Что не так с приложением Дія?

5 февраля, 21:35
Гражданам Украины все настойчивее навязывают Приложение Дія как безальтернативное средство предоставления государственных электронных услуг. Вот только у Дія существует ряд серьезных проблем: как с ее архитектурной моделью, так и с качеством ее реализации.

Многие украинцы подсознательно догадываются, что здесь что-то не так.

Украинские специалисты по кибербезопасности предупреждали о возможных проблемах еще до запуска первой версии Дія. Замечали серьезные недостатки также после публичного запуска этого приложения. Публично и непублично настаивали на недопустимости игнорирования существующих проблем.

Но разработчики и идеологи действия продолжают «не замечать» критики, и это уже приводит к реализации некоторых рисков.

Сейчас многие украинцы уже подсознательно догадываются, что что-то здесь не так, но большинство все еще не понимает, в чем именно заключаются проблемы приложения Дія.

Для разъяснения что не так с Дія мы решили собрать все существующие проблемы данного мобильного приложения в единый документ.

Если вы соглашаетесь со всеми или большинством ниже приведенных аргументов или по другим причинам не удовлетворены приложением Дія – пожалуйста, распространяйте ссылку на данный документ всеми доступными способами и каналами. 

  1. Существенные дефекты архитектуры приложения Дія.
  2. Обработка и хранение персональных данных в приложении Дія.
  3. Возможность перехвата и накопления персональных данных при проверке е-документов в приложении Дія.
  4. Мошенничество с использованием Дія.
  5. Возможность следить за пользователями через приложение Дія.
  6. Риски дистанционного несанкционированного проникновения в смартфон (“взлом”) с установленным приложением Дія.
  7. Невозможность самостоятельно заблокировать свой аккаунт в Дія (опция Opt-Out).
  8. Риски фальсификации выборов в смартфоне с использованием приложения Дія.
  9. Риски получения повестки через Дія.
  10. Риски отсутствия доступа к интернету приложения Дія.
  11. Не все граждане могут пользоваться приложением Дія.
  12. Чрезмерная централизация системы и агрегация полномочий.
  13. Отсутствие правил использования приложения и механизма контроля за соблюдением этих правил.
  14. Игнорирование действующего законодательного регулирования по созданию программных продуктов.
  15. Создание искусственной монополии приложения Дія.
  16. Отсутствие в публичном доступе документации в приложение Дія.
  17. Отсутствие публичного доступа к исходному коду приложения Дія.
  18. Отсутствие информации о внешних независимых аудитах безопасности приложения Дія.
  19. Сомнительность объективности проведения государственной экспертизы приложения Дія.
  20. Неудовлетворительный уровень коммуникации разработчиков приложения Дія с пользователями и ИТ-специалистами.
  21. Возможность неограниченного клонирования документов в приложении Дія.
  22. Непрозрачность порядка использовать приложение Дія другими организациями.

 Специалисты и эксперты, составившие перечень текущих проблем Действия:

1. Существенные ошибки при проектировании архитектуры приложения:

В приложении Дія нарушен одним из базовых принципов в области удаленной идентификации - разграничение инструментов идентификации по уровню доверия.

Например, для идентификации пользователя высокого уровня доверия, которым должен быть владелец цифрового паспорта, в Дія разрешено использовать BankID – программный инструмент со всего лишь средним уровнем доверия. Между тем неоднократно доказано, что BankID в нынешнем виде не обеспечивает достаточной безопасности и уязвим для примитивных атак. В случае инцидентов с использованием BankID в кредитно-финансовой сфере возможные потери пользователей теоретически могут быть компенсированы за счет финансовых и банковских учреждений, поддерживающих данный инструмент.

В результате использования BankID для идентификации пользователя Дія нарушен принцип разграничения уровней доверия. Инструменты с высоким уровнем доверия могут использоваться для идентификации пользователей цифровых сервисов, требующих среднего и низкого уровней доверия. Инструменты среднего уровня доверия могут использоваться для идентификации пользователей сервисов, для которых достаточно низкого уровня доверия. В Дія все сделано наоборот: инструментами среднего и низкого уровня доверия идентифицируют пользователей наиболее критических сервисов, а именно цифровых документов, удостоверяющих личность.

