Якщо пропозиції «припинити пострілювати» й «почати домовлятися посередині» з Росією призвели до багатотисячних мітингів «Ні, капітуляції!», то спроби уряду виправити радянську систему управління з її довгими чергами по талони на отримання довідок багато хто сприймає з ентузіазмом. Нікому, навіть і чиновникам, не хочеться користуватися друкарськими машинками, стаціонарними телефонами, запорошеними паперами та іншими невідбутними атрибутами попереднього технологічного устрою. Але сучасні технології приносять як зручність, так і нові ризики. Зручно не тільки вести бізнес, а й красти гроші. Просто не лише подавати звітність, а й шпигувати, зокрема за власними громадянами. Успішність модернізації визначається не «цифровими підписами» та модними слоганами, як-от «держава в смартфоні», а довірою громадян до державних інститутів.
Довіру, як гарно зауважив експерт телекомунікаційного ринку Роман Хіміч, можна уявити як дріб, де в знаменнику — усі неодноразові обіцянки, чимало проектів та заяв чиновників, а в чисельнику — ті рідкісні ситуації, коли вони справдилися. В українському суспільстві це число, або, як сьогодні модно казати, «ключовий показник ефективності», падає до нуля. Заклики ще раз об’єднатися, затягнути ремені й попрацювати для загального добра в підсумку ще більше відчужують людей і владу. Ще в серпні міністри Федоров і Дубілет нарахували 341 державний реєстр та обіцяли за три місяці провести їх аудит задля оптимізації та об’єднання. Востаннє про це згадували наприкінці жовтня, коли Рада взяла за основу закон про реєстри, у якому передбачалося створити ще один реєстр реєстрів, щоб нарешті навести в них лад. І почати об’єднувати їх у єдину систему, що на тлі заяв Федорова про те, нібито «безпека не важлива», звучить лячно.
Читайте також: Президент десь посередині
Коли мова заходить про безпеку даних, Міністерство цифрової трансформації посилається на робочу групу в РНБО, проте і Національний координаційний центр кібербезпеки, і Державний центр кіберзахисту ДССЗЗІ поки що не можуть похвалитися успіхами. Україна тільки-но починає усвідомлювати масштаб проблеми, а це вже не мало, бо перший крок до розв’язання проблеми — це визнати, що вона є. У січні волонтери знайшли уразливість у сайті Національного агентства з питань державної служби, яке проводить конкурси для найму нових держслужбовців. У відкритий доступ потрапили анкети й документи всіх кандидатів. На відміну від багатьох інших ситуацій, коли розпорядники даних просто відмовчувалися та ігнорували діри в захисті, цього разу реакція виявилася надмірною. Дірою зацікавився омбудсмен з прав людини (його офіс займається, зокрема, захистом персональних даних), і він почав позапланову перевірку НАДС. Тут-таки висадився «десант» Держспецзв’язку, а РНБО скликала позапланову нараду.
Якщо врахувати кількість дірок, що їх знайшли в державних системах, то, боюся, Раді Безпеки доведеться відкласти всі свої справи й засідати безперервно. Буквально за кілька днів до того попливли платіжки за комунальні послуги Київської міської адміністрації разом з іменами та адресами, чим могли б скористатися шахраї. Не секрет, що кожна установа, щоб збільшити свої повноваження, намагається тут-таки розплодити реєстри й зібрати якомога більше інформації. Інформація — гроші та влада. Кров сучасного світу. У податковій СБУ викрила махінації з автоматизованою системою, які давали злочинцям змогу списувати до п’ятисот мільйонів гривень на місяць. У реєстрах прав власності безкарно розпоряджаються рейдери. Історіями хвороби в системі eHealth цілком можуть зацікавитися фармацевтичні та страхові компанії. Сертифікат «комплексної системи захисту інформації», яким нещодавно похвалилася Мінцифра, захистити може лише від регулятора, але не від хакерів чи злодійкуватих чиновників.
Багато процесів, що їх зараз намагаються автоматизувати, не повинні бути ні швидкими, ні простими. Інколи зусилля, яких докладають, щоб змінити власника компанії, вдати із себе іншу людину й проголосувати на виборах, — це просто способи захисту. Автоматика пришвидшує та спрощує будь-які завдання: шахрайство, підробку документів, крадіжку особистості та корупцію. Нас намагаються переконати в тому, що коли замінити підпис кульковою ручкою на цифровий підпис, то довіра виникне сама собою, за допомогою магічних технологій. Однак 2016 року перший день роботи системи електронного декларування почався зі скандалу: була подана декларація з фальшивим цифровим підписом на ім’я Руслана Рябошапки. Як так сталося, ніхто досі не пояснив. Якщо не завжди можна довіряти нотаріусу, попри особисту присутність і численні документи, то як тоді довіряти цифровому підпису? Підпис так само надійний, як і його власник. Чиновники й далі порушують власні правила, підписи, як і раніше, видають на незахищених носіях й іноді віддалено, їх легко скопіювати. Так і «не злетіла» система Mobile ID.
