Эксперты в сфере IT-безопасности не считают «Дію» полностью безопасной, указывают на возможность манипуляции программой со стороны государства, допускают проникновение в приложение специалистов зарубежных разведок и предупреждают о рисках захвата хакерами персональных данных пользователей.
Влияние на население
Василий Задворный из Prozorro полагает, что власти могут с помощью «Дії» влиять на умы населения, а именно провоцировать аполитичность среди украинцев с целью недопущения участия граждан в протестах против политики Зеленского и Ко.
– Все современные автократии паразитируют на идее неучастия населения в политических процессах, – пояснил Задворный.
«Находка для шпиона»
Известный представителям старшего поколения лозунг «Болтун – находка для шпиона» в нынешних реалиях утратил актуальность. «Зачем искать болтуна, если есть «Дiя»?», – задаются вопросом в Украинском киберальянсе.
По словам представителя организации Андрея Барановича, интеграция в приложение всё новых и новых реестров станет бесценным подарком для иностранных разведок (прежде всего российской).
Зная фамилию того или иного военного, чиновника или спецслужбиста, вражеские IT-умельцы смогут подключиться к его ноутбуку или смартфону и терпеливо дожидаться, когда интересующий объект откроет «Дію». После этого вся информация владельца приложения – от полного имени – до паспортных данных и банковских реквизитов, станет известна противнику, поделился соображениями Баранович.
По его словам, интегрировать гражданские системы с военными не только неразумно, но и преступно. Одним из примеров такой интеграции аналитик назвал недавнее нововведение, позволяющее военкоматам получать адреса действующих военных и призывников. Россияне рано или поздно воспользуются таким шикарным подарком, уверен аналитик.
Риски стать жертвой аферистов
Персональными данными пользователей могут воспользоваться не только спецслужбы иностранных государств, но и доморощенные хакеры. Методика всё та же: запуск вируса на смартфон или ПК и ожидание входа жертвы в «Дію», с последующим получением доступа к цифровому паспорту со всеми вытекающими последствиями: от невинной покупки пива подростками – до оформления на жертву кабальных кредитов более матерыми мошенниками.
При этом ни Минцифры, ни киберполиция, ни любое другой государственное ведомство не объясняет гражданам, что делать в случае взлома «Дії» или утраты цифрового паспорта, который стараниями властей приравнен к физическому аналогу, рассуждает Задворный.
Закрытый программный код
Непрозрачность работы – еще одна проблема приложения. Будь «Дiя» на открытом программном коде, внешние специалисты за определенное вознаграждение могли бы выявлять уязвимости и сообщать разработчикам о недочетах. Сейчас такая возможность отсутствует.
Что делать
Эксперты рекомендуют руководству Минцифры подумать о заказе оценки безопасности «Дії» на основе критериев BSIMM от компании Synopsys либо собрать авторитетных айтишников на закрытый консилиум, донести до них реальное положение дел для получения объективных рецензий и претворить рекомендации специалистов в жизнь.