Подобные ошибки представляют потенциальную угрозу для пользователей приложений и мобильных приложений, где нарушен вышеупомянутый принцип разграничения уровней доверия. В любых обстоятельствах электронный идентификационный документ, например, электронный паспорт для выезда за границу, должен быть защищен исключительно средствами наивысшего уровня доверия, чего нельзя сказать о действующем приложении Дія.

2. Приложение Дія обрабатывает и хранит персональные данные

Несмотря на многочисленные заявления разных чиновников, Действие собирает, хранит и обрабатывает персональные данные. А именно регистрирует, накапливает, адаптирует, изменяет, обновляет, использует и распространяет. Об этом прямо написано на сайте Дія и в разделе «Меню/Сообщения об обработке персональных данных» мобильного приложения Дія.

Цитата:

«7. Персональные данные хранятся Министерством цифровой трансформации Украины в течение срока функционирования электронного кабинета субъекта персональных данных на Портале Дія, но не дольше 5 лет, если законодательством не определен другой срок их хранения.»

Портал Дія и мобильное приложение Дія является частью одной системы, в которой происходит синхронизация имеющейся информации, поэтому информация с портала также дублируется в мобильном приложении.

Также персональные данные передаются с одного устройства на другое при проверке цифровых документов, что неоднократно публично демонстрировалось экспертами.

3. Есть возможность перехватить данные при проверке е-документов.

При предоставлении цифровых документов паспортные данные человека могут скрыто копироваться в телефон считывающего, поэтому давать на считывание своих данных Дія можно только работникам полиции по форме, при предъявлении служебного удостоверения или значка с номером. Эти же данные проходят через инфраструктуру Минцифры, но неизвестно как они обрабатываются.

4. Мошенничество с использованием Дія

В настоящее время существует возможность удаленно открыть банковский счет с использованием приложения Дія. Сейчас известно о не менее нескольких случаях несанкционированного входа злоумышленников в учетные записи жертв приложения Дія и с последующим совершением противоправных действий в отношении пострадавших с корыстной целью (оформить кредит на владельца телефона, купить товар в магазине в рассрочку, совершить другие злоупотребления.)

И сами возможности для мошенников при похищении телефона.  Таких случаев только по официальной статистике в среднем 4566 в месяц (данные за 2021 год).

5. Возможность следить за пользователями

Минцифры в лице Государственного предприятия "Дія" (разрабатывающее и поддерживающее приложение Дія и цифровые документы), имеет техническую возможность следить за владельцами смартфона, на котором установлено приложение Дія. Следование может быть реализовано как в самом приложении. Такое слежение, хранение логов активности и их обработка - ничем не регламентированы, а ГП Дія, выпускающее приложение, не проходит регулярные независимые проверки и постоянно от них отказывается, что не является подтверждением благих намерений со стороны команды, разрабатывающей и поддерживающей функционирование приложения. .

Независимые проверки – это такие проверки, которые проводят всемирно известные профессиональные кибербезопасные компании, которые имеют безупречную репутацию и никак не связаны ни с разработчиками Дія, ни с их политическими руководителями. Результаты таких проверок должны публиковаться с указанием, что именно и как именно проверялось.

6. Риски дистанционного проникновения к смартфону с установленным приложением Дія

Со стороны государства: В случае заинтересованности, производитель Дія может дистанционно установить на мобильный телефон пользователя Дія "обновление с дополнительными функциями", то есть шпионскую версию Дія. Таким образом, пользователь даже не будет думать о проведении негласных действий наблюдения, законность которых может быть подвергнута сомнению. Приложение Дія запрашивает самые большие привилегии в мобильном телефоне, от камеры (микрофон в комплекте) до дискового хранилища, следовательно, все необходимые права уже предоставлены и дополнительного запроса не будет. Со стороны третьих лиц: известны случаи, когда преступники получили полный контроль над смартфонами и всеми установленными в нем приложениями. Зачастую пользователи об этом даже не догадывались.

