Інфобезпека Політика 

Е-бронювання, або Пороблено через Дію

Тверезо 0 Comments--- ,
Костянтин Корсун

Поточне бачення урядом майбутнього «е-бронювання» можна охарактеризувати як «пороблено через Дію».

Процедура наразі виглядає настільки складною, що існуючий «недіджитальний» порядок виглядає навіть простішим.

Спочатку керівник підприємства авторизується через Дію. Неясно, як буде перевірятися, чи він дійсно директор фірми, чи заступник, чи має повноваження. Не кажучи вже про статус підприємства. Авторизується просто як громадянин України.

Далі директор має надати купу персональних даних про заброньованого, навіть номер військового квитка та номер ВОС. Секундочку, а хіба не для того існує цифровізація, щоб це все автоматично підтягувалося з баз даних? Дані ж начебто вже є у державних реєстрах? Навіщо ще раз надавати те, що «держава і так про тебе знає»?

Далі “програма може блокувати подання переліку, якщо…” – далі неважливо. Я ось намагався подати е-петицію про обмеження Телеграма для держструктур, – її теж заблокували. І не пояснили причини. «Не відповідає вимогам» – і капець. Рівно так і буде з е-бронюванням: програма буде блокувати, а ти сам здогадайся чому. Чи то вона заглючила, чи «перевищено ліміт», чи то «некоректний формат введення даних», чи не знайдеться підтвердження інформації з іншої бази даних, чи будь-яка інша з десятків причин.

З урахуванням якості державних ІТ-поробок, впевнений, що з першого разу процедуру е-бронювання пройдуть приблизно 0% керівників компаній, плюс-мінус. Пригадайте лише історію з подачею відомостей про структуру власності та кінцевих бенефіціарів компаній у 2021.

Але навіть якщо працюватиме те «як завжди», не це є головною причиною мого занепокоєння. Головне – безпека. Безпека цифрового рішення та безпека персональних даних громадян України.

Що відомо про безпеку е-реєстру військовозобов’язаних «Оберіг»? Майже нічого. Все вкрито пітьмою секретності, в якій так зручно утилізувати гроші.

Що відомо про справжню (!) безпеку Дії? Теж небагато. Крім голослівних заяв «дієвих» типу «не бійтеся, все безпечно» та дешевої театральщини з її «відкритим кодом» чи суто урино-офтальмологічним Bug Bounty.

А ще «Дію» смачно хакнули кишками назовні у січні 2022, і факт зламу Дії підтвердив «цифровий» же нардеп у офіційному депутатському зверненні міністру оборони №1407\Р -030723 від 03.07.2023.

Що відомо про безпеку нового, ще не розробленого програмного рішення «е-бронювання», яке складатиметься з «Дії», «Оберігу» та ще кількох державних реєстрів? Вірно, рівно нуль. А якщо про безпеку нічого не відомо, то слід вважати її щонайменше «не доведеною». У цивілізованих країнах систему з таким статусом і близько не підпустять до експлуатації на живих людях.

Принагідно питання: а що пішло не так із попередньою спробою е-бронювання у жовтні 2023? Що відбувалося під темною водою протягом останніх 6 місяців? Тиша. Режим «снежинка». Кам’яне обличчя. То, може, й тепер, після гучного анонсу, знов буде 6 місяців морозу?

«Дію» примусово пхають скрізь, де треба й де не треба. Вельми сумнівне з точки зору безпеки рішення, яке не наважилися взяти навіть найближчі друзі «дієвих» – естонці. Непрозорий засіб цифрового стеження за громадянами просувають під дурнуватим гаслом «тю, так держава і так все про тебе знає», грубо порушуючи принцип конфіденційності персональних даних.

Резюме: майбутня система «е-бронювання» наразі виглядає доволі підозрілою як з точки зору безпеки, так і з точки зору функціональності, оскільки планує спиратися на непрозорі рішення із сумнівною безпекою.

Та й загалом: автоматизувати є сенс лише давно відпрацьовані процедури, рутинні, механічні, до яких давно ні в кого немає питань. Автоматизувати недосконалість означає масштабувати вже існуючі проблеми до рівня дійсно небезпечних.

Автоматизуючи хаос ви отримаєте автоматизований хаос.

Автор