Чим застосунок "Резерв+" небезпечний для українців: пояснює експерт з кібербезпеки
Застосунок для військовозобов'язаних "Резерв+" має низку суттєвих недоліків з погляду захисту персональних даних. Таку думку висловив експерт із кібербезпеки Костянтин Корсун в інтерв'ю Radio NV. Texty.org.ua публікують ключові висновки експерта.
Корсун наголошує, що з погляду кібербезпеки, з погляду захисту персональних даних "Резерв+" — це катастрофа.
Перераховуючи основні проблеми, експерт вказує на те, що "Резерв+" створено на основі недоробленого освітнього застосунку "Мрія". Крім того, користувачам пропонують звертатися в техпідтримку через Telegram.
На думку експерта, застосунок випускали поспіхом, щоб встигнути до 18 травня — дня набуття чинності оновленого закону про мобілізацію. Тому функціональність "Резерв+" не була готова.
"А те, що дуже швидко робиться, ніколи не буває якісно. Кожен з нас прекрасно знає це правило.
Навіть по функціональності не вгадали, хоча мали всі вихідні дані. Приблизна кількість військовозобов'язаних більш-менш була зрозумілою, і можна було розрахувати навантаження на додаток, можна було якось адаптувати авторизацію через BankID. Треба було просто цю купу зібрати і прорахувати. Але вийшло все як завжди.
Ще раз наголошу, що навіть функціональність не була готова, а безпека завжди відстає від функціональності, вона на другому, третьому, п’ятому, десятому місці. Головне — функціональність, аби воно працювало, виконувало ту функцію, яку розробник закладає в нього. А закладалася функція, щоб військовозобов'язаний, призовник чи резервіст міг віддалено оновити свої дані. Це одна функція, одностороння. І з цією задачею впоралися так собі", — каже Корсун.
Костянтин Корсун вважає, що ризики, пов'язані з питанням безпеки, а особливо захисту персональних даних, були "просто проігноровані", хоча вони є. З погляду кібербезпеки, головна загроза і найгірший сценарій — це якщо база якимось чином опиниться в розпорядженні ворога. При цьому інформація про те, як саме розробники убезпечилися від атак, закрита.
"Нічого — ні слова, ні півслова — про інфраструктуру і яким чином забезпечується безпека не сказано, не повідомлено. Відповідно, можна будувати будь-які конспірологічні теорії", — наголосив Корсун.
Також, зауважує він, громадяни не можуть проконтролювати свої персональні дані. Неможливо дізнатися, хто і як ними розпоряджається, як вони зберігаються, чи надійно забезпечено їхній захист.
"З погляду закону, це додаток такий же, як ви пройшли тест "Який ти фрукт?" Суто формально-юридично.
І навіть в самому додатку прямо нічого не сказано. Якби там було написано "Резерв+", а десь внизу дрібним шрифтом написано, що цей продукт є електронним кабінетом військовозобов'язаного, призовника, резервіста, то ще можна було б [так трактувати]. Якісь були б двозначності, можна було сперечатися, але якось, хоч трошечки воно б вписувалось у законодавство. Цього нічого немає, відповідно, і юридичних наслідків це жодних не створює.
Тим більше, що після оновлення даних у "Резерв+" ви нічим не можете це довести. Щось ви потикали, вам на екранчику щось показали, дякую, оновлено. Але жодних документальних свідчень цьому немає, тому що міністерство, розробники додатку цю функцію генерування QR-коду, який веде на електронний військово-обліковий документ, який підтверджує, [планують запустити] лише після 18 червня. І це одразу було заявлено.
Тим людям, які зараз це все заповнюють: це ні від чого не страхує, нічого не доводить і юридичних наслідків ніяких не створює. Ви такі задоволені, оновили все через додаток, ідете вулицею, вас зупиняє патруль ТЦК і каже: "А у нас в базі немає нічого про вас. Сідайте в бусик, будь ласка, поїхали в ТЦК, на медкомісію", — пояснює експерт з кібербезпеки.