Яка цікава штука виявляється з реєстрами хворих на коронавірус і додатком Дія

Зайшов якось днями до мене у коменти один пан з державного підприємства Дія і повідомив (ну як повідомив – я зробив такий висновок з його не завжди адекватних коментарів, скріншоти внизу), що Дія не хоче навіть чути про безпеку реєстрів, з яких вони беруть дані. Тобто Дія відморожується від питання безпеки джерел отримання інформації.

Поясню чому це супер-важливо для розуміння наскільки зелені шмарклі піклуються про безпеку персональних даних громадян, і, зокрема, користувачів Дії.
Але спочатку коротко поясню принципову схему роботи додатку Дія та відповідних сервісів.
У країні існують кілька сотень реєстрів: пенсіонерів, нерухомості, дозволів-ліцензій, судових рішень, нормативних актів, виборців, і багато інших, всього близько 430, https://tinyurl.com/re65334

Додаток Дія бере дані з деяких з цих реєстрів, на своїх серверах аналізує (умовно кажучи) та показує у вашому смартфоні те, що стосується саме Вас: Ваші водійські права, студентський квиток, чи шо там ще (я не користуюся і не раджу). Насправді все складніше влаштовано, але я умисно спрощую, просто для розуміння суті проблеми.

Так ось, по факту і додаток і його інфраструктура (АРІ, мобільна частина, серверна частина, канал обміну даними) є лише транспортом (великою такою трубою) між реєстрами та смартфонами користувачів.
Наскільки дані в реєстрах відповідають дійсності – Дія не знає і знати не хоче. «Питайте тримача реєстру» каже (скріншот під постом).

Дозволю собі таку аналогію: по новеньким блискучим трубам (Дія) у квартиру потрапляє зазвичай більш-менш нормальна водопровідна вода (справжні дані з реєстрів).
Але якщо раптом у водних резервуарах (реєстри) щось трапиться (підміна даних, «підправлення», видалення записів, заміна дат, прізвищ, тощо) і замість очищеної води до вашої оселі потрапить вода забруднена або навіть отруєна – додаток Дія (система труб) за це ніяк не відповідатиме.

У справжній системі водопостачання за весь комплекс заходів з постачання води користувачам відповідає одна організація – комунальне підприємство Водоканал, яке забезпечує безпеку всього циклу, від безпеки резервуарів до подачі води у будинок.

Але така цілком логічна схема геть не працює у випадку передачі та обробки персональних даних громадян України: реєстри самі по собі, а Дія – сама по собі. Хоча і реєстри, і Дія є сферою відповідальності державних органів України. Різних органів, але все ж усі вони державні, і підпорядковуються одним і тим самим вищим чиновникам країни.

До чого така ситуація може призвести?
А давайте пофантазуємо. Створимо модель загроз, якщо казати професійною мовою.
Скажімо, існує умовний «реєстр хворих на коронавірус». Як і інші медичні реєстри, контролюється МОЗ, його підрозділами та державними підприємствами.

Хто і яким чином вносить до нього дані про носіїв, хворих, померлих від коронавірусу?

Я не знаю актуальну процедуру та алгоритм дій (бо це страшна державна таємниця, ага), тому будуватиму найгірший з можливих сценаріїв.
Скажімо, дані можна вносити у реєстр після підпису головлікаря на паперовому документі, у лікарні, де виявили хворого на коронавірус. Головлікар викликає айтішніка або (що більш вірогідно) медсестру, віддає їй паперовий, написаний від руки, документ з «мокрими» підписами лікарів і каже «Внеси, будь ласка, дані по цьому пацієнту у реєстр хворих на коронавірус». Медсестра йде у підсобку до старенького пентіуму зі ЕЛТ-монітором, логіниться з паролем головлікаря і одним пальцем тикає у клавіатуру. Після того дані проходять модерацію на головному сервері реєстру і якщо не містять явних помилок (наприклад, дата народження 12,31.1694 або щось подібне) – вносяться у Реєстр. Після того Дія ідентифікує хворого по іншим реєстрам: бази даних виданих паспортів, водійських прав, пенсіонерів, закордонних паспортів чи по іншим.

