсутствие правил пользования приложением и механизма контроля за соблюдением этих правил
Примечание:
Минцифры; предусматривает возложение значительного количества рисков использования приложения Действие на его пользователей. В смартфоне пользователя хранятся все его е-документы, удостоверяющие личность, которые Согласно Закону Украины приравнены к бумажным/пластиковым. ;по безопасному доступу к нему, правила кибер-гигиены при пользовании смартфоном, потенциальные риски компрометации и т.д.
Ответ:
Правила использования приложения и цифровых документов не отличаются от общих правил обращения со смартфоном и бумажными документами соответственно.
Вы не будете свой смартфон или паспорт давать незнакомцу? А называть ему пин-код от телефона или мобильного банкинга? А диктовать номер и код банковской карты? Опять же обращаем внимание, что использование паспорта без владельца невозможно! >
14. Игнорирование действующего законодательного регулирования по созданию программных продуктов
Замечания:
Для функционирования приложения Действие почти отсутствует законодательное регулирование.
Формально электронные документы приравнены к официальным нечетким фразами в Законе Украины «О внесении изменений в Закон Закона Украины «О Едином государственном демографическом реестре и документы, подтверждающие гражданство Украины, удостоверяющие личность или ее специальный статус»:
«е-паспорт — паспорт гражданина Украины в форме электронного отображения информации, содержащейся в паспорте гражданина Украины.
Но в любом Законе Украины не определены технические и технологические параметры таких е-документов, требования к процессу разработки приложения и его эксплуатации, приемлемые технологии и их согласованность, возможности независимого (в том числе привязка к существующим международным стандартам и многое другое.
Также законодательно не определены требования к безопасности Действия: допустимые подходы и практики, стадии контроля и тестирования, ;периодичность независимых оценок защищенности и др.
На практике, разработка и модернизация приложения Действие происходит согласно внутренним документам Минцифры, публичный доступ к которым или не предоставляется, или ограничен грифом секретности для служебного пользования. Также следует отметить, что создание программных продуктов на заказ государственных органов регулируется Постановлением 869 «Об утверждении общих требований к программным продуктам, которые закупаются и создаются на заказ государственных органов» от 12 августа 2009. Но в случае разработки приложения Действие большинство из данных требований просто проигнорировано.
Законодательная неопределенность уже стала основанием для уголовного преследования нескольких граждан, которые создавали приложения визуально похожие на приложение Действие, но не совершили никаких вмешательств в ИТ инфраструктуру государства. И хотя их деятельность сомнительна по этическим вопросам, с точки зрения закона они не совершили преступление. Фактически, Минцифры своими действиями спровоцировали появление такой активности.
Ответ:
Описание пункта снова совершенно не соответствует действительности. Базовые нормы функционирования мобильного приложения Действия определены Законом Украины «Об административных услугах» и Постановлением КМУ «Вопрос Единого государственного вебпортала электронных услуг и Реестра административных услуг».
Что касается требований к защите, то Действие, как и любая другая государственная информационная система, подпадает под действие Закона Украины «О защите информации в информационно-коммуникационных системах» и купу подзаконных нормативно-правовых актов. Все эти нормы и требования четко выполняются.
Каждая функция и сервис в Действия четко регламентированы специальными законами, постановлениями и приказами, которых десятки и они доступны публично.
Например, Постановления КМУ «О реализации экспериментального проекта по использованию удаленной квалифицированной электронной подписи» (Действие.Подпись) или «Об утверждении Порядка проведения опроса об инициативах, направленных на решение вопросов государственного управления в различных сферах общественной жизни, на Едином государственном вебпортале электронных услуг» и так с каждой функции/сервиса.
Что касается примера авторов о цифровом паспорте, то вново ж Постановление КМУ «Об утверждении Порядка формирования и проверки е-паспорта и е-паспорта для выезда за граница, их электронные копии» четко нормирует все порядки и процедуры использования такого документа.
Относительно указанного кейса с «подделкой» Действия, то киберполицией четко определены соответствующие полы в зависимости от типа правонарушения.