Пример: в 2021 году Служба безопасности Украины сообщила о задержании группы злоумышленников, специализировавшихся на дистанционном изломе мобильных устройств и незаконном сборе персональных данных. Стоимость излома одного смартфона стоила 200 долларов США.

"Хакнутый" третьими лицами мобильный телефон - это, безусловно, проблема в любом случае, но "хакнутый" телефон с Дія предоставляет третьим лицам гораздо больше возможностей, чем просто "хакнутый" телефон.

7. Невозможность самостоятельно заблокировать свой аккаунт в Дія (опция Opt-Out)

Фактически, возможность активировать аккаунт в приложении Дія существует у каждого гражданина Украины, получившего ID-карту или загранпаспорт с биометрическим чипом (документы, содержащие цифровые фото). 

При этом не имеет значения есть ли у гражданина намерение пользоваться своим аккаунтом (учетная запись) в Дія – такая возможность все равно существует и им может воспользоваться постороннее лицо без ведома легального пользователя. Теперь этим пользуются мошенники для похищения кредитных средств, оформленных на людей, которые по разным причинам не активировали свою учетную запись.

 Но в дальнейшем эту же возможность угона цифровой личности можно применить и для других юридически значимых действий без ведома лица: регистрации места жительства, вызова с суд, операций с недвижимостью, голосования на выборах и т.д. 

То есть сейчас в распоряжении граждан отсутствуют какие-либо инструменты управления рисками, связанными с цифровыми документами:

  • возможность заблокировать свою учетную запись;
  • возможность запретить активацию цифровых документов, удостоверяющих личность;
  • возможность отказаться от использования уже активированными цифровыми документами;
  • оповещение о несанкционированной попытке активировать новый экземпляр уже заблокированных цифровых документов.

Наличие указанных возможностей/инструментов (так называемая опция Opt-Out) могло бы стать в защиту прав гражданина в разрешении спорных ситуаций (пример получения кредита третьим лицом путем манипуляций и мошеннических действий или непосредственно похищение терминала (смартфона) или взлом компьютерной системы (компьютера) и т. д. 

Эффективным решением проблемы несанкционированного использования аккаунта в действиях посторонними лицами могла бы стать его обязательная первая активация путем личного визита в ЦНАП с бумажным/пластиковым паспортом и соответствующим заявлением, а также возможность аналогичным образом юридически «заморозить». любые операции в Дія путем личного визита в ЦНАП с документами, 

также желательно внедрение механизма, которым блокировалась и фиксировалась (с последующей автоматической процедурой уведомления полиции) каждая попытка использования Дія от имени тех граждан, которые отказались от пользования указанным государственным сервисом.

Техничкски и организационно внедрение подобной защиты не является сложным вопросом, но почему такой возможности гражданам Украины не предлагается, несмотря на значительный социальный запрос и большие риски.

8. Риски фальсификации «выборов в смартфоне»

Непосредственно В. Зеленский и М. Федоров неоднократно озвучивали тезисы об их главной цели – голосовании на выборах через смартфон. Вероятно, подразумевается использование для этого приложения Дія.

Большой негативный опыт фальсификаций на традиционных выборах свидетельствует о больших рисках. А реализация такой идеи содержит угрозу национальной безопасности и попытку свержения конституционного строя путем фальсификации избирательного процесса онлайн.

В общем, во время онлайн-выборов невозможно обеспечить секретность голосования, голосования без принуждения и одновременно провести прозрачный пересчет голосов.

Ни одна страна Мира (кроме Эстонии) пока не решилась провести онлайн выборы.

В апреле 2020 года более 80 руководителей и ведущих сотрудников научно-исследовательских организаций США, работники научных учреждений и ведущих экспертов, в том числе такие всемирно известные эксперты как Брюс Шнаер и Мартин Хеллман, обратились открытым письмом к госсекретарям штатов и руководителям избирательных комиссий США с требованием "воздержаться от разрешения использовать любые системы Интернет-голосования".

