Чому німці відмовились від державного застосунку типу «Дії»
Читаю про німецький аналог Дії і майже на кожному абзаці подумки підскакую: «Йоптить, так це ж майже точнісінько як у нас!».
Схожий за функціоналом на Дію німецький додаток ID-Wallet було запущено ось буквально пару місяців тому: 23 вересня 2021.
Його єдиною функцією було лише зчитування інформації з чіпу у справжньому, пластиковому водійському посвідченні з використанням технології NFC. На випадок, якщо забув справжні права вдома. Або електронну копію прав можна використати для оренди авто. І якщо все піде без критичних проблем, згодом, колись, ці е-версії водійських посвідчень зможуть замінити собою оригінали.
І ще планувалося (якщо все буде гаразд!) за цією ж схемою – документ з чіпом+NFC – підключити ID-Wallet до державних баз даних, які містять особисті документи громадян Німеччини.
Але не встигли.
Буквально за кілька днів після запуску застосунок було відізвано, а інфраструктуру деактивовано.
Шо ж пішло не так?
Виявляється, місцева кібер-активістка Ліліт Віттманн (Lilith Wittmann) виявила серйозну вразливість додатку.
ID-Wallet не перевіряв справжність QR-коду для зчитування додатком, тому е-документ можна було легко вкрасти, просто роздрукувавши «лівий» QR-код або хакнувши сайт фірми з оренди авто. Фройляйн Віттманн вважає, що задля безпеки QR-код має генерувати той, хто видав відповідний документ, у випадку Німеччини та водійських посвідчень це має бути Федеральне Моторне Транспортне Відомство.
Задля об’єктивності скажу, що Дія перевіряє валідність QR-коду і саме такої проблеми не містить.
Але у Дії є інша проблема: QR-коди генерує не національна поліція (яка видає водійські права) і не державна міграційна служба (яка видає паспорти), а якесь ДП Дія, яке підпорядковане якомусь Мінцирку, діяльність якого не регламентується жодним законом України. Тобто генерує QR-коди якийсь мутний тимчасовий посередник, якого може різко не стати після зміни політичної влади у країні.
Окремо зверну увагу: одного твіту однієї кібер-активістки було достатньо для зупинення та відкликання загально-національного проекту в найбагатшій та найвпливовішій країні Європейського Союзу. У країні цивілізованій (це важливо).
Чи, може, вони і стали такими багатими та впливовими завдяки увазі до думки кожного експерта?
Ось сучасні українські реалії для порівняння: «та який ти експерт?!», «єто брєд», «та хто ти такий, щоб з тобою розмовляти??».
В Україні кібер-активісти роками волають про концептуальну помилковість архітектури Дії, про закритість її вихідного коду та документації, про махінації з фінансуванням проекту, але державні розробники роблять вигляд, що не чують або не розуміють про що йдеться. «Морда ящиком» називається цей хитрий прийом.
Ще дивно, що фройляйн Віттманн також, як і українські експерти, наполягає на відкритості вихідного коду, ставлячи тим самим під загрозу принцип Security through Obscurity, яким керуються українські «боги розробки додатків». Це був сарказм, якщо хто не зрозумів.
А ще після запуску німецького додатку мали місце перевантаження серверів ID-Wallet. В українських диджиталізаторів аналогічна проблема звучить так: «реєстр відпочиває, лікуємо його».
Блокчейн-технологія теж не допомогла убезпечити ID-Wallet, адже викрадені через підроблений QR-код електронні документи «вмуровуються» в систему і таким чином легалізуються. Слово «блокчейн» українські чиновники просто обожнюють, хоча і не розуміють його значення.
Німецький додаток ID-Wallet розробляла маловідома приватна компанія на замовлення уряду. В Україні все було трохи інакше: Дію розробляла одна з найбільших ІТ-компаній показово-безкоштовно, для «безоплатної передачі Уряду». Ця театральщина сильно тхнула прихованою корупцією та договорняками і зрештою нанесла більше репутаційної шкоди «благодійнику», ніж користі.
Загалом можна підсумувати, що німецький владний додаток «хотів стати Дією», але чомусь не зміг. Чомусь не купили німці «унікальну розробку» в українських «дієвих».
Чому, власне, Німеччині довелося відмовитися від аналогу Дії?
Начебто ті ж самі чиновники, а усі чиновники світу мріють слідкувати за усіма громадянами онлайн та тихенько пиляти гроші платників податків.
Може, це тому, що у Німеччині громадяни просто схиблені за захисті персональних даних, а в Україні більшості на них пох?
Чи тому, що у Німеччині складніше красти гроші «на цифровізації» через ретельніший контроль громадян за владою? А в Україні реформи більше імітуються, ніж реалізовуються?
Чи тому, що німецькі держслужбовці все ж дослухаються порад експертів, а не хамлять їм? В Україні це взагалі золотий стандарт справжнього чиновника: або ігнорувати думку експерта, або намагатися того нахабного експерта дискредитувати. А то і обшук у нього провести, шоб знав своє місце, падонок.
І найголовніше: обережні німецькі чиновники не дозволили собі навіть натякнути, що мають намір офіційно, законом, прирівняти оте-невідомо-шо-яке-треба-ще-довго-тестувати до справжніх особистих ідентифікаційних документів громадян.
В Україні ж законотворці особливо не парилися: підмахнули зміни до відповідного Закону, навіть не читаючи. Провладна партія натиснула кнопки в Раді, не маючи найменшого уявлення, за шо там вони голосують. «Президент – він розумний, просто так закон в Раду не внесе», ага.
Українська влада не бажає дослуховуватися думок експертного середовища ні в чому, у тому числі у питаннях кібербезпеки. А без експертів будь-який державний проект перетворюється на лайно і розпил. Проект «Дія» є тому яскравим прикладом.
Кого зацікавив досвід цифровізації Німеччини, більше інформації про «німецьку Дію» є у досить непоганому матеріалі від Текстів.