А я говорил!!!
Тим Карпинский отметился!
«22 гріхи Дії». Прем’єра.
Нарешті ми з колегами раді презентувати майже повне зібрання усіх головних недоліків додатку Дія:
https://cutt.ly/2OR77bF Мова йде саме про додаток, не про веб-портал. Але не слід забувати, що і додаток Дія, і портал Дія є частинами однієї системи.
У різні часи різні люди в запитували різних фахівців у коментах до різних дописів: «так а шо не так з Дією?». Ми намагалися пояснити, інколи успішно.
Але з огляду на стрімко зростаючу актуальність цієї проблематики, ми вирішили зібрати всі питання-відповіді докупи в одному місці. Зробити такий собі путівник по проблемам Дії, щось на кшталт довідника або глосарія.
Як фахівці та експерти з великим досвідом у різних галузях ІТ та кібербезпеки ми можемо розказати значно більше, ніж у цьому документі. Але навіть досить лаконічна версія вийшла доволі об'ємною, тому задля спрощення сприйняття ми винесли у заголовок лише короткі тези, а хто зацікавиться поясненнями – можна почитати, натиснувши «Детальніше».
Ось вони, ці 22 короткі тези:
https://cutt.ly/2OR77bF1. Суттєві дефекти архітектури додатку Дія.
2. Обробка та зберігання персональних даних у додатку Дія.
3. Можливість перехоплення та накопичення персональних даних під час перевірки е-документів у додатку Дія.
4. Можливі шахрайства з використанням Дії.
5. Можливість слідкувати за користувачами через додаток Дія.
6. Ризики дистанційного несанкціонованого проникнення до смартфону (“зламу”) зі встановленим додатком Дія.
7. Неможливість самостійно заблокувати свій акаунт в Дії (опція Opt-Out)
8. Ризики фальсифікації «виборів у смартфоні» з використанням додатку Дія.
9. Ризики «повістки через Дію».
10. Ризики відсутності доступу до Інтернет додатку Дія.
11. Не всі громадяни мають можливість користуватися додатком Дія.
12. Надмірна централізація системи та агрегація повноважень.
13. Відсутність правил користування додатком та механізму контролю за дотриманням цих правил.
14. Ігнорування чинного законодавчого регулювання зі створення програмних продуктів.
15. Створення штучної монополії додатку Дія.
16. Відсутність у публічному доступі документації на додаток Дія.
17. Відсутність публічного доступу до вихідного коду додатку Дія.
18. Відсутність інформації про зовнішні незалежні аудити безпеки додатку Дія.
19. Сумнівність об’єктивності проведення державної експертизи додатку Дія.
20. Незадовільний рівень комунікації розробників додатку Дія з користувачами та ІТ-фахівцями.
21. Можливість необмеженого клонування документів у додатку Дія.
22. Непрозорість порядку використовувати додаток Дія іншими організаціями.
Нумерація проблем не відповідає ступеню їх критичності, а лише ступеню впливу на звичайне життя пересічного громадянина. Але корінь усіх проблем – це все ж таки п.1, як на мою особисту думку.
На складання даного документу витратили свій час відомі у професійних колах експерти:
Андрій Баранович, aka Sean Brian Townsend
Андрій Перцюх aka Andrii Pertsiukh
Артем Карпинський aka Tim Karpinsky
Кір Важницький aka Kir Vaznitcky
Олександр Мацько aka Олександр Мацько
Роман Хіміч aka Roman Khimich
Ну і куди ж без мене: Костянтин Корсун aka Kostiantyn Korsun (С)
Не злопамятный. Просто злой и память хорошая.