В Эстонии голосуют онлайн около 45% избирателей, но эта страна строила свою модель онлайн-голосования около 20 лет, под тщательным контролем общественности, местных политических партий и представителей Европейского Союза. За это время в системе онлайн-голосования было обнаружено много критических уязвимостей, она постоянно дорабатывается лучшими специалистами, но сейчас этот метод голосования работает на принципах, кардинально отличных от приложения Дія, а также на основе невероятно высокого доверия граждан к власти.

9. Риски получения повестки через Дія

Риск стать жертвой сомнительных и противоправных действий со стороны государства или третьих лиц через внедрение и легитимизацию «автоматического гарантированного сообщения» граждан о предупреждении, повестке, вызове в суд и подобных действиях. Это также неоднократно озвученная цель Минцифры, которая может быть реализована и придаст гражданам проблемы. Представим ситуацию, когда по каким-то причинам гражданин не пользуется, или больше не пользуется приложением Дія, на которое приходит сообщение о вызове в суд из-за иска в отношении собственности гражданина. Юридически, отправленное такое сообщение является признаком фактического сообщения. Следовательно, непоявление гражданина в суде или несвоевременное представление запроса о переносе судебного заседания по любой причине дает возможность (государству, мошенникам, «черным регистраторам» и т.п.) манипуляций в судебном процессе не в пользу гражданина. 

10. Риски отсутствия доступа к Интернету

Согласно заявлениям разработчиков приложения Дія, приложение не хранит электронные документы граждан, при этом изображения с данными документа - хранятся в смартфоне.

Но легитимность их отображения в смартфоне можно проверить только при наличии доступа в Интернет. Недавние события в Казахстане (когда во время протестов власти выключали доступ в Интернет) показали, что похожая ситуация вполне может произойти при определенных условиях и в Украине. В случае длительного отсутствия доступа к Интернету, документы в Дія станут только нелегитимными картинками в смартфоне. Аналогичная ситуация актуальна в некоторых районах Украины, где сейчас отсутствует или нестабильный доступ в Интернет.

В таких условиях возникает необходимость всегда носить с собой бумажные или пластиковые документы, что ставит под вопрос целесообразность установки и использования приложения.

Дія является централизованной системой (частью которой является мобильное приложение Дія), и в случае отказа одного из элементов останавливается вся система. Мы уже были свидетелями многочисленных отказов в обслуживании услуг Действия. Следовательно на работоспособность столь важного приложения можно легко повлиять через локальное (глушилки), или глобальное отключение доступа к Интернету для пользователей. 

Легитимность электронных документов не должна зависеть от наличия или отсутствия доступа к Интернет, е-документы должны быть самодостаточными.

11. Не все граждане имеют возможность использовать Дія

Для использования Дія необходим современный смартфон, но не все граждане Украины имеют возможность его приобрести. Это реальная проблема из-за принудительного ограничения предоставления определенных функций исключительно через приложение (например, сертификатов о вакцинации).

Также не везде в стране есть доступ в Интернет.

Некоторым людям (особенно старшего возраста) трудно вводить пин-коды, поэтому для них их родственники либо все пин-коды снимают, либо ставят коды типа 1111. Действие с простым пин-кодом – это очень опасно. Разработчики не имеют возможности контролировать, насколько эффективно пользователь защитил свой смартфон, и полагаются на высокий уровень осведомленности о правилах персональной кибербезопасности владельца/пользователя смартфона.

Надлежащее использование цифровых документов, удостоверяющих личность, предполагает наличие многих навыков, которые совершенно не очевидны для многих граждан, особенно старших возрастных категорий. Минцифры не предлагает ни официального руководства для пользователей, ни официальных рекомендаций, содержащих исчерпывающие руководящие указания для всех без исключения критических аспектов использования цифровых паспортов и приложения Дія. 

