Врятуватися від Дії можна, але виправити її помилки майже неможливо

Костянтин Корсун

А поки ми поїдали святкові салати, Дія продовжувала робити свою чорну справу, відповідно до її логотипу.

Один покидьок із використанням Дії понабирав кредитів на ім’я наївної дівчини, яка сама віддала «знайомому знайомої» логіни-паролі до BankID. Віддала тому, що злодій пообіцяв начебто допомогти підтягнути в Дію сертифікат вакцинації. Насправді ж, «доброзичливець», скориставшись доступом до двох банківських акаунтів жертви (та відповідних BankID), набрав від її імені кредитів, гроші вивів в кеш, а жертву кинув на розправу колекторам. Ну а МФОшки (мікро-фінансові організації) негайно почали намотували на видані кредити свої скажені проценти та пресувати жертву.

Так, віддавати слабо знайомим людям доступ до свого банківського акаунту, навіть якщо там немає коштів, – погана ідея, дуже погана. Так, Дія сама по собі не бере кредитів, хоча без неї не було б можливим здійснити цей вид шахрайства. Тому здавалося б, «при чому тут Дія?».

А Дія тут саме при чому. Причому сильно.

Перше: Людина хотіла отримати абсолютно законний документ про вакцинацію, але не змогла цього зробити, тож змушена була вдатися до альтернативних шляхів вирішення проблеми.

Шляхів сумнівних, згоден. Але чи надала влада розумну альтернативу Дії для, скажімо, закордонних подорожей? Ніт, не надала. Або Дія, або іди у сраку. А Дія не працює.

Вердикт: Дія винна у невиконанні задекларованих функцій. Також Дія винна у штучному монополізмі таких послуг.

Друге: А як так взагалі вийшло, що для отримання офіційних документів потрібно надавати фінансові дані (BankID)?

Державні послуги ідентифікації – це щось одне, а доступ до банківських рахунків – щось зовсім інше, і це не можна поєднувати в одну жорстко взаємопов’язану систему.

Дехто навіть може це трактувати як приховану вигоду банкам за формально безкоштовні державні сервіси ідентифікації громадянина. Адже BankID випускають саме банки – а вони не видають BankID без відкриття у них рахунку.

І це той самий випадок, коли конче необхідно провести у себе в голові лінію розмежування між грошовими ризиками та ризиками державної ідентифікації громадян. І ці ризики неспівставні як за своєю природою, так і за тяжкістю можливих наслідків.

Вердикт: Дія винна у застосуванні механізму захисту фінансових даних, який не мала права застосовувати у якості інструменту захисту державних електронних ідентифікаторів.

Третє: BankID є засобом ідентифікації лише середнього рівня.

А ось паспорт, водійське посвідчення, паспорт для виїзду за кордон – усе це вищий рівень ідентифікації. Засіб середнього рівня не може бути використаний для ідентифікації вищого рівня.

З якого переляку раптом це нескладне правило було грубо порушено розробниками Дії? Точніше, не розробниками (вони всього лише виконавці), а її ідеологами та архітекторами? Заради чого архітектори цього сумнівного рішення настільки невиправдано ризикнули безпекою мільйонів потенційних користувачів, що для захисту умовного «мільярда доларів» покликали сувору консьєржку з третього парадного? Так, консьєржка люта й несамовита, але чи цього достатньо для виконання значно серйозніших завдань?

Хоча ні, не так. Захистити електронних документи з використанням BankID – це приблизно те саме, що захищати кортеж Найвеличнішого лише одним поліцейським авто з мигалками та зі звичайними патрульними всередині. Цього цілком достатньо для захисту комерційного вантажу, але чомусь преЗедент не вважає такий захист достатнім.

А ще кожен банк може зробити помилки у власній реалізації BankID. А ще ризики з BankID закладені у вартість фінансових послуг банків. А ризики з Дією ніде та ніяк не компенсуються. І ніхто з розробників Дії не ніс і не несе за неї жодної відповідальності. Жодної. Ніколи.

Вердикт: Дія винна у нічим не виправданому застосуванні завідомо слабого та недостатнього механізму захисту. Який не підконтрольний самій Дії.

* * *

Після першого «кредиту через Дію» мамкіни жижталізатори неслабо обісралися і з переляку тупо заборонили МФО видавати кредити через Дію. Наївно сподіваючись, що такою кривою латкою буде вирішено концептуальний провтик в архітектурі загально-національного державного ІТ-рішення.

