Почему "протекают" госреестры и как сделать цифровые выборы безопасными

Нещодавно один із телеграм-ботів почав продавати дані водійських посвідчень українців. Раніше почали збувати й інші персональні дані, як-от паролі від соцмереж ВКонтакте та LinkedIn чи інформацію з біометричного паспорту, "Нової пошти" та Приватбанку до його націоналізації.

 "Дія" не зливає дані

В інформпросторі поширили фейк про нібито злам застосунку Мінцифри "Дія". Адже з лютого 2020 року водії могли тут отримати цифрове посвідчення. Проте у кіберполіції не виявили кібератак на застосунок чи його кібервразливості. 

Натомість встановили, що це копії частин різних наборів даних, зокрема і відкритої інформації з реєстрів. Також поліцейські визначили, що дані – більш ніж річної давності. Хоча один користувач  знайшов у боті інформацію про зміну паспорту на ID-картку в квітні 2020 року.

У Державному бюро розслідувань повідомили про можливість причетності до витоку інформації чиновників Головного сервісного центру МВС України та Державної міграційної служби.

У Мінцифри також пояснили, що застосунок "Дія" не зберігає дані у себе, тому і втратити їх не міг. Наприклад, у випадку з цифровим посвідченням водія, застосунок надсилає запит до Єдиної інформаційної системи (ЄІС) МВС, щоб отримати вам на мобільний телефон документ. 

Читайте також: Застосунок "Дія": захист персональних даних і безпека

Так, застосунок нічого собі не викачує. Дата та час запиту до системи МВС фіксується. А інформація передається у зашифрованому вигляді, а на деяких етапах її отримання застосовують подвійне шифрування.

Окрім того, телеграм-бот повідомив про наявність даних 26 мільйонів посвідчень, тоді як в Україні їх 9,5 мільйонів, із них 6,5 – відображаються в "Дії", повідомляють у Мінцифрі. Це може свідчити про велику кількість старих та недійсних документів.

Цей інцидент далеко не перший, коли персональні дані українців із державних реєстрів потрапляють у загальний доступ. Водночас вже восени планують протестувати перші в Україні цифрові вибори. Ключовою для визнання демократичності виборів є довіра до їхніх результатів, тому важливо дуже добре до них підготуватись і посилити цифрову безпеку. Але про все по черзі.

"Діряві" держреєстри, Bug Bounty та самоізоляція

Наразі в Україні близько 340-350 державних реєстрів. Близько 200 з них містять персональні дані. Кожне відомство створювало їх як хотіло і збирало персональні дані, які хотіло. 

Тільки нещодавно, наприклад, в Україну повернули реєстр Державний архітектурно-будівельної інспекції  (ДАБІ). До цього реєстр фізично знаходився в Європі. Приблизно кожен третій-четвертий реєстр не має сертифікату захисту інформації. Цей сертифікат надає Держспецзв'язок після впровадження комплексної системи захисту інформації (КСЗІ) та її аудиту.

Проте навіть ті компанії та реєстри, які мають атестат КСЗІ, потребують кращого захисту. Волонтери "Українського кіберальянсу" знайшли вразливі місця у провайдерів із такими сертифікатами. Вони змогли отримати креслення атомних електростанцій та документацію "Укрзалізниці", до прикладу.

Для цього волонтери зламали їхні системи. Проте вони не хотіли отримати конфіденційну інформацію, змінити дані чи провернути шахрайську схему. Їх ціллю було виявити вразливі місця, які пізніше слід виправити. Таких людей називають "білі" або етичні хакери. Вони розробляють пентести (penetration tests) для перевірки можливості проникнення в ІТ-системи.

За таку діяльність в законодавстві передбачена кримінальна відповідальність, тому для уникнення такої ситуації "білим" хакерам варто укладати контракти попередньо або брати участь у програмах Bug Bounty. Через ініціативу Bug Bounty шукали прогалини в системі електронних державних та публічних закупівель  "Prozorro". Тоді представники "Prozorro" відібрали етичних хакерів і платили їм за кожну знайдену вразливість.

