Какую опасность несет в себе диджитализация страны.

Если предложения «прекратить постреливать» и «начать договариваться посередине» с Россией привели к многотысячным митингам «Нет, капитуляции», то попытки правительства исправить советскую систему управления с ее длинными очередями за талонами на получение справок многие воспринимают с энтузиазмом.

Никому, даже чиновникам, не хочется пользоваться печатными машинами, стационарными телефонами, пыльными бумагами и другими атрибутами предыдущего технологического уклада. Но современные технологии приносят как удобство, так и новые риски. Удобно не только вести бизнес, но и воровать деньги. Просто не только подавать отчетность, но и шпионить, в частности за собственными гражданами. Успешность модернизации определяется не «цифровыми подписями» и модными слоганами, как «государство в смартфоне», а доверием граждан к государственным институтам.

Доверие, как хорошо заметил эксперт телекоммуникационного рынка Роман Химич, можно представить как дробь, где в знаменателе – все неоднократные обещания, немало проектов и заявлений чиновников, а в числителе – те редкие ситуации, когда они оправдались.

В украинском обществе это число, или, как сегодня модно говорить, «ключевой показатель эффективности», падает до нуля. Призывы еще раз объединиться, затянуть ремни и поработать для общего блага в итоге еще больше отчуждают людей и власть.

Еще в августе министры Федоров и Дубилет насчитали 341 государственный реестр и обещали за три месяца провести их аудит для оптимизации и объединения. Последний раз об этом говорили в конце октября, когда Рада приняла за основу закон о реестрах, в котором предполагалось создать еще один реестр реестров, чтобы наконец навести в них порядок. И начать объединять их в единую систему, на фоне заявлений Федорова о том, будто «безопасность не важна». Звучит страшно.

Когда речь заходит о безопасности данных, Министерство цифровой трансформации ссылается на рабочую группу в СНБО, однако и Национальный координационный центр кибербезопасности, и Государственный центр киберзащиты ГСССЗИ пока не могут похвастаться успехами. Украина только начинает осознавать масштаб проблемы, а это уже не мало, потому что первый шаг к решению проблемы – это признать, что она есть.

В январе волонтеры нашли уязвимость в сайте Национального агентства по вопросам государственной службы, которое проводит конкурсы для найма новых госслужащих. В открытый доступ попали анкеты и документы всех кандидатов. В отличие от многих других ситуаций, когда распорядители данных просто отмалчивались и игнорировали дыры в защите, на этот раз реакция оказалась чрезмерной. Дырой заинтересовался омбудсмен по правам человека (его офис занимается, в частности, защитой персональных данных), и он начал внеплановую проверку. Тут же высадился «десант» Госспецсвязи, а СНБО созвала внеплановое совещание.

Если учесть количество дыр, которые нашли в государственных системах, то Совету Безопасности придется отложить все свои дела и заседать непрерывно.

Буквально за несколько дней до того поплыли платежки за коммунальные услуги Киевской городской администрации вместе с именами и адресами, чем могли бы воспользоваться мошенники. Не секрет, что каждое учреждение, чтобы увеличить свои полномочия, пытается тут же расплодить реестры и собрать как можно больше информации. Информация – деньги и власть. Кровь современного мира.

В налоговой СБУ разоблачила махинации с автоматизированной системой, которые давали преступникам возможность списывать до пятисот миллионов гривен в месяц. В реестрах прав собственности безнаказанно распоряжаются рейдеры. Историями болезни в системе “eHealth” вполне могут заинтересоваться фармацевтические и страховые компании. Сертификат «комплексной системы защиты информации», которым недавно похвасталась Минцифра, защитить может только от регулятора, но не от хакеров или вороватых чиновников.

Мы живем в стране с переходным периодом. Все ветви власти едва справляются со своей работой. Запихивая государство в смартфон, мы рискуем получить в смартфоне цифровую коррупцию, электронный беспредел и автоматизированную организованную преступность.

Многие процессы, которые сейчас пытаются автоматизировать, не должны быть ни быстрыми, ни простыми. Иногда усилия, которые прилагают, чтобы сменить владельца компании, изобразить из себя другого человека и проголосовать на выборах, – это просто способы защиты.

