Проект «Государство в смартфоне» — одна из самых амбициозных программ нынешнего правительства Украины. Фото: JESHOOTS-com на Pixabay.

[Все ссылки в этой статье, кроме указанных, на украинском языке.]

Год назад правительство Украины запустило революционное приложение для мобильных устройств «Дия» («действие» по-украински), ключевой элемент предвыборного обещания президента Владимира Зеленского превратить государственные услуги в удобные и легкодоступные интернет-сервисы.

Мобильное приложение «Дия» — и соответствующий ему онлайн-портал электронных сервисов — позволяет гражданам оцифровать национальный паспорт и биометрический паспорт, индивидуальный налоговый номер, студенческий билет и другие документы, причём цифровые документы имеют такую же юридическую силу, как и бумажные оригиналы. В течение года Украина стала четвёртой европейской страной, где применяются цифровые водительские права, и первой страной в мире, где существуют цифровые паспорта.

С другой стороны, в прошлом году произошла крупная утечка данных [рус], которая породила обеспокоенность уровнем защиты личной информации пользователей. В мае 2020 года активисты обнаружили [рус], что анонимный чатбот на популярной платформе обмена сообщениями Telegram выставил на продажу примерно 900 ГБ личных данных граждан. Эти данные включали номера паспортов, индивидуальные налоговые номера, информацию о месте проживания, водительские права, пароли в соцсетях и даже банковские реквизиты миллионов украинцев.

Некоторые официальные лица обвиняли «Дию» в утечке данных из государственных реестров, а специалисты по безопасности напомнили, что Министерство цифровой трансформации всё ещё не обнародовало [рус] документацию по безопасности этого приложения. Журналисты и специалисты по безопасности смогли доказать, что часть данных получена из государственных реестров Украины, но не было обнаружено доказательств [рус] прямой причастности «Дии».

В годовщину запуска приложения «Дия» им пользуются более 6 миллионов человек. В то же время специалисты по ИТ и защитники цифровых прав продолжают призывать правительство учитывать все риски, присущие технологиям электронного правительства и цифровой идентификации, потому что они, вероятно, могут подорвать общественное доверие.

Оцифровка страны

Хотя идея цифровизации государственных услуг не нова [анг] для Украины, администрация Зеленского стала первой, сделавшей электронное правительство своей важнейшей задачей и учредившей отдельное министерство, полностью занятое только этой работой, — Министерство цифровой трансформации во главе с Михаилом Фёдоровым.

Амбициозная программа «Государство в смартфоне» [рус], впервые представленная весной 2019 года, предусматривала перевод всех государственных услуг в онлайн и предоставление всем гражданам средства цифровой идентификации. Позднее она была расширена и включила такие цели, как повышение цифровой грамотности населения, расширение инфраструктуры Интернета и создание благоприятных условий для развития сферы информационных технологий.

Если эта программа будет успешно выполнена, она поможет в борьбе с коррупцией за счёт минимизации вмешательства [анг] и управленческого произвола государственных чиновников, при этом позволив значительно сократить бюрократический аппарат.

Кроме этого министр Фёдоров с гордостью отметил, что на разработку приложения «Дия» не было потрачено ни одной гривны [рус] из госбюджета, потому что в авторский коллектив вошли [анг] 35 добровольцев из хорошо известной фирмы-разработчика программного обеспечения EPAM Systems [рус]. Потом они передали государству законченный продукт и соответствующее техническое ноу-хау.

Насколько в Украине защищены данные граждан?

В самом начале проекта министерство объявило, что «Дия» использует для авторизации пользователей технологию BankID нескольких крупнейших украинских банков, а также защищённый облачный сервер для передачи зашифрованных данных.

Но пока что опубликовано мало сведений о безопасности личных данных граждан в этом приложении, а специалисты по безопасности осторожно указывают, что о тестировании «Дии» на безопасность известно недостаточно.

Например, независимый аудит безопасности, видимо, не проводился, что вряд ли допустимо для технологии, которой миллионы граждан будут доверять свою личную информацию. Собственно, первая публичная программа премирования за уязвимости, обнаруженные в приложении, была запущена только в декабре 2020 года.

Утечки данных показали, что в Украине стандарты защиты данных на государственном уровне остаются неприемлемыми [рус], включая слабый правовой режим защиты данных, неудовлетворительное обеспечение исполнения законов, а также отсутствие надлежащих мер защиты внутри самих государственных учреждений. Поэтому синхронизация данных из различных государственных реестров в одном портале или приложении приведёт, вероятно, к повышенной уязвимости [рус] к внешним атакам.

Кроме этого, в декабре 2019 года правительство наделило Министерство внутренних дел [рус] полномочиями по верификации и агрегированию личной информации граждан из различных государственных реестров, предоставив правоприменительному органу доступ к данным из по меньшей мере пяти государственных реестров, включая базы данных, содержащие гражданскую и налоговую информацию, сведения о социальном страховании и состоянии здоровья, а также данные об избирателях. Вызывает тревогу то, что совместное использование данных должно было стать частью некоего «экспериментального» процесса c недостаточно проработанными правовыми механизмами защиты, гарантирующими право граждан на конфиденциальность информации.

Как показал анализ, проведённый защитниками цифровых прав из общественной организации «Лаборатория цифровой безопасности», по состоянию на август 2020 года МВД ещё не разработало методику подобной верификации, однако это не помешало ему получить доступ к огромному массиву личных данных граждан.

Вита Володовская, правозащитница из «Лаборатории цифровой безопасности», пришла к выводу:

Якщо у випадку із цифровими відображеннями документів у смартфоні, “експериментальний” доступ до інформації, здійснюється хоч і без повної відповідності принципу правової визначеності, але лише за згодою користувачів, то передача масивів персональних даних з державних реєстрів до МВС в рамках іншого експерименту, без згоди громадян та будь-якого незалежного контролю, суперечить вимогам чинного законодавства та Конституції України.

Если в случае с цифровым отображением документов в смартфоне «экспериментальный» доступ к информации производится хоть и без полного соответствия принципу правовой определенности, но только при согласии пользователей, то передача массивов персональных данных из государственных реестров в МВД в рамках другого эксперимента, без согласия граждан и без какого-либо независимого контроля, противоречит требованиям действующего законодательства и Конституции Украины.

Будущая судьба приложения будет, вероятно, зависеть от способности государства гарантировать, что информация о гражданах будет оцифровываться согласно самым строгим требованиям конфиденциальности, безопасности и прав человека.