Close button

Проблеми у "Дія": кібербезпека та захист даних

Проблеми у "Дія": кібербезпека та захист даних

Фраза «держава в смартфоні» для українців більше не порожній звук. У країні діє державний додаток онлайн-послуг «Дія». Крім масштабних планів з розвитку, вже впроваджені цілком конкретні функції, пише Наталия Миронова, The Page.

Попри цю «перемогу» користувачі скаржаться на дрібні баги. Що робити, якщо «Дія» не діє, наскільки швидко служба підтримки реагує на скарги і чи захищені дані українців у додатку.

Перемога цифровізації над папером

Одним з пунктів передвиборчої програми президента Володимира Зеленського стояв пункт про діджіталізаціі. У лютому 2020 року презентували додаток державних онлайн-послуг «Дія». Оновлення та можливості зарясніли одне за іншим: анонс запуску послуги «Статична QR», технологія NFC-авторизації, процес автоматичної реєстрації нових ФОП - неповний перелік того, чим займається команда програми і Мінцифри.

В кінці березня 2021 року Верховна Рада прийняла в другому читанні законопроект, який прирівнює цифрові паспорти у додатку «Дія» до паперових. Тобто документ у додатку - такий же документ, як пластиковий або паперовий.

Ще одним «каменем спотикання» для користувачів може стати їх смартфон і рівень його кібербезпеки.

Що робити, щоб «Дія» діяла?

У прес-службі розповіли, що дійсно, іноді користувачі скаржаться на те, що їх документи не підтягуються в додаток «Дія». Але така проблема найчастіше виникає через те, що користувач не оновив мобільний додаток до версії Дія 2.0.

Потрібно завантажувати додатки тільки з офіційних джерел - Apple Store, Play Market і Huawei AppGallery. Якщо програма не з цих джерел, то дані з реєстру не підтягнуться. Знайти посилання для звантаження можна на офіційному сайті «Дія»

Додатково не варто встановлювати програми, які розширювали б стандартні можливості смартфона або мали доступ до каталогу файлів, так звані «root-права».

Якщо ж самостійно проблему з додатком вирішити не вдалося, слід звернутися в службу підтримки. Вона готова допомогти у випадках, коли:

  • у користувача виникли питання про те, як користуватися цифровими документами або про умови оформлення послуг;
  • потрібно дізнатися про особливості відображення документів;
  • уточнити терміни обробки заявок на послуги;
  • можливі проблемні випадки.

«Зазвичай в месенджерах команда підтримки відповідає на питання протягом 5 хвилин, щоб допомогти консультацією», - обіцяють в «Дія» та додають, що деякі випадки можуть зайняти більше часу. Наприклад, якщо мова йде про перевірку разом з користувачем версії додатка, або коректності даних в банку, за якими дані з реєстрів підтягуються в додаток або на портал.

Кібербезпека

Всі особливості, про які попереджають користувачі, оперативно передаються команді для їх оперативного вирішення, повідомили в прес-службі. Нещодавно IT-ресурс ebanoe.it отримав анонімний лист, в якому розповідалося щодо «критичної уразливості» в «Дїя». Правда, мова йшла не про програму, а про одноразову веб-сайті - сторінку запрошення на публічний захід.

Коротко: на сторінці анонса були викладені у відкритий доступ паролі до репозиторіїв вихідного коду. За допомогою них можна було завантажити вихідний код.

«Ключовий момент у цій всій історії - ніякого злому не було, ніхто нічого не ламав. Люди просто ознайомилися з тим, що лежало на поверхні у відкритому доступі, і повідомили про це», - розповіли на ІТ-ресурсі.

Пізніше вразливість була закрита, а папка з вихідним кодом прихована.

«Зазначений інцидент не стосується ні мобільного застосування, ні веб-порталу "Дія". Інцидент стосується одноразового веб-сайту (лендинг-пейдж) для інформування та реєстрації на публічний захід «Презентація Дія City», яке відбулося 5 квітня 2021 року», - відзначили в «Дія».

У прес-службі «Дія» додали, що знайдений небайдужими представниками IT-спільноти «пароль до репозиторіїв вихідного коду» насправді є службовим токеном для інсталяції готових (скомпільованих) додатків. З використанням даного токена неможливо отримати або модифікувати вихідний код. Крім того, використання такого токена можливо лише в середині периметра захищеної інфраструктури, а доступ ззовні заблокований відповідним налаштуванням firewall.

«Тому зазначена вразливість не привела і не могла привести до витоку інформації з одноразового лендинг-пейджу, а тим більше з ресурсів «Дія», - повідомили в прес-службі і подякували активістам IT-спільноти за пильність і активну позицію.

Посилюють захист і самого додатка. У грудні 2020 роки команда Міністерства цифрової трансформації на платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID) провела тестування (багбаунті) на знаходження можливих помилок в «Дія» з призовим фондом в 1 млн грн.

«Це був челлендж для «етичних» хакерів з усього світу. Ідея - «зламати» копію програми та знайти уразливості в Дія 2.0. Етичні хакери з усього світу підтвердили надійність «Дія» під час проведення програми Bug Bounty. У додатку не виявили вразливостей, які б впливали на безпеку. Знайдено два технічних баги низького рівня, які відразу були виправлені», - додають у прес-службі.

Мобільний додаток отримав атестат відповідності Комплексної системи захисту інформації (КСЗІ) на мобільний додаток Дія 2.0. Ще «Дія» успішно пройшла 2 pen-тести «Дія» з партнерами USAID та Академією е-урядування Естонії.

Новини

Популярні теми форуму

analytics