І якщо така людина дійсно існує у всіх інших реєстрах – до хворого вривається спецназ у важкі амуніції та вимагає встановити додаток «Дій вдома» для контролю дотримання ним правил карантину. Гнилі відмазки типу «у мене немає смартфону» або «це порушення моїх конституційних прав» викликають гомеричний регіт у слуг закону і призводять до негайного виписування штрафу на суму у межах від 17 000 до 34 000 гривень, у залежності від настрою таваріщмайора.
Думаєте, занадто фантастично і такого у нашому житті не можу бути? А я вважаю, що схема цілком робоча, навіть побутова.

Але перейдемо до розбору можливих ризиків.

Логін-пароль головлікаря для внесення даних до реєстру: сам по собі слабий захист, потребує другого фактору, а краще і третього. Де логін-пароль зберігаються? На папірці під монітором головлікаря? Куди їх переписує медсестра, на інших папірець, а потім забуває у кишені халату? Чи може вона дати ці чутливі дані своїй подружці «подивитися чи нема там моїх сусідів» або мутному типу за рогом лікарні за 500 гривень? Як забезпечено унеможливлення подібних ситуацій? Невідомо.

А старенький комп’ютер, який має доступ до реєстру: яка там операційна система? Windows XP, скачана років п’ятнадцять тому з піратського сайту, з купою дірок у системі захисту та піратськими бекдорами? Чи встановлений на лікарняному комп’ютері антивірус, який саме і наскільки він актуальний? Не касперський же, правда?
А чи контролюється правильність введення даних пацієнта? Чи не може статися так, що медсестра не розібрала почерк і внесла до реєстру невірне прізвище? Вірогідність, що «зараженим» стане випадкова людина – вкрай низька, майже неможлива, але у такому разі Дія не зможе ідентифікувати хворого, а «моя нова поліція» радісно випише штраф за «невикористання додатку».

Далі: як інформація з комп’ютера лікарні передається до центрального серверу реєстру? Через широкосмугового оператора чи можна через мобільного? Чи шифрується цей канал? Якщо шифрується – якими засобами (апаратними, програмними), наскільки вони надійні, яка довжина ключа шифрування? Чи використовується VPN, проксі, і чи можна їх відключити вручну на стороні користувача або адміна?

Я можу ще довго перераховувати можливі питання та відповідні ризики по кожному з етапів наповнення та безпеки функціонування реєстру хворих на коронавірус, це називається «модель загроз», «управління ризиками та їх мінімізація» та ще багато розумних професійних термінів.

Але найбільші ризики виникають не на етапі введення та передачі даних, а на рівні їх зберігання у реєстрі, та – особливо – видачі всіляким Діям та іншим аваковим.

Усі ці ризики повинні якимось чином бути систематизовані, узагальнені та мінімізовані або навіть виключені. Повинні бути вимоги до персоналу, допущеного до роботи реєстру, до обладнання, до безпеки каналу передачі даних, чіткий та жорсткий порядок доступу до усієї бази даних реєстру, контроль кожного запиту до записів реєстру, унеможливлення скачування усієї бази або її частини, та ще безліч інших заходів безпеки. Зазвичай для цього розробляється окреме положення про кожен реєстр, яке затверджується відповідним міністерством. Для забезпечення безпеки технічного рішення створюється так звана «комплексна система захисті інформації» (КСЗІ), без якої не дозволяється використання будь-якого державного інформаційного ресурсу (ст. 8 Закону України «Про захист інформації в ІТС»). КСЗІ – це купа застарілого нормативного лайна, яка давно перестало відповідати сучасному рівню кіберзагроз. Але це хоча б формальний захист. І ці вимоги досі є чинними.
У випадку реєстру хворих на коронавірус, КСЗІ – це купа паперу, де стоять підписи якихось людей, які тими підписами клянуться, що система захисту реєстру побудована і щось захищає. Звісно, це, здебільшого, формальність і її дотримання ніхто реально не контролює, але це трохи більше, ніж нічого.
Чи є хоча б КСЗІ для реєстру хворих на коронавірус? Сильно сумніваюся.