Модель предоставления государственных электронных услуг в формате приложения Дія либо искусственно лишает таких граждан возможностей получать государственные цифровые услуги, либо подвергает их рискам, для управления которыми не предлагает надлежащих инструментов. 

12. Чрезмерная централизация системы и агрегация полномочий

Сосредоточение сверхбольших прав у администраторов Дія и отсутствие системы мониторинга и предохранителей их работы приводит к появлению огромного соблазна для таких администраторов, которые могут за определенное поощрение или под принуждением собрать информацию об определенных аспектах жизни граждан и передать эту информацию в пользу третьих лиц или предоставить собственный административный доступ третьим лицам.

Беспокойство вызывает также возможная чрезмерная агрегация полномочий.

Инциденты последнего времени, такие как, например, уязвимость Log4Shell, и более известные виды атак (например SQL Injection) могут также быть использованы с уровня администраторов Дія и привести к повреждению или другому влиянию на реестры персональных данных граждан. Например, существует вероятность существования возможности создания запроса в любой подключенный реестр, который внесет изменения или даже приведет к потере данных или даже их уничтожению, поскольку выполнен он с правами администраторов действия.

По результатам взлома большого количества государственных сайтов скомпрометированы оказались не только базы данных и программный код портала Дія, но и частные ключи SSL сертификатов к доменам государственных сайтов. Это те же сертификаты, которые защищают ваше соединение с сайтом. Но даже после возобновления работы этих ресурсов в течение 10 дней никто не озаботился перевыпустить SSL сертификаты. Такая поразительная некомпетентность подвергает риску дальнейшего утечки особо чувствительных аутентификационных данных пользователей (логинов и паролей).

13. Отсутствие правил использования приложения и механизма контроля за соблюдением этих правил.

Минцифры предусматривает возложение значительного количества рисков использования приложения Дія на его пользователей. В смартфоне пользователя хранятся все его е-документы, удостоверяющие личность Закона Украины приравнены к бумажным/пластиковым. 

При этом нигде не определяются должным образом правила пользования приложением, требования к безопасному доступу к нему, правила кибер-гигиены при пользовании смартфоном, потенциальные риски компрометации и т.д. 

14. Игнорирование действующего законодательного регулирования по созданию программных продуктов

Для функционирования приложения Дія почти отсутствует в законодательном регулировании. 

Формально электронные документы приравнены к официальным нечетким фразам в Законе Украины «О внесении изменений в Закона Украины "О Едином государственном демографическом реестре и документах, подтверждающих гражданство Украины, удостоверяют лицо или его специальный статус":

"Е-паспорт - паспорт гражданина Украины в форме электронного отображения информации, содержащейся в паспорте гражданина Украины".

Но ни в одном Законе Украины не определены технические и технологические параметры таких е-документов, требования к процессу разработки приложения и его эксплуатации, приемлемые технологии и их согласованность, возможности независимого (в том числе общественного) контроля этих процессов, привязка к существующим международным стандартам и многое другое.

Также законодательно не определены требования к безопасности действия: допустимые подходы и практики, стадии контроля и тестирования, критерии оценки общей безопасности, количество и периодичность независимых оценок защищенности и т.д.

На практике разработка и модернизация приложения Действие происходит согласно внутренним документам Минцифры, публичный доступ к которым либо не предоставляется, либо ограничен грифом секретности «Для служебного пользования».

Также следует отметить, что создание программных продуктов по заказу государственных органов регулируется Постановлением 869 "Об утверждении общих требований к программным продуктам, закупаемым и создаваемым по заказу государственных органов" от 12 августа 2009 г. Но в случае разработки приложения Дія большинство из данных требований просто проигнорирован.

Законодательная неопределенность уже стала основанием для уголовного преследования нескольких граждан, создававших приложения визуально похожие на приложение Дія, но не совершивших никаких вмешательств в ИТ инфраструктуру государства. И хотя их деятельность сомнительна по этическим вопросам, с точки зрения закона они не совершили преступления. Фактически Минцифры своими действиями спровоцировали появление такой активности.

