Ошибки в цифровых сервисах могут привести к серьезным проблемам / Фото: Дія, REUTERS/JRB
Следить за обычным человеком сейчас проще простого. Все мы оставляем цифровые следы, хотим того или нет. Более того, мы даже не пытаемся защититься от слежки. Например, проходим смешные тесты на неизвестных сайтах – а они могут привести к утечке персональных данных. Порой даже таких, как пароль от банковской карты.
В итоге может оказаться, что вы набрали кредитов через систему "Дія" или что ваша цифровая подпись стоит под петицией, которой вы и в глаза не видели, говорится в сюжете "Сегодня.Итоги".
Мы узнали о примерах серьезных ошибок в системе цифровых подписей и на портале "Дія" и сделали вывод: защититься практически невозможно.
"Байден" и петиция к Зеленскому
Под одной из поданных президенту Украины Владимиру Зеленскому петиций 17 июня обнаружилась подпись... президента США Джо Байдена. Эта забавная история не такая уж и смешная, если хорошо подумать. Ведь только граждане Украины имеют право подписывать петиции. Более того, система должна удостовериться, что вы – реальный человек. А делает она это или через систему "Дія", или с помощью электронной цифровой подписи.
То есть дело серьезное, и касается оно всех украинцев. Замглавы Госслужбы спецсвязи и защиты информации Александр Потий подтвердил: Байден петицию точно не подписывал. Но что же это было?
"Была использована ошибка в организационно-техническом протоколе идентификации. И, как мы считаем, на стороне именно пользователя – или он неправильно использовал и хранил свои ключевые данные, или была ошибка, которой могли воспользоваться, чтобы сделать замену", – рассказал Потий.
То есть на президентском сайте петиций была возможность во время авторизации и перед самым моментом подписания изменить свое имя на другое. Кто-то об этом узнал и в нужный момент воспользовался, чтобы скомпрометировать сам принцип электронных петиций.
В Госспецсвязи нас заверили, что ошибку оперативно исправили и в будущем такое не повторится. Хочется верить, потому что последствия могут быть серьезными, предупреждают эксперты.
"Сегодня это подпись под невинной петицией к президенту Украины, а завтра может быть уже перепись квартиры на кого-то или открытие фирмы-однодневки. Никто этого не знает, никто не может предсказать", – считает эксперт по электронному управлению Евгений Поремчук.
Поддельные кредиты через несуществующую "Дію"
Людмила еще в марте пострадала от хакеров. Киберпреступники устроили целую серию покушений на ее персональные данные. Сначала женщина получила на почту уведомление о смене привязанного номера телефона и быстро смогла остановить процесс замены. Но на следующий день ей начали звонить из микрофинансовых организаций с сообщениями, что она якобы хочет взять кредиты.
Затем из банка, в котором у Людмилы зарплатная карта, поступило сообщение о скором изменении финансового номера телефона. А одна из микрофинансовых организаций сообщила, что деньги за кредит переведены на карту в другом банке. Конечно, ни кредита, ни карточки в указанном банке Людмила не имела. Дело удалось закрыть после общения с банком, и кредит списали. Но на этом приключения не закончились.
"Кредита нет, сплю спокойно, и тут 24 апреля мне звонит автоответчик: "Если вы знаете Людмилу, передайте ей, что она взяла кредит и его не отдает". Сказали, что я оформила кредит, да еще сделала это через "Дію", со своей электронной подписью. А у меня нет электронной подписи, нет "Дії", я никогда туда не заходила", – рассказала Людмила.
После этого женщине пришлось доказывать свою невиновность. Сначала пострадавшая написала заявление в Национальный банк. Там ей ответили, что кредит оформлен законно. Потом Людмила обратилась к разработчикам мобильного приложения "Дія". Там заверили, что у них все сертифицировано и защищено. А удалять аккаунт отказались – мол, это невозможно.
Следующим шагом стало заявление в полицию. Но через несколько дней оказалось, что его не внесли в реестр. Дело закрыли, объединив с несколькими похожими. Заявление пришлось писать еще раз. Уже после того, как история Людмилы была предана огласке, ей позвонили из Министерства цифровой трансформации и заверили, что кредита больше нет. Правда, никаких документальных свидетельств не предоставили.
"Сегодня" попросили главу Минцифры объяснить, что случилось, но он не нашел времени на ответ. В пресс-службе ведомства предположили, что мошенники выкрали номер телефона Людмилы, а потом получили доступ к банковскому аккаунту. Правда, Людмила уверена – ее номер невозможно дублировать, ведь он уже год как привязан к ее паспорту.
Безопасна ли "Дія" и как защититься
"Во время презентации этого проекта первым приоритетом были удобство и скорость предоставления услуг, а также минимизация рисков, связанных с коррупцией. А риск, связанный с незаконным использованием персональных данных был во втором-третьем приоритете", – считает адвокат Александр Горобец.
Тем временем преступников в киберпространстве становится все больше. Как обезопаситься?
"Я – специалист по кибербезопасности с 2000 года. И я не знаю, как обезопаситься. Единственное, чего мы можем требовать от правительства, – опубликовать детальное расследование этих кейсов. Чтобы четко рассказали, как это произошло, что они сделали, чтобы этого не было в будущем", – сказал эксперт по кибербезопасности Константин Корсун.
"Есть такая статья в Гражданском кодексе, ее мало кто знает – "Собственные обязательства". Если лицо обладает чем-то, то в первую очередь оно обязано обеспечить безопасность этой собственности", – добавил Горобец.
Попросту говоря, это классическое "спасение утопающих" – мы сами должны защищать свое. Так говорит закон.
Напомним, ранее мы рассказывали, как шантажисты собирают данные украинцев с помощью популярных приложений.