Багбаунті і цифрова гігієна. Про «злам» Дії, шахрайський кредит і майбутнє Дія.Підпису — інтерв'ю з куратором кібербезпеки в Мінцифри
27 липня Мінцифра запустила піврічну програму пошуку вразливостей безпеки (багбаунті) мобільного додатку Дія. В цифровому міністерстві вже заявили, що питання безпеки Дії — питання довіри до держави. Новому етапу тестування вразливостей флагманського продукту «держави в смартфоні» передували одразу кілька скандалів і шквал критики від низки експертів.
Журналіст НВ Бізнес мав зустрітися з першим заступником міністра цифрової трансформації Олексієм Вискубом ще до Diia Summit (пройшов 17 травня). Перший зам Михайла Федорова тоді обіцяв розповісти про безпеку додатку Дія, проте підготовка до саміту, а згодом — низка інших факторів не дозволили провести інтерв'ю. На той час чи не єдиним, що публічно кидало тінь на безпеку Дії, була публікація про продаж персональних даних українців через телеграм-бот. Тоді користувачі мережі припускали, що джерелом даних була Дія, хоча влада та низка експертів спростували це припущення (ішлося, імовірно, про компіляцію раніше злитих баз).
За три місяці по репутації Дії було завдано нових ударів: у медіа з’явився кейс нібито оформлення швидкого кредиту через Дію, петицію за відставку Олега Татарова підписав Joe Biden, а телеком-експерт Роман Хіміч клонував додаток Дія на кількох пристроях.
Ці історії, що набули широкого розголосу, ставлять під сумнів не тільки виконання однієї з передвиборчих обіцянок команди Зеленського-кандидата (створення «держави в смартфоні»), але й одну з вимог Зеленського-президента — наступні вибори в електронній формі.
Мінцифра опинилася в ситуації, коли потрібно доводити користувачам, що «найбезпечніший державний ІТ-продукт» Дія дійсно безпечний. Саме тут у нагоді і може стати нова програма багбаунті — пошуку вад безпеки застосунку. Перший етап програми пройшов у грудні.
«Якщо ми всі і кращі етичні хакери навіть за гроші не знайдуть вразливостей, може, є сенс довіряти Дії ще більше…», — зазначила радниця Федорова Яніка Меріло.
У розмові з НВ Бізнес куратор напрямку кібербезпека в Мінцифрі Олексій Вискуб теж не приховує, що на багбаунті покладають значно більше задач, ніж просто пошук вразливостей. Про безпеку чи небезпеку Дії, вибори в смартфоні — в інтерв'ю НВ Бізнес.
Контекст. Що таке багбаунті. Багбаунті — це тестування та виявлення можливих помилок і вразливостей у програмному забезпеченні спеціалістами з кібербезпеки. Під час тестування учасників програми винагороджують за знайдені й підтверджені помилки (відповідно до рівня їхньої небезпеки). 27 липня стартував другий етап програми Bug Bounty для додатку Дія — з призовим фондом у мільйон гривень.
Два багбаунті й персональні дані в Дії
— Навіщо Мінцифри проводить другий етап багбаунті Дії?
— Дія — це продукт, який розвивається дуже динамічно. Ми намагаємося застосовувати нові підходи до безпеки інформації та безпеки державних інформаційних ресурсів. Раніше [у державі] існував дещо «інший» підхід: отримуєш папірець КСЗІ (атестат відповідності Комплексної системи захисту інформації — НВ Бізнес) і 5 років вважаєшся захищеним. На практиці, зрозуміло, безпека так не працює. Це постійний процес. Тому в нас заходи, пов’язані з перевіркою, удосконаленням безпеки, відбуваються регулярно: ми продовжуємо постійно робити і приватні пентести (тести на проникнення — НВ Бізнес), використовувати ресурси держави (Держспецзв’язку, СБУ) і, зрозуміло, намагаємося використовувати весь пакет прийнятих у світі інструментів.
У грудні ми провели перший етап багбаунті, закритий. На це ми пішли, щоби зрозуміти для себе, як відбувається сам процес тестування та, власне, і багато експертів рекомендували нам зробити багбаунті саме закритим: така програма тестування вразливостей є більш експертною, на неї приходять більш підготовлені спеціалісти.
У травні ми на Diia Summit презентували дуже багато нових продуктів — Дія значно розширила свій функціонал і, зокрема, додався один із базових сервісів — Дія.Підпис (він, до речі, також пройшов уже не один тест на проникнення). Тому другий етап тестування — це, перш за все, багбаунті оновленого функціоналу. Ця програма — елемент підвищення довіри суспільства до Дії і, безумовно, елемент перевірки реального функціоналу додатку на безпечність.
Зазначу, що ми почули запит громадськості на відкриту програму тестування вразливостей: вона є відкритою та триватиме шість місяців.
— За результатами першої програми, що відбувалася в грудні минулого року (теж на мільйон гривень призових), у Мінцифри заявили, що Дія підтвердила безпечність застосунку. Ви погоджуєтеся з цим твердженням?
— Під час першого багбаунті у Дії дійсно було знайдено 2 некритичні вразливості, які жодним чином не впливали на безпеку користувачів. Цим конкретним інструментом на той момент безпечність Дії було підтверджено.
— Тоді програма тривала всього тиждень. Наскільки репрезентативним, на вашу думку, є дослідження, у якому 27 дослідників зробили 6 повідомлень про знайдені вразливості?
