«22 гріхи Дії». Прем’єраНарешті ми з колегами раді презентувати майже повне зібрання усіх головних недоліків додатку Дія:
Просмотр ссылок доступен только зарегистрированным пользователям Мова йде саме про додаток, не про веб-портал. Але не слід забувати, що і додаток Дія, і портал Дія є частинами однієї системи.
У різні часи різні люди в запитували різних фахівців у коментах до різних дописів: «так а шо не так з Дією?». Ми намагалися пояснити, інколи успішно.
Але з огляду на стрімко зростаючу актуальність цієї проблематики, ми вирішили зібрати всі питання-відповіді докупи в одному місці. Зробити такий собі путівник по проблемам Дії, щось на кшталт довідника або глосарія.
Як фахівці та експерти з великим досвідом у різних галузях ІТ та кібербезпеки ми можемо розказати значно більше, ніж у цьому документі. Але навіть досить лаконічна версія вийшла доволі об'ємною, тому задля спрощення сприйняття ми винесли у заголовок лише короткі тези, а хто зацікавиться поясненнями – можна почитати, натиснувши «Детальніше».
Ось вони, ці 22 короткі тези:
Просмотр ссылок доступен только зарегистрированным пользователям1. Суттєві дефекти архітектури додатку Дія.
2. Обробка та зберігання персональних даних у додатку Дія.
3. Можливість перехоплення та накопичення персональних даних під час перевірки е-документів у додатку Дія.
4. Можливі шахрайства з використанням Дії.
5. Можливість слідкувати за користувачами через додаток Дія.
6. Ризики дистанційного несанкціонованого проникнення до смартфону (“зламу”) зі встановленим додатком Дія.
7. Неможливість самостійно заблокувати свій акаунт в Дії (опція Opt-Out)
8. Ризики фальсифікації «виборів у смартфоні» з використанням додатку Дія.
9. Ризики «повістки через Дію».
10. Ризики відсутності доступу до Інтернет додатку Дія.
11. Не всі громадяни мають можливість користуватися додатком Дія.
12. Надмірна централізація системи та агрегація повноважень.
13. Відсутність правил користування додатком та механізму контролю за дотриманням цих правил.
14. Ігнорування чинного законодавчого регулювання зі створення програмних продуктів.
15. Створення штучної монополії додатку Дія.
16. Відсутність у публічному доступі документації на додаток Дія.
17. Відсутність публічного доступу до вихідного коду додатку Дія.
18. Відсутність інформації про зовнішні незалежні аудити безпеки додатку Дія.
19. Сумнівність об’єктивності проведення державної експертизи додатку Дія.
20. Незадовільний рівень комунікації розробників додатку Дія з користувачами та ІТ-фахівцями.
21. Можливість необмеженого клонування документів у додатку Дія.
22. Непрозорість порядку використовувати додаток Дія іншими організаціями.
Нумерація проблем не відповідає ступеню їх критичності, а лише ступеню впливу на звичайне життя пересічного громадянина. Але корінь усіх проблем – це все ж таки п.1, як на мою особисту думку.
На складання даного документу витратили свій час відомі у професійних колах експерти:
Андрій Баранович, aka Sean Brian Townsend
Андрій Перцюх aka Andrii Pertsiukh
Артем Карпинський aka Tim Karpinsky
Кір Важницький aka Kir Vaznitcky
Олександр Мацько aka Олександр Мацько
Роман Хіміч aka Roman KhimichНу і куди ж без мене: Костянтин Корсун aka Kostiantyn Korsun
Копіюйте, завантажуйте, друкуйте, поширюйте посилання:
Просмотр ссылок доступен только зарегистрированным пользователямА також обговорюйте, у тому числі з нами.
Ми відкриті до професійних запитань та конструктивної критики. І не тільки у коментарях під цим дописом чи дописами колег, але також на різних онлайн/офлайн-подіях.
І ще одну таємницю розкрию: насправді документ готувало більше експертів, ніж підписалося під ним. Зі зрозумілих причин: побоювання розправи над «незгодними» з боку влади, чому є багато прикладів.
Очевидно, що і дана публікація спричинить мега-істерику з боку ідеологів Дії і поки неясно до яких наслідків це призведе для авторів.
Але і мовчати про це ми вже не можемо.
Тому що проблеми Дії набувають загрозливого масштабу, а зауваження фахівців ігноруються.
Наслідки тривалого безвідповідального та непрофесійного ставлення влади до цифровізації та захисту персональних даних вже наочно продемонстровано кремлівськими хакерами у січні цього року. Все більше людей стають жертвами шахрайств з онлайн-кредитами. Влада безпорадна, некомпетентна і постійно приховує правду.
Тому настав час вирішувати проблему, а не просто її обговорювати. І відкрите озвучення проблем – це перший, але важливий крок. Але про це – пізніше.
Сьогодні ж – просто фотографія існуючих недоліків додатку Дія.
Enjoy.
#22гріхиДії
Просмотр ссылок доступен только зарегистрированным пользователям