15. Создание искусственной монополии приложения Действие
Примечание:
Пользоваться Действием граждан Украины принуждают, не оставляя им альтернатив.
Да, сертификаты вакцинации долгое время можно было получить исключительно через приложение Действие, хотя альтернативное техническое решение было готово к запуску за несколько месяцев до запуску такого решения в Действия.Заявления на получение 8000 грн. компенсации для ФЛП в связи с карантинными ограничительными мерами и Ководной. 1000 грн. — также можно было сделать только через Действие.
Таким образом создается искусственная монополия, цель которой — привлечь к использование Действия как можно больше пользователей.
Ответ:
Утверждение «Сертификаты вакцинации долгое время можно было получить исключительно через приложение Действие», конечно, вызывает удивление и улыбку. Мы в рекордные сроки разработали цифровой ководный сертификат (именно благодаря существованию Действия) и прошли аудит ЕС, а Украина первой среди третьих стран присоединилась к доверительной сети ЕС.
20 августа 2021 года цифровые сертификаты стали доступными для украинцев в мобильном приложении, а в месяц такой сервис стал доступным и на портале. Также обращаем внимание, что цифровой ководный сертификат является требованием ЕС. В Украине для внутреннего пользования с первого дня действовало бумажное свидетельство об иммунизации.
По поводу «заявления на получение 8000 грн. компенсации для ФЛП, то, во-первых, такой сервис работал и на портале Действие без необходимости применения КЭП, а, во-вторых, более 90% ФЛП подают отчетность онлайн.
Что касается программы Поддержка, то она будет действовать год и инструменты будут постоянно расширяться. За первый месяц программой воспользовалось более 8 млн украинцев. Это абсолютно уникальный показатель, который свидетельствует о доступности и удобстве услуги.
Нужно понимать, что запуск таких программ благодаря Действию происходил за несколько недель, а развертывание таких программ офлайн и  ;пандемию, когда желательно ограничить личные контакты, особенно для пожилых людей, занимал бы очень много времени и потребовал бы безумных финансовых ресурсов на организацию сети.
16. Отсутствие в публичном доступе документации на приложение Действие
Примечание:
На электронный продукт — приложение Действие — отсутствует документация: инструкция пользователя, общее и техническое описание приложения, описание его структуры и функций, модели функционирования, примененных технологий, инфраструктуры, схемы каналов передачи данных, правил пользования приложением, гарантийные обязательства производителя, соответствие требованиям по защите персональных данных, и т.д.
Несмотря на многочисленные попытки специалистов и журналистов получить эти документы от Минцифры, подобные запросы либо игнорируются, либо предоставляются заведомо поврежденные данные без возможности их воспроизведения. Зафиксирован случай заявления министерства, что как бы эта информация является информацией с ограниченным доступом с грифом ДСК, хотя продукт является публичным и свободно распространяется. Ответ:
Действие имеется вся документация, которая предусмотрена действующим законодательством Украины. И соответствующие органы и экспертные организации получали доступ к такой документации в пределах полномочий.
Техническая документация на комплексные системы защиты информации информационно-телекоммуникационных систем Единого государственного портала электронных услуг (портал Действия) и Единый государственный портал электронных услуг отнесен к документам, содержащим информацию с ограниченным доступом (служебная информация).
17. Отсутствие публичного доступа к исходному коду приложения Действие
Примечание:
Разработчики приложения Действие не публикует исходный код своего продукта.
Согласно существующим международным практикам, исходный код публикуют, прежде всего, для подтверждения отсутствия скрытых программных функций продукта.
/p>
Такими функциями могут быть следующие: функция отслеживания пользователя, сбора данных о модели его смартфона, операционной системе, дне, времени и геолокации, пользование определенными функциями приложения, взаимодействия с другими приложениями, приложениями, использование мессенджеров, посещение определенных Интернет-страниц, произвольное считывание информации из файловой системы и подобные скрытые функции.
