Проблемы у "Дія": кибербезопасность и защита данных

Фраза «государство в смартфоне» для украинцев больше не пустой звук. В стране действует государственное приложение онлайн-услуг «Дія». Кроме масштабных планов по развитию, уже внедрены вполне конкретные функции, пишет Наталия Миронова, The Page.

Несмотря на эту «победу» пользователи жалуются на мелкие баги. Что делать, если «Дія» не действует, насколько быстро служба поддержки реагирует на жалобы и защищены ли данные украинцев в приложении.

Победа цифровизации над бумагой

Одним из пунктов предвыборной программы президента Владимира Зеленского стоял пункт о диджитализации. В феврале 2020 года было представлено приложение государственных онлайн-услуг «Дія». Обновления и возможности запестрели одно за другим: анонс запуска услуги «Статический QR», технология NFC-авторизации, процесс автоматической регистрации новых ФЛП – неполный перечень того, чем занимается команда программы и Минцифры.

В конце марта 2021 года Верховная Рада приняла во втором чтении законопроект, который приравнивает цифровые паспорта в приложении «Дія» к бумажным. То есть документ в приложении – такой же документ, как пластиковый или бумажный.

Еще одним «камнем преткновения» для пользователей может стать их смартфон и уровень его кибербезопасности.

Что делать, чтобы «Дія» действовала?

В пресс-службе рассказали, что действительно, иногда пользователи жалуются на то, что их документы не подтягиваются в приложение «Дія». Но такая проблема чаще всего возникает из-за того, что пользователь не обновил мобильное приложение до версии Дія 2.0.

Нужно загружать приложения только из официальных источников – Apple Store, Play Market и Huawei AppGallery. Если приложение не из этих источников, то данные с реестром не подтянутся. Найти ссылки для скачивания можно на официальном сайте «Дія»

Дополнительно не стоит устанавливать программы, которые расширяли б стандартные возможности смартфона или имели доступ к его файловой системе, так называемые «root-права».

Если же самостоятельно проблему с приложением решить не удалось, следует обратиться в службу поддержки. Она готова помочь в случаях, когда:

• у пользователя возникли вопросы о том, как пользоваться цифровыми документами или об условиях оформления услуг;
• нужно узнать об особенностях отображения документов;
• уточнить сроки обработки заявок на услуги;
• возможные проблемные случаи.

«Обычно в мессенджерах команда поддержки отвечает на вопросы в течение 5 минут, чтобы помочь консультацией», – обещают в «Дія» и добавляют, что некоторые случаи могут занять больше времени. Например, если речь идет о проверке вместе с пользователем версии приложения, или корректности данных в банке, по которым данные из реестров подтягиваются в приложение или на портал.

Кибербезопасность

Все особенности, о которых предупреждают пользователи, оперативно передаются команде для их оперативного решения, сообщили в пресс-службе. Недавно IT-ресурс ebanoe.it получил анонимное письмо, в котором рассказывалось о «критической уязвимости» в «Дїя». Правда, речь шла не о приложении, а об одноразовом веб-сайте – странице приглашения на публичное мероприятие.

Коротко: на странице анонса были выложены в открытый доступ пароли к репозиториям исходного кода. С помощью них можно было загрузить исходный код.

«Ключевой момент в этой всей истории – никакого взлома не было, никто ничего не ломал. Люди просто ознакомились с тем, что лежало на поверхности в открытом доступе, и сообщили об этом», – рассказали на ІТ-ресурсе.

Позже уязвимость была закрыта, а папка с исходным кодом скрыта.

«Указанный инцидент не касается ни мобильного приложения, ни веб-портала «Дія». Инцидент касается одноразового веб-сайта (лендинг-пейджа) для информирования и регистрации на публичное мероприятие «Презентация Дія City», которое состоялось 5 апреля 2021 года», – отметили в «Дія».

В пресс-службе «Дія» добавили, что найденный неравнодушными представителями IT-сообщества «пароль к репозиториям исходного кода» на самом деле является служебным токеном для инсталляции готовых (скомпилированных) приложений. С использованием данного токена невозможно получить или модифицировать исходный код. Кроме того, использование такого токена возможно лишь в середине периметра защищенной инфраструктуры, а доступ извне заблокирован соответствующей настройкой firewall.

«Поэтому указанная уязвимость не привела и не могла привести к утечке информации из одноразового лендинг-пейджа, а тем более из ресурсов «Дія», — сообщили в пресс-службе и поблагодарили активистов IT-сообщества за бдительность и активную позицию.

Усиливают защиту и самого приложения. В декабре 2020 года команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке агентства по международному развитию США (USAID) провела тестирование (багбаунти) на нахождение возможных ошибок в «Дія» с призовым фондом в 1 млн грн.

«Это был челлендж для «этических» хакеров со всего мира. Идея – «сломать» копию приложения и найти уязвимости в Дія 2.0. Этические хакеры со всего мира подтвердили надежность «Дія» во время проведения программы Bug Bounty. В приложении не выявили уязвимостей, которые бы влияли на безопасность. Найдено два технических бага низкого уровня, которые сразу были исправлены», – добавляют в пресс-службе.

Мобильное приложение получило аттестат соответствия Комплексной системы защиты информации (КСЗИ) на мобильное приложение Дія 2.0. Еще «Дія» успешно прошла 2 pen-теста «Дія» с партнерами USAID и Академией е-правительства Эстонии.