Як повідомляла НСН, в Україні запустили мобільний додаток «Дія». Наразі його вже завантажили більше мільйона українців. Розробники запевняють, що додаток безпечний, втім фахівець з інформаційної безпеки Костянтин Корсун вважає, для того, щоб назвати додаток безпечним, треба це спочатку довести, про це інформує depo.uа.
«Розробники заявляють, що додаток безпечний, але це голослівне твердження, яке потребує певних доказів. Треба назвати, які заходи безпеки було вжито, як це перевірялося, хто, які компанії чи люди, назвати прізвища. Також чув певні відгуки професійної спільноти, що є підозри — з кодом додатку і самою архітектурою є проблеми», – розповідає Корсун.
Коли розробляються додатки, пояснює експерт, то перед релізом вони надаються незалежній спеціалізованій компанії на тестування на предмет безпеки. Потім усуваються недоліки, здійснюється повторне тестування, знову усуваються недоліки, і після цього вже має відбутися повноцінний реліз. Або ж не відбутися, якщо є великі проблеми з безпекою.
«Мені здається, що цим розробники «Дії» не заморочувались, тому я вважаю, що безпечним вважати цей додаток поки не можна. Головна проблема — абсолютна більшість розробників спочатку пишуть додаток, а потім «натягують» на нього безпеку. А має бути навпаки, щоб безпека враховувалась вже під час проєктування, архітектури і розробки самого додатку, на кожному етапі», — каже Корсун.
Натомість, він зазначає, що якщо «натягнути» безпеку на вже готовий додаток, то коректно це не працюватиме і розробники будуть змушені постійно латати дірки у системі.
«Я не певен, як скоро, але проблеми з безпекою безумовно вилізуть. Можливо це станеться пізніше, бо з програмним забезпеченням «M.E.Doc» було все гаразд кілька років, аж поки не вибухнуло так, що третина економіки України не працювала кілька місяців (атака вірусом Not.Petya у 2017 році, – ред.). У них там не було ніякої безпеки і розуміння, всі думали, що все нормально працює і нічого не відбувається. А потім бабах — і все відбулось. Так само може бути і тут», — зауважив експерт.
Читайте ще: В Україні запустили сервіс електронних квитанцій: як це працює
Міністр цифрової трансформації України Михайло Федорів у своїй колонці переконує, що захист персональних даних у мобільному застосунку «Дія» виконаний за кращими практиками безпеки для рішень такого типу, використано підхід «глибокого захисту» (defense-in-depth).
«Крім того, разом з IT-фахівцями EPAM ми серйозно підійшли до тестування нашого застосунку. Зокрема, провели так звані пен-тести, тобто тестування безпеки програми. По суті ми спробували, в тому числі — з залученням зовнішніх ІТ-фахівців, «хакнути» «Дію», щоб виявити всі вразливі місця. Це дозволяє мені сказати, що «Дія» на сьогоднішній день є достатньо захищеним застосунком», — зазначив він.
Загалом, користуватися додатком «Дія» чи ні — кожен обере сам, адже якщо у систему проникнуть зловмисники, наслідки можуть бути масштабні. Водночас, цілі у розробників амбітні, тож якщо додаток виявиться достатньо захищеним — це буде справжній цифровий прорив.
Додаток розробили за кошти міжнародних організацій-донорів, також у його створенні на волонтерських засадах взяли участь деякі українські ІТ-компанії. На сайті сервісу зазначається, що зберігати свої дані тут цілком безпечно, бо «Дія» — добре захищена платформа.
«Вона розташована в надійному дата-центрі та відповідає світовим стандартам захисту від кіберзагроз. Крім того, «Дія» зберігає мінімум інформації про своїх користувачів. Усі дані ми передаємо й зберігаємо виключно у шифрованому вигляді, а для частини критичних даних використовуємо блокчейн-технологію розподіленого зберігання даних. Нічого кращого у світі поки не придумали», — переконують засновники.
У додатку вже можна завантажити цифрові водійські права та техпаспорт, до кінця року влада обіцяє оцифрувати ще 50 найпопулярніших послуг. У тестовому режимі створили кабінет забудовника, де алгоритм вирішуватиме: давати ліцензію на будівництво, чи ні. Зовсім скоро українці також отримають доступ до внутрішніх та закордонних цифрових паспортів. Також у планах влади можливість голосувати на виборах прямо через смартфон.