Также исходный коды мог бы заверить наличие или отсутствие возможности загружать обновления, которые бы содержащие функции слежения за пользователями.
Ответ:
Возможность реализации перечисленных скрытых функций являются фантазиями авторов, свидетельствующих о полном непонимании правил проверки и публикаций Google и Apple государственного приложения. Еще раз напоминаем, что каждая функция проверяется как технически, так и юридически! нет на доступ к хранилищам и т.п., это невозможно даже теоретически!
Вместе с тем, понимая важность открытия исходного кода для обеспечения прозрачности, Минцифра на 2022 год запланировала соответствующие финансовые и организационные ресурсы.
18. Отсутствие информации о внешних независимых аудитах безопасности приложения Действие
Примечание:
Разработчики приложения Действие скрывают сведения о независимом внешнем аудите (оценке) безопасности своего продукта.
Согласно  ;существующими международными практиками, тестировать продукт должны специалисты, которые не имели и не имеют отношения к его разработке, чем исключается возможный конфликт интересов.
Чтобы убедить пользователей приложения в надежности его безопасности, обычно публикуется общеописательная часть подобного независимого отчета, где указывается кто именно проводил тестирование (название компании, фамилии исполнителей), когда проводилось тестирование на безопасность, какими инструментами и согласно каких методологий. Как правило, максимально беспристрастными и профессиональными могут считаться известные международные компании с безупречной репутацией и высоким уровнем доверия в профессиональной среде.
Непредоставление подобных отчетов может свидетельствовать об отсутствии проведения тестирований (оценок) безопасности приложения Действие или не соблюдение требований к исполнителям относительно их независимости и профессионализма, или об отрицательных выводах и большом количестве критических замечаний. Ответ:
Во-первых, проведение аудитов кибербезопасности или даже багбаунти в Украине вообще было вне закона. Минцифра впервые урегулировала эти вопросы в соответствующем экспериментальном постановлении КМУ для возможности проведения таких действий в принципе.
Во-вторых, Минцифра провела уже две программы багбаунти, которые не нашли ни одной критической уязвимости.
В-третьих, сейчас мы инициируем изменения в Уголовный кодекс (статья 361) относительно несанкционированного доступа для возможности широкого применения современных подходов к тестированию и аудиту государственных систем нравственными хакерами.
В-четвертых, с целью недопущения бюджетных нарушений и проведения дополнительных аудитов безопасности Действия Минцифра по средствам и поддержке международных проектов технической помощи от USAID и ЕС провели два независимых аудита известными украинскими. Эти аудиты также не выявили критических уязвимостей.
19. Сомнительность объективности проведения государственной экспертизы приложения Действие
Замечания:
Любой государственный информационный ресурс, которым бесспорно является приложение Действие, должен пройти государственную экспертизу и получить положительный экспертный вывод о создании и реализации Комплексной системы защиты информации (КСЗИ).
Министр Федоров неоднократно вводил в заблуждение общественность относительно существования такого вывода на КСИИ, а на запросы граждан о получении его копии mdash; предоставлялись заведомо нечитаемые документы.
Несмотря на наличие очевидного конфликта интересов (вывод на КСЗИ подписывает Председатель Госспецсвязи, которого назначает Кабинет министров Украины в лице курирующего вице-премьер министра Федорова) и ожидаемой необходимости В настоящее время он не доступен для общественности, хотя не является и не может быть документом с ограниченным доступом. Ответ:
Описание этого пункта окончательно ставит точку в неэкспертности авторов.
Во-первых, аттестат соответствия КСЗИ публичен и его элементарно получить поисковым запросом в Google. Учитывая утверждение авторов «Минцифры продолжает скрывать аттестат соответствия КСЗИ», обращаемся к журналистам с просьбой предоставить цифровую помощь авторам в поиске этого документа через Google. Действие получило 2 аттестата, и все они публично доступны. Поэтому обвинение министра во лжи является очередным. ложью авторов.