15. Создание искусственной монополии

Пользоваться Дія граждан Украины принуждают, не оставляя им альтернатив.

Так, сертификаты вакцинации долгое время можно получить исключительно через приложение Дія, хотя альтернативное техническое решение было готово к запуску за несколько месяцев до запуска такого решения в Дія.

Заявки на получение 8000 грн. компенсации для ФЛП в связи с карантинными ограничительными мероприятиями и "Ковидной" 1000 грн. - также можно было сделать только через Дія.

Таким образом создается искусственная монополия, цель которой – привлечь к использованию Дія как можно больше пользователей.

16. Отсутствие в публичном доступе документации в приложение Дія

На электронный продукт – приложение Дія – отсутствует документация: инструкция пользователя, общее и техническое описание приложения, описание его структуры и функций, модели функционирования, применяемых технологий, инфраструктуры, схемы каналов передачи данных, правил пользования приложением, гарантийные обязательства производителя, соответствие требованиям по защите персональных данных, и т.д. 

Несмотря на многочисленные попытки специалистов и журналистов получить эти документы от Минцифры, подобные запросы либо игнорируются, либо предоставляются заведомо поврежденные данные без возможности их воспроизведения. Зафиксирован случай заявления министерства, что якобы эта информация является информацией с ограниченным доступом с грифом ДСК, хотя продукт является публичным и свободно распространяется.

17. Отсутствие публичного доступа к исходному коду приложения Дія

Разработчики приложения Дія не публикуют исходный код своего продукта. 

Согласно существующим международным практикам, исходный код публикуют, прежде всего, для подтверждения отсутствия скрытых программных функций продукта. 

Такими функциями могут быть следующие: функция отслеживания пользователя, сбор данных о модели его смартфона, операционная система, день, время и геолокация, пользование определенными функциями приложения, взаимодействие с другими приложениями и приложениями, использование мессенджеров, посещение определенных Интернет-страниц, произвольное считывание информации из файловой системы и подобные скрытые функции.

Также исходный код мог бы засвидетельствовать наличие или отсутствие возможности загружать обновления, которые содержали бы функции слежения за пользователями.

18. Отсутствие информации о внешних независимых аудитах безопасности приложения Дія

Разработчики приложения Дія скрывают сведения о независимом внешнем аудите (оценке) безопасности своего продукта.

Согласно существующим международным практикам, тестировать продукт должны специалисты, которые не имели и не имеют отношения к его разработке, чем исключается возможный конфликт интересов.

Чтобы убедить пользователей приложения в надежности его безопасности, обычно публикуется общеописательная часть подобного независимого отчета, где указывается кто именно проводил тестирование (название компании, фамилии исполнителей), когда проводилось тестирование на безопасность, какими инструментами и методологиями. Как правило, максимально беспристрастными и профессиональными могут считаться известные международные компании с безупречной репутацией и высоким доверием в профессиональной среде.

Непредоставление подобных отчетов может свидетельствовать об отсутствии проведения тестирований (оценок) безопасности приложения.

19. Сомнительность объективности проведения государственной экспертизы приложения Дія

Любой государственный информационный ресурс, которым является дополнение Дія, должен пройти государственную экспертизу и получить положительное экспертное заключение по созданию и реализации Комплексной системы защиты информации (КСЗИ). 

Министр Федоров неоднократно вводил в заблуждение общественность по поводу существования такого выводу на КСЗИ, а по запросам граждан о получении его копии - предоставлялись заведомо нечитаемые документы.

Несмотря на наличие очевидного конфликта интересов (вывод на КСЗИ подписывает Председатель Госспецзвяка, которого назначает Кабинет министров Украины в лице курирующего вице-премьер-министра Федорова) и ожидаемой необъективности государственной экспертизы, Минцифры продолжает скрывать аттестат соответствия КСЗИ. В настоящее время он не доступен для общественности, хотя не является и не может являться документом с ограниченным доступом. 