Автоматика ускоряет и упрощает любые задачи: мошенничество, подделку документов, кражу личности и коррупцию. Нас пытаются убедить в том, что когда заменить подпись шариковой ручкой на цифровую подпись, то доверие возникнет само собой, с помощью магических технологий. Однако, в 2016 году первый день работы системы электронного декларирования начался со скандала: была подана декларация под фальшивой цифровой подписью на имя Руслана Рябошапки. Как так случилось, никто еще не объяснил.

Если не всегда можно доверять нотариусу, несмотря на личное присутствие и многочисленные документы, то как тогда доверять цифровой подписи? Подпись так же надежна, как и ее владелец. Чиновники и дальше нарушают собственные правила, подписи, как и раньше, выдают на незащищенных носителях и иногда отдаленно, их легко скопировать. Так и «не слетела» система Mobile ID.

Минцифра совместно с полицией и Миграционной службой бездумно пытаются добавить новые «услуги». В мобильной программе «Дия» уже появились водительские права, и обещают паспорт. Миграционная служба рассказывает, как удобно будет показывать цифровую копию паспорта в телефоне на железной дороге. Удобнее было бы не показывать его совсем и отменить именные билеты. Легче выдавать свидетельство о рождении и сертификат на получение помощи в роддоме, чем осчастливить мам десятью «услугами» е-Малыш. Или хотя бы добавить возможность отказаться от автоматической обработки ваших данных.

В отличие от ID-карты, телефон не является защищенным носителем. Банки расскажут, сколько краж произошло из-за телефонов, но там риски известны. К чему приведут возможные неконтролируемые утечки из телефонов пользователей и из самой системы, никто не смог подсчитать.

Даже если вы не собираетесь пользоваться программой, кто-то может зарегистрироваться от вашего имени или получить ваши данные через дыру в системе.

Можно придумать несколько подходов, как решить проблему забытых дома прав. Во-первых, это реестр, к которому обращаются полицейские. В таком случае вам не нужна программа – достаточно запомнить номер удостоверения, а полиция подтянет информацию о вас из реестра. Во-вторых, можно пользоваться защищенным документом – специальным бланком или чипом, который не клонируется, – удостоверяющий факт: у вас есть привилегия водить машину. В первой ситуации нужен строгий контроль за тем, кто и почему обращается к системе; во второй – реестр нужен, чтобы контролировать, кого в полиции наказывать за «левые документы».

Пытаться совместить оба способа – рискованный шаг, он точно приведет к утечке. А если объединить реестры через систему документооборота, то ответственность размывается в гомеопатической дозы. Практически любую информацию о гражданах можно будет получить бесконтрольно. Есть сомнения, что кто-то интересовался вопросом безопасности еще на этапе проектирования. Крайнего не найти. Избыток информации открывает новые возможности для злоупотреблений.

Недавно полиция изменила подход. В конце января Полтавское отделение киберполиции разослало письмо в редакции онлайн-изданий, в котором спрашивала, не хотят журналисты добровольно установить на свои сайты скрипт для деанонимизация пользователей? Скрипт создавал своеобразный отпечаток посетителя и отправлял его в базу. Такое предложение вызвало шквал критики в интернете. Полиция немедленно удалила все скрипты из своих сайтов и выпустила пресс-релиз о том, как сложно стало ловить преступников. Вроде до появления сети это было просто.

Никто не собирается отказываться от компьютеров и сети, но в лихорадке диджитализации «слуги народа» забывают о том, что доверие и принятие решений нельзя заменить компьютером, даже «квантУмним» (как говорит Дубилет) и на блокчейне. Стоило бы подумать не о том, как сделать электронную справку о составе семьи, а о том, как сделать так, чтобы справки стали не нужны. Лучший способ защитить информацию – не копить ее.

Самой угрозой для данных являются не так взломщики, как сами чиновники. Их анонимность. Их безнаказанность. Если государству нет доверия в физическом мире, то ее не будет и в он-лайне. А еще нельзя забывать про оккупантов, у которых независимая Украина стоит поперек горла. Есть два вида компаний: те, кто знает, что их взломали, и те, кто об этом позже узнает.

источник