Во-вторых, аттестат соответствия подписывает не глава ГССЗЗИ, а экспертная организация — лицензиат, осуществлявшей экспертизу. Фууух. Еще много пунктов-фейков?!
20. Неудовлетворительный уровень коммуникации разработчиков приложения Действие с пользователями и ИТ-специалистами
Замечания:
Техническая поддержка приложения Действие находится на низком уровне: с ней трудно контактировать, а&n и в большинстве случаев остаются без должного внимания.
При этом средняя зарплата в Государственном предприятии Действие, которое и разрабатывает одноименный продукт, составляет 47 211 грн. Это приблизительно соответствует среднему уровню зарплат в коммерческих ИТ-компаниях.
Ответ:
Если речь идет об этих замечаниях, то они действительно являются совокупностью некомпетентности и манипуляции, что может свидетельствовать об их заказном характере.
Из пункта так и не понятно, кто с кем не&общается?! Бо служба поддержки и разработчики — это очень разные команды, но авторам, похоже, это неизвестно.
21. Возможность неограниченного клонирования документов в приложении Действие
Замечания:
Традиционно государство не позволяет существование даже одной копии бумажного/пластикового документа, удостоверяющего личность, в первую очередь паспорта. Причем подделка документов относится к серьезным уголовным преступлениям (статья 358. Подделка документов, печатей, штампов и бланков, сбыт или использование поддельных документов, печатей, штампов).
В случае с цифровыми паспортами государство позволяете одновременное сосуществование идентичных экземпляров на различных устройствах, т.е. их копирование/клонирование. >
Сколько экземпляров е-паспорта могут существовать одновременно: пять, десять, сто, тысяча?
Где само зафиксирована норма по количеству экземпляров, в каком именно документе Минцифры?
Почему в случае е-документов отказались от принципа личного присутствия, как это сделано, например в Эстонии, на который регулярно ссылается Минцифры? Традиционные бумажные документы выдаются исключительно при личном присутствии человека, чье лицо удостоверяют. Это позволяет реализовать ответственность должностного лица, которые эти документы выдает.
Предусмотрена ли персональная ответственность работников разработчика в случае завладения чужим е-паспортом?
Ответ:
Приведем базовый общемировой принцип электронных документов, который изложен, в т .ч., в Законе Украины «Электронные документы и электронный документооборот»:
«В нескольким адресатам или его хранение на нескольких электронных носителях информации каждый из электронных экземпляров считается оригиналом электронного документа.
Многие граждане имеют не одно устройство — телефон + смартфон или несколько смартфонов, и соответственно они могут на каждом из устройств пройти электронную идентификацию и получить доступ к функциям и сервисам Действия. Это точно нельзя назвать клонированием.
И главное, что следует понимать, — использование бумажного, пластикового, цифрового паспорта невозможно без владельца!!!
Действия — 2 года: 14 млн украинцев, более 9,4 млн цифровых загранпаспортов, свыше 3,4 млн цифровых внутренних паспортов, более 1,5 года успешного эксперимента с цифровыми паспортами на уровне и постановлениях Закона, 40 тыс. шерингов паспортов ежедневно против 5 или 6 фейков от авторов — этого всего достаточно для уверенного утверждения о безопасности и надежности Действия и цифровых документов.
22. Непрозрачность порядка использовать приложение Действие другими организациями.
Замечания:
Минцифры запретили использование цифровых паспортов МФО (микро-кредитные организации) из-за единственного задокументированного случая злоупотребления. При этом никаким регуляторным актом не определено: при каких условиях этот запрет будет отменен и какие в целом критерии его применения в других случаях (например, почтовыми компаниями). Ответ:
Интеграция организаций с Действием происходит в рамках конкретно действующего законодательства по соответствующему сервису и на основании договорных условий. как администратор системы имеет право отключать такую организацию.
Также обращаем внимание, что авторы далеко не полностью осветили возможные угрозы для Действия. Мы не обнаружили в перечне падения кометы, инопланетное вторжение, захват работами и многие другие прямые угрозы существования Действия).