А IT-фахівці компанії EPAM проводили пентести застосунку "Дія". "Щомісяця ми долучаємо фахівців, які сканують "Дію" і намагаються нам дати нові рекомендації щодо її захисту", – додають у Мінцифри.

Чому ж КСЗІ є неефективною? По-перше, об’єктом захисту є окрема система, а не організація в цілому. У такий спосіб одна організація змушена отримувати сертифікат на кожну систему. А ефективність реагування на інциденти ніяк не оцінюється. Водночас, ця система  негнучка. Для внесення змін до архітектури потрібно знову переробляти документацію. А реагування на кіберінциденти вимагає швидких рішень.

У Мінцифри повідомили нас, що наразі проходить обговорення законопроєкту "Про безпеку інформації та інформаційно-комунікаційних систем," який розробив Держспезв’язок у березні. Він має впровадити ризикорієнтований підхід до інформаційної безпеки, а також реєстр суб’єктів, що здійснюють діяльність у сфері захисту інформації.

Наразі в Україні передбачена кримінальна відповідальність за злам системи чи злив даних чиновниками. Проте знайти винного нелегко. "Візьмемо до прикладу реєстр власників транспортних засобів. Його адміністратором є МВС, але обмеження того, які саме працівники Нацполіції мають до нього доступ, немає. Водночас при вході у реєстр вони не ідентифікуються, тому не можна відслідкувати, яку саме інформацію про цю людину чи транспортний засіб цей працівник дивився", – зазначає юристка Лабораторії цифрової безпеки Віта Володовська.

Тому, наприклад, виникають питання до застосунку "Дій вдома", який встановлюють люди для проходження самоізоляції. Вони періодично отримують повідомлення, після якого мають зробити фото обличчя. Також перевіряють їхню геолокацію, щоб впевнитись, що вони не виходять з дому. У застосунку авторизовано майже 28 тисяч осіб станом на 4 травня. При цьому зареєстровано понад 16 тисяч порушень. Проте кількість запитів від МВС до Мінцифри значно вища за ці показники – понад 144 тисячі. Це викликає запитання, хто та яку інформацію отримує.

"Якщо людина насправді не порушила режим, а просто, наприклад, не встигла завантажити фото, то за це її не притягнуть до відповідальності. Саме тому кількість зареєстрованих порушень значно менша", – пояснюють таку різницю у Мінцифрі.

Як посилити цифрову безпеку та чому це може зменшити черги на кордоні

Задля посилення захисту персональних даних представники громадянського суспільства наполягають на впровадженні Загального регламенту ЄС про захист даних (General Data Protection Regulation – GDPR). Це зобов’язання Україна взяла на себе у Плані заходів з виконання Угоди про асоціацію. Серед іншого цей регламент передбачає створення спеціального незалежного наглядового органу із захисту персональних даних. Наразі за захист персональних даних відповідає Уповноважений Верховної Ради з прав людини.

Водночас нова незалежна інституція має мати право накладати штрафи. У Франції такий орган оштрафував Google на 50 мільйонів євро за те, що він недостатньо "чітко та зрозуміло" інформував користувачів про те, як їхні дані будуть використовуватись. В Україні наразі омбудсмен може звернутися до Нацполіції, але штрафи мінімальні. "Штрафи за адміністративні правопорушення в районі 1000 гривень і вони накладаються не на установу, а на чиновника, який відповідає за захист персональних даних", –  продовжує Володовська.

Посилить кібербезпеку й впровадження Директиви ЄС щодо мережевої та інформаційної безпеки (директива NIS). У контексті держави вона вимагає визначити, які  саме об’єкти вважати критичною інфраструктурою та процедуру їх аудиту.  

Впровадження європейський стандартів не лише посилить кібербезпеку та захист персональних даних, але й сприятиме європейській інтеграції. "Без впровадження міжнародних стандартів ми не можемо інтегрувати бази даних з європейськими, оскільки в ЄС остерігаються можливого "витоку", – зазначає Єгор Аушев, співзасновник компанії Haсken і Школи "білих" хакерів.