Мінцифра спільно з поліцією та Міграційною службою бездумно намагаються додати нові «послуги». У мобільній програмі «Дія» вже з’явилися водійські права, і обіцяють паспорт. Міграційна служба розповідає, як зручно буде показувати цифрову копію паспорта в телефоні на залізниці. Як на мене, зручніше було б не показувати його зовсім і скасувати іменні квитки. Легше видавати свідоцтво про народження й сертифікат на отримання допомоги в пологовому будинку, ніж ощасливлювати матусь десятьма «послугами» е-Малятко. Або хоча б додати можливість відмовитися від автоматичної обробки ваших даних. На відміну від ID-карти, телефон не є захищеним носієм. Банки розкажуть, скільки крадіжок відбулося через телефони, але там ризики відомі. До чого призведуть можливі неконтрольовані витоки з телефонів користувачів та із самої системи, ніхто не спромігся підрахувати. Навіть якщо ви не збираєтеся користуватися програмою, хтось може зареєструватися від вашого імені або отримати ваші дані через дірку в системі.
Читайте також: Богдана на Єрмака. Реакція політиків та соцмереж на зміну керівника Офісу президента Зеленського
Можна придумати кілька підходів, як розв’язати проблему забутих удома прав. По-перше, це реєстр, до якого звертаються поліцейські. У такому разі вам не потрібна програма — достатньо запам’ятати номер посвідчення, а поліція підтягне інформацію про вас із реєстру. По-друге, можна користуватися захищеним документом — спеціальним бланком або чипом, що не клонується, — який засвідчує факт: у вас є привілей водити машину. У першій ситуації потрібен суворий контроль за тим, хто й чому звертається до системи; у другій — реєстр потрібен, щоб контролювати, кого в поліції карати за «ліві документи». Намагатися сумістити обидва способи — ризикований крок, він точно призведе до витоку. А якщо об’єднати реєстри через систему документообігу, то відповідальність розмивається до гомеопатичної дози. Практично будь-яку інформацію про громадян можна буде отримати безконтрольно. Сумніваюся, що хтось цікавився питанням безпеки ще на етапі проектування. Крайнього не знайти. Надлишок інформації відкриває нові можливості для зловживань.
Років десять наші правоохоронці із заздрістю дивляться на Російську Федерацію з її системами СОРМ (оперативно-розшукових заходів). СОРМ — масове й безконтрольне прослуховування (і телефонного зв’язку, і інтернету). Дотепер усі спроби контролювати інтернет в Україні закінчувалися скандалом і протестами. Нещодавно поліція змінила підхід. Наприкінці січня полтавське відділення кіберполіції розіслало лист до редакцій онлайн-видань, у якому запитувала, чи не бажають журналісти добровільно встановити на свої сайти скрипт для деанонімізації користувачів? Скрипт створював своєрідний відбиток відвідувача й відправляв його в базу, щоб потім можна було порівняти відбитки та знайти IP-адреси «до VPN» і «після». Така пропозиція здійняла шквал критики в інтернеті. Поліція негайно видалила всі скрипти зі своїх сайтів і випустила прес-реліз про те, як складно стало ловити злочинців. Начебто до появи мережі це було просто. Із запровадженням щоразу нових е-послуг, реєстрів реєстрів і мобільних програм немає жодних гарантій, що в «Дії» або іншій програмі поруч із е-Малятком не розсядеться «товариш майор».
Ніхто не збирається відмовлятися від комп’ютерів і мережі, але в лихоманці діджиталізації «слуги народу» забувають про те, що довіру й ухвалення рішень не можна замінити комп’ютером, навіть «квантУмним» (як каже Дубілет) і на блокчейні. Варто було б подумати не про те, як зробити електронну довідку про склад сім’ї, а про те, як зробити так, щоб довідки стали не потрібні. Найкращий спосіб захистити інформацію — не збирати її. Найпершою загрозою для даних є не так зломники, як самі чиновники. Їхня анонімність. Їхня безкарність. Ми живемо в країні з тривким перехідним періодом. Усі гілки влади ледве справляються зі своєю роботою. Запихаючи державу в смартфон, ми ризикуємо отримати в смартфоні цифрову корупцію, електронне беззаконня й автоматизовану організовану злочинність. Якщо до держави немає довіри у фізичному світі, то її не буде і в онлайні. А ще не можна забувати про окупантів, у яких незалежна Україна стоїть упоперек горла. Є два види компаній: ті, хто знає, що їх зламали, і ті, хто про це згодом дізнається.