Сколько стоят данные украинцев и безопасно ли скачивать Дию, – интервью с "белым" хакером

13 сентября 2021, 19:30

В эпоху цифровых технологий необходимо понимать и соблюдать базовые принципы защиты данных, чтобы вас не "хакнули" в самый неподходящий момент. Как защититься от кибератак и хакеров? Кто виновен в утечке базы данных компании и как обезопасить бизнес от нее?

Стоит ли регистрироваться в приложении Дия? В этом разбирались вместе с генеральным директором Cyber Unit Technologies Егором Аушевым на U Tomorrow Summit.

Важно Количество кибератак стремительно растет и Украина – не исключение: данные компании Tet

Что такое Дия

Веб-портал и одноименное мобильное приложение, которые являются частью проекта "Государство в смартфоне" Министерства цифровой трансформации Украины. В "Дие" украинцы могут получать услуги от государства в режиме онлайн, в том числе:

справки;
выписки и данные от различных госведомств и реестров;
представление пакетов документов для инициирования различных процессов: открытие / закрытие ФЛП;
оформление пособия по безработице и т.д.

В "Дие" хранятся электронные полноправные копии загранпаспорта, ID-карты, студенческого билета, водительских прав, техпаспорта. Цель приложения – сделать процесс предоставления госуслуг быстрым, прозрачным, а также избавить людей от ненужной бюрократии.

Как вы относитесь к приложению Дия и используете ли его?

Я пока не скачивал это приложение. У каждого человека есть выбор – регистрировать или нет, скачивать приложение или не скачивать. Определенно оно делает жизнь более удобной, важно только чтобы подобные приложения были хорошо защищены. Ведь противников у таких процессов диджитализации очень много, и они могут попытаться взломать и скомпрометировать такое приложение, тем самым понизив уровень доверия от населения. Цифровизация убирает коррупцию и бюрократию и, конечно, это многим не нравится.

Приложение Дия неоднократно обвиняли в "сливе" персональных данных украинцев. За сколько сейчас можно купить базу данных? От чего зависит ее стоимость?

За 20 долларов можно купить базу данных. В Украине есть десятки различных. Стоимость зависит от того, насколько она свежая. Старую вообще за копейки можно приобрести или даже получить бесплатно. Нужно выстраивать системы и доступы сотрудников таким образом, чтобы в будущем утечки не происходили. Ведь проще всего не ломать систему, а подкупить человека внутри системы и получить от него базу данных.

Последние нововведения приложения Дия:

С конца августа во всех центрах по предоставлению административных услуг Киева можно пройти процедуру верификации с помощью электронного паспорта. Для этого необходимо отсканировать QR-код в приложении Дия.
В конце августа в Украине приравняли электронные паспорта к бумажным. Закон президент подписал еще в апреле, и только на днях е-версиям ID-карточек дали "зеленый свет". Таким образом, Украина стала первым государством в мире, которое их узаконило.
В сентябре стало известно, что подделка COVID-сертификатов грозит лишением свободы.

Егор Аушев / Фото из фейсбука Cyber Unit Technologies

Недавно источник Reuters сообщил, что Google заблокировал почты работников афганского правительства, чтобы талибы не получили к ним доступ. Оцените действия корпорации.

Если допустить, что в переписке gmail (электронной почты от Google – 24 канал) будет планироваться теракт, то лучше, чтобы кто-то мониторил переписку и предотвратил его. Однако в этом случае нарушается момент приватности.

Google – частная компания и не единственная, которая предоставляет спецслужбам и правоохранительным органам подобные данные. Любая частная компания может действовать согласно своим правилам. Другое дело, что эти правила нужно объяснять своим клиентам и не скрывать такую информацию.

Частная компания вмешивается в политику, собирает данные, блокирует почты…

Если компания блокирует почты, то это значит, что на нее кто-то оказывает влияние. Как защитить себя от слива информации Google и подобных? Просто не нужно нарушать закон или не пользоваться gmail вовсе. Других вариантов, пожалуй, не существует.

Совсем недавно сервис защищенной почты ProtonMail выдал французским властям IP‑адрес местного активиста. При этом сотрудники сервиса удалили у себя строку на сайте о том, что они выдают подобную информацию.

Почтовые ящики — не единственные уязвимости в наших онлайн-коммуникациях. Мы пользуемся определенными устройствами, когда заходим в Google. Нельзя быть полностью уверенными в этой цепочке – в мобильных приложениях, в операционной системе, в ноутбуке. Есть приложения, которые делают скриншоты экранов или вовсе сливают данные, подобно Pegasus (вирусу – 24 канал).

Также есть программы, которые достают метаданные с помощью специальных технологий. Я сотрудничаю с одной австралийской компанией. Они проводили расследование Panama Papers. "Добывали" из определенных документов метаданные и создавали цепочку связи между различными документами.

Можно видеть, кто создавал файлы и каким образом открывал на компьютере. Обычные люди точно не смогут защититься от этого.

А как сотрудникам государственных органов защититься от кибератак и хакеров?

Чиновникам следует использовать только корпоративную почту. Недавно я посетил одно важное для Украины мероприятие. Не буду его называть. Приезжали много иностранцев, в том числе и американцы, и нам всем приходили приглашения с электронной почты Google, вместо корпоративной почты. Это неправильно.

По словам эксперта, если это министерство, то письма следует отправлять с адреса электронной почты ведомства. Он подчеркнул, что "должны быть правила, и должны быть те, кто контролирует их соблюдение".