Така інтеграція не лише посилила би безпеку України через доступ до європейських баз даних зразків документів, відбитків пальців, пасажирів авіакомпаній чи Європолу. Можливість автоматизованого обміну даними із прикордонними та митними органами країн ЄС пришвидшила би процедуру перетину кордону та призвела би до зменшення черг.

Таким чином, Україні варто дозволити застосування міжнародних стандартів. "В усьому світі застосовують міжнародні стандарти, такі як ISO-2700X. Також у кожній сфері є свої ризики, тому є міжнародні стандарти кібербезпеки для кожної галузі: медицина, енергетика, банківська сфера тощо", – наводить приклади Аушев.   

Голосування у смартфоні вже цього року

Уже цієї осені під час місцевих виборів Мінцифра планує зробити тестовий цифровий округ, на якому можна буде проголосувати онлайн за допомогою додатку "Дія". Тому важливо впевнитись у його кібербезпеці. Саме у цій сфері, відповідно до зеленої книги Центру спільних дій, у стейкходерів виборчого процесу є найбільше сумнівів, що вплине і на довіру до результатів виборів.

Перше питання – це атестат комплексної системи захисту інформації (КСЗІ). Хоча його і критикують, це все ж краще, ніж нічого. Хмара дата-центру De Novo, де розміщені дані, має КСЗІ.  А під час їх передачі дані шифрують, подекуди застосовують подвійне шифрування. Водночас, сам застосунок такого атестату немає. "Дія" постійно розвивається, наповнюється новим функціоналом та можливостями. Через це ми не могли розпочати побудову КСЗІ", – пояснюють у Мінцифрі.

Також, як про це вже було сказано вище, застосунок постійно перевіряють на вразливість. У міністерстві також додають: "Державна служба спеціального зв'язку та захисту інформації провела тестування на проникнення мобільного застосунку "Дія", в результаті якого не виявлено загроз, які могли б призвести до зміни коректності роботи служб застосунку."

Друге питання – чи виходить трафік "Дії" за межі України. "Дія" загортає трафік з нашими персональними даними через сервери Amazon у Франкфурті. Трафік виходить за межі території, яку контролює Україна. Там він скоріше за все розшифровується, потім зашифровується знову і летить в Україну. Це стандартне рішення від DDoS-атак", – пояснює Костянтин Корсун, фахівець з інформаційної безпеки та директор Berezha Security.

При DDoS-атаці здійснюється велика кількість зовнішніх запитів, яка блокує доступ до сайту. Сервер не справляється з таким навантаженням. Тому переведення частини трафіку на потужні сервери Amazon дозволяє погасити атаку.

У "Дії" пояснюють, що інфраструктуру компанії Amazon залучають в єдиному місці – для захисту від атак розподіленого доступу (DDOS-атак).

Експерти з кібербезпеки не бачать загрози від такого рішення. "Якщо це робити грамотно, то це можна зробити безпечно", – каже голова ГО "Електронна демократія" Володимир Фльонц.

Проте для отримання атестату КСЗІ система електронних закупівель "ProZorro" раніше була змушена перенести дані із Amazon Web Service в Україну. Як і "Дія", вони обрали український дата-центр De Novo, який має атестат КСЗІ.

Ці фактори ніяк не компроментують застосунок, але показують потребу в ефективнішій комунікації із суспільством.

Водночас при організації цифрових виборів важливо врахувати нові виклики та ризики, які відсутні в процесі традиційного голосування. Це забезпечення передвиборчої агітації, кібербезпеки песональних даних та голосування. Окрім технічної складової, є ще і поведінкова.

"Дехто думатиме, що представники влади зможуть дізнатися, за кого людина голосує, а це може вплинути на результати голосування", – зазначає мій колега з Центру спільних дій Назар Заболотний.

Всі ці та інші фактори впливатимуть на легітимність результатів виборів, а отже, і обраної влади.

Руслан Мініч, для УП

Колонка – матеріал, який відображає винятково точку зору автора. Текст колонки не претендує на об'єктивність та всебічність висвітлення теми, яка у ній піднімається. Редакція "Української правди" не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія. Точка зору редакції УП може не збігатися з точкою зору автора колонки.