20. Неудовлетворительный уровень коммуникации разработчиков приложения Дія с пользователями

Техническая поддержка приложения Дія находится на низком уровне: с ним трудно контактировать, а жалобы пользователей и в большинстве случаев остаются без должного внимания.

При этом средняя зарплата в Государственном предприятии Дія, разрабатывающее одноименный продукт, составляет 47 211 грн. Это примерно соответствует среднему уровню зарплат в коммерческих ИТ-компаниях. 

Замечания экспертов и профессионалов о недостатках построения и функционирования приложения – игнорируются, что наводит на мысль, что данный проект скорее политический, чем технологический.

Вместе с тем, реакция на критику и манера коммуникации руководителей проекта Дія с экспертами является грубым, нетерпимым и хамским. Отдельные должностные лица позволяют себе публично унижать оппонентов и даже угрожать им. Довольно часто в качестве контраргумента на объективную критику раздается: «нас заказали».

21. Возможность неограниченного клонирования документов в приложении Дія

Традиционно государство не разрешает существование даже одной копии бумажного/пластикового документа, удостоверяющего личность, в первую очередь паспорта. Причем подделка документов относится к серьезным уголовным преступлениям (статья 358. Подделка документов, печатей, штампов и бланков, сбыт или использование поддельных документов, печатей, штампов). 

В случае же цифровых паспортов государство позволяет одновременное сосуществование идентичных экземпляров на разных устройствах, то есть их копирование/клонирование.

На этот счет у специалистов возникают вопросы: какими причинами вызваны столь противоположные подходы?

Сколько экземпляров е-паспорта могут существовать одновременно: пять, десять, сто, тысяча?

Где именно зафиксирована норма по количеству экземпляров, в каком именно документе Минцифры?

Почему в случае е-документов отказались от принципа личного присутствия, как это сделано, например, в Эстонии, на чей регулярно ссылается Минцифры? Традиционные бумажные документы издаются исключительно при личном присутствии человека, чье лицо удостоверяют. Это позволяет реализовать ответственность должностного лица, выдаваемого этими документами.

Предусмотрена ли персональная ответственность работников разработчика в случае завладения чужим е-паспортом?

22. Непрозрачность порядка использования приложения Дія организациями

Минцифры запретило использование цифровых паспортов МФО (микрокредитные организации) из-за единственного задокументированного случая злоупотребления. При этом никаким регуляторным актом не определено: при каких условиях этот запрет будет отменен и какие критерии его применения в других случаях (например, почтовыми компаниями).

Константин Корсун

Эксперт по кибербезопасности.

Руководил подразделением кибербезопасности в СБУ; создавал и возглавлял CERT-UA (Госспецсвязи); работал руководителем украинского офиса международной кибербезопасной компании iSIGHT Partners; в качестве независимого поставщика предоставлял кибербезопасные услуги для корпорации Symantec; является соучредителем известной украинской кибербезопасной компании.

Спикер на профильных украинских и международных конференциях/митапах по кибербезопасности: OWASP Ukraine, OWASP Kyiv, NoNameCon, BSides Kyiv, BSides Kharkiv, BSides Ukraine, UISGCON, Hack.Lu, RIPE NCC Days, IGF-UA.

Блогер, общественный активист.

Андрей Баранович

Пресс-секретарь ОО "Украинский киберальянс"

Хактивист. Блоггер.

Андрей Перцюх

ИТ-архитектор, волонтер, исследователь, журналист.

Имеет более 20 лет опыта успешной разработки и внедрения банковских систем.

Артем Карпинский

Председатель ОО "Украинский Киберальянс"

 

Кир Важницкий 

Консультант по безопасности телеком- и fintech-проектов, 20 лет опыта.

OSCE

 

Александр Мацько

IT-специалист, волонтер.

Член Совета волонтеров при Министерстве обороны Украины.

 

Роман Химич

Исследователь по вопросам безопасности и доверия в цифровой среде, консультант участников рынка телекоммуникаций, соучредитель Secure and Trustful Digital Environment Task Force. Автор публикаций и докладов на PKI Forum Kyiv, BSides Kharkiv etc.