Але чхати хотіли МФОшки на якісь там рішення якогось там Мінцирку з тамтешніми вискубами. І факт «не_підключення» їх до Дії їх аж ніяк не турбує – видають кредити аж гай шумить.

Після другого «кредиту через Дію» «пєрвийєвмірє» просто випали на мороз. Типу нічого не трапилося. Ні, не чуємо. Пізно вже відступати («поздняк мєтаться»), не по-пацанські якось. Ну не можемо ми, такі найвеличніші, усі як один – президенти, визнати, що відпочатку помилялися, і що експерти їх критикували не дарма. Включаємо сценарій «Пох*й, пляшем» та самоізолюємося від зовнішніх подразників.

І ось вже третій випадок.

Я навіть знаю, яка цього разу буде позиція у «дієвих»: «Тю, так ти ж сама винувата, сама віддала доступ до BankID». Це взагалі універсальна відмазка для поточної влади – «сам винуватий». Державники доморощені, бляхамуха.

Чому подібна інфантильна відмазка ніяк не може бути аргументом для державних офіційних електронних документів, я пояснив вище. Але впевнений, що і цього разу замість перегляду концептуальної моделі державних електронних сервісів, буде застосована перевірена зв’язка технологій «кам’яне обличчя», «при чому тут Дія?!», «та який ти експерт», «це все брехня, нас замовили вороги». А також мої персональна тролі, звичайно.

Жертва даної афери звернулася до поліції нашої, коханої та недореформованої, якій ми усі довіряємо з дитинства.
Тамтешні пані в погонах ображали заявницю, хамили, сміялися з неї, дивилися відосики в Тік-Ток, але розслідувати такого роду злочини угону цифрової ідентичності навіть не збиралися.
Попри очевидність складу злочину – класичне шахрайство, тобто зловживання довірою.
Попри повні установчі дані підозрюваного.
Попри надзвичайну технологічну простоту розслідування та документування.
Попри готовність банків надати усю необхідну допомогу.
Начхати. Не псуйте нам статистику. Давайте вже після свят. А тим часом бандитський лічильник: тік-так, тік-так.
ACAB.

Звісно, я палко закликаю нікому ніколи – нікому і ніколи – не передавати ніяких паролів ні до чого, а особливо – до чутливої фінансової інформації. Навіть найближчим та найнадійнішим людям. Тому що ви не зможете повністю проконтролювати, наскільки надійно вони зберігають вашу критично-важливу інформацію. Як казав один герой одного фільму «Що знають двоє – то знає свиня».

Але не може покладатися такий супер-важливий ІТ-проект як «державний електронний ідентифікаційний документ» на те, що люди не робитимуть помилок. Усі (або більшість) можливі людські помилки мають бути враховані під час розробки та реалізації проекту. Мали б бути запроваджені компенсаційні механізми.

Відповідний сервіс мав би працювати стабільно та без збоїв, як швейцарський годинник, і навіть краще: надійне багаторазово перевірене рішення, дублювання, резервування, швидка та ефективна технічна підтримка. Цілодобова.

У такого рішення мав би бути власний незалежний та надійний механізм захисту, який відповідає рівню е-документу (найвищому).

Кожен (!) факт викрадення такого е-документу має бути швидко розслідуваний та показово покараний. Бо інакше до нього не буде довіри. Як оце маємо зараз.

Усього цього немає в роботі Дії – на жаль – тому подібні випадки траплятимуться й надалі.

До Дії існує ще безліч претензій, у різних площинах, не тільки стосовно використання у шахрайських схемах. Відповідний аналіз ще не закінчено групою експертів, але вже скоро.

А поки що вкотре закликаю співгромадян: люди добрі, будь ласка, не користуйтеся Дією без гострої потреби, видаляйте, якщо встановили. Усі її «унікальні послуги» можна отримати альтернативними шляхами.

Дія зроблена не дуже розумними та не сильно кваліфікованими неадекватами, і до того ж є засобом активного прихованого стеження з боку держави. Пізніше розкажу про це детально.

Врятуватися від Дії можна, але виправити помилки її глобальної реалізації майже неможливо. Передусім тому, що найбільші проблеми знаходяться в головах її творців.

 

Автори