Скільки коштують дані українців і чи безпечно завантажувати Дію – інтерв'ю з "білим" хакером
В епоху цифрових технологій необхідно розуміти і дотримуватися базових принципів захисту даних, щоб вас не "хакнули" в найневідповідніший момент. Як захиститися від кібератак і хакерів? Хто винен у витоку бази даних компанії і як убезпечити бізнес від неї ?
Чи варто реєструватися в додатку Дія? У цьому розбиралися разом з генеральним директором Cyber Unit Technologies Єгором Аушевим на U Tomorrow Summit.
Важливо Кількість кібератак стрімко зростає і Україна – не виняток: дані компанії Tet
Що таке Дія
Веб-портал та однойменний мобільний додаток, які є частиною проєкту "Держава в смартфоні" Міністерства цифрової трансформації України. В "Дії " українці можуть отримувати послуги від держави в режимі онлайн, зокрема:
- довідки;
- виписки й дані від різних держвідомств і реєстрів;
- подання пакетів документів для ініціювання різних процесів: відкриття / закриття ФОП;
- оформлення допомоги по безробіттю і т. д.
В "Дії" зберігаються електронні повноправні копії закордонного паспорта, ID-карти, студентського квитка, водійських прав, техпаспорта. Мета програми – зробити процес надання держпослуг швидким, прозорим, а також позбавити людей від непотрібної бюрократії.
Як ви ставитеся до програми Дія і чи використовуєте її?
Я ще не скачував цей додаток. У кожної людини є вибір – реєструватися чи ні, завантажувати додаток або не завантажувати. Безумовно він робить життя більш зручним, важливо тільки щоб подібні програми були добре захищені. Адже противників у таких процесів діджиталізації дуже багато, і вони можуть спробувати зламати й скомпрометувати такий додаток, тим самим знизивши рівень довіри від населення. Цифровізація прибирає корупцію і бюрократію і, звичайно, це багатьом не подобається.
Додаток Дія неодноразово звинувачували у "зливі" персональних даних українців. За скільки зараз можна купити базу даних? Від чого залежить її вартість?
За 20 доларів можна купити базу даних. В Україні є десятки різних. Вартість залежить від того, наскільки вона свіжа. Стару взагалі за копійки можна придбати або навіть отримати безкоштовно. Потрібно вибудовувати системи й доступи співробітників таким чином, щоб в майбутньому витоку не відбувалися. Адже найпростіше не ламати систему, а підкупити людину всередині системи та отримати від нього базу даних.
Останні нововведення додатка Дія:
- З кінця серпня у всіх центрах з надання адміністративних послуг Києва можна пройти процедуру верифікації за допомогою електронного паспорта. Для цього необхідно відсканувати QR-код в додатку Дія.
- Наприкінці серпня в Україні прирівняли електронні паспорти до паперових. Закон президент підписав ще у квітні, і тільки днями е-версіям ID-карток дали "зелене світло". Таким чином, Україна стала першою державою у світі, яка їх узаконила.
- У вересні стало відомо, що підробка COVID-сертифікатів загрожує позбавленням волі.
Єгор Аушев / Фото з Фейсбуку Cyber Unit Technologies
Читайте також Захист Google Play Protect знову провалив перевірки
Нещодавно джерело Reuters повідомило, що Google заблокував пошти працівників афганського уряду, щоб таліби не отримали до них доступ. Оцініть дії корпорації.
Якщо допустити, що в листуванні gmail (електронної пошти від Google – 24 канал) буде плануватися теракт, то краще, щоб хтось моніторив листування і запобіг його. Однак в цьому випадку порушується момент приватності.
Google – приватна компанія і не єдина, яка надає спецслужбам і правоохоронним органам подібні дані. Будь-яка приватна компанія може діяти згідно зі своїми правилами. Інша справа, що ці правила потрібно пояснювати своїм клієнтам і не приховувати таку інформацію.
Приватна компанія втручається в політику, збирає дані, блокує пошти…
Якщо компанія блокує пошти, то це означає, що на неї хтось впливає. Як захистити себе від зливу інформації Google і подібних? Просто не потрібно порушувати закон або не користуватися gmail зовсім. Інших варіантів, мабуть, не існує.
Поштові скриньки – не єдині уразливості в наших онлайн-комунікаціях. Ми користуємося певними пристроями, коли заходимо в Google. Не можна бути повністю впевненими в цьому ланцюжку – в мобільних додатках, в операційній системі, в ноутбуці. Є додатки, які роблять скріншоти екранів або зовсім зливають дані, подібно Pegasus (вірусу – 24 канал).
Також є програми, які дістають метадані за допомогою спеціальних технологій. Я співпрацюю з однією австралійською компанією. Вони проводили розслідування Panama Papers. "Добували" з певних документів метадані й створювали ланцюжок зв'язку між різними документами.
Можна бачити, хто створював файли і яким чином відкривав на комп'ютері. Звичайні люди точно не зможуть захиститися від цього.
А як співробітникам державних органів захиститися від кібератак і хакерів?
Чиновникам слід використовувати тільки корпоративну пошту. Нещодавно я відвідав один важливий для України захід. Не буду його називати. Приїжджали багато іноземців, зокрема й американці, і нам усім приходили запрошення з електронної пошти Google, замість корпоративної пошти. Це неправильно.
За словами експерта, якщо це міністерство, то листи слід відправляти з адреси електронної пошти відомства. Він підкреслив, що "повинні бути правила, і повинні бути ті, хто контролює їхнє дотримання".