Скажу більше: атестату відповідності КСЗІ не існує також на додаток Дія та на державний портал diia.gov.ua. Хоча повинні бути обов’язково, без цього не дозволяється експлуатувати будь-який державний інформаційний ресурс.

Так, КСЗІ захищає не дуже, але, можливо, кібербезпека цих державних ресурсів забезпечена якимось іншим, більш сучасним та ефективним способом? Мінцифра ці питання також ігнорує, хоча я їх ставлю публічно та непублічно задовго до моменту першого релізу Дії.

Увесь цей ланцюжок подій в умовній лікарні умовного місця в Україні є плодом роботи мого уявлення, логіки, життєвого та професійного досвіду. Насправді деталі можуть суттєво відрізнятися.

Але загальна схема, думаю, відповідає дійсності. Особливо у частині ризиків та відсутності належних заходів безпеки персональних даних.

А якщо у реєстру хворих на коронавірус відсутній справжній кіберзахист – питання його витоку є лише питанням часу. Спочатку базу матимуть чиновники МОЗ, аваківці та баканівці, судді та судові виконавці, потім усі інші кровосісі, а потім базу реєстру продаватимуть на усіх підпільних майданчиках. Як використати ці дані проти людей, які фігурують у реєстрі– не хочу навіть уявляти, це вже якось без мене.

Але штрафувати за «невикористання» державного поліцейсько-карального шпигунського додатку з досить мутним рівнем захисту та непрозорими правилами гри – все одно мають твердий намір. Міністр Федоров про це сказав у першому відео-інтерв’ю (у першому коментарі), хоча пізніше очільники мінцифри змусили агентства новин та телеканали цей незручний момент видалити з матеріалів. Як діти, їйбо. Діти з кулеметом.

Відсутність дієвої безпеки у державних реєстрах – є ключовою проблемою та головною загрозою не тільки для Дії, а й для інших продуктів, заснованих на отриманні персональних даних з реєстрів. І це набагато важливіше, ніж безпека самого додатку (не доведена, а тому сумнівна).

Допоки у реєстрах немає чіткого порядку та дієвого контролю, поки там хазяйнують штрафувальники та таваріщмайори, корупціонери та рішали, невігласи та рукожопи – автоматизувати цей хаос категорично не можна, протипоказано. Діджиталізацію слід було почати саме з цього – з наведення порядку у реєстрах. А це довго та тяжко. А начяльніка вимагав швидких результатів, тому вирішили старе лайно розбризкувати по всій країні через новеньку красивеньку автоматизовану систему. А хто відмовиться ковтати – тому штраф. Поки виглядає саме так.

Нагадаю, що цей допис був про кібербезпеку, якщо що. Не про права людини, ні. Не про агресивних невігласів при владі, що ви. І не про ігнорування законодавства тими, хто контролює його дотримання.
Про кібербезпеку. Яка відтепер має дуже цікавити кожного, у кого є смартфон.

P.S.: Поки дописував статтю, проросійська помийка вже опублікувала перелік адрес, де виявлено коронавірус: https://tinyurl.com/tkh8857

І це тільки початок, далі будуть ПІБ, номер телефона та фото хворих. «Опираясь на данные, полученные от наших источников в медицинских кругах», аякже.
А потім Нові Санжари у масштабах всієї країни зі жбурлянням каміння, вибитими вікнами, цькуваннями та лінчуванням. Наочна матеріалізація ризиків «недостатнього захисту персональних даних». Але довбодятлам на це начхати, аби дієчка справно працювала.