Enigma Enigma

Kostiantyn Korsun

2022-12-28 09:06:49 eye-2 3514   — comment 0

Якою могла б бути Дія здорової людини

Під кінець року розкажу про позитивне: якою могла б бути Дія, якби її робили розумні люди, а не людиноподібні жижталізатори.

Сьогодні мова піде про голландський додаток DigiD (“діджи-ді”).
У 2015 році, приміром, 12 мільйонів громадян Нідерландів скористалися ним 200 млн. разів. А для відправки податкових звітів він використовувася взагалі з 2006. Це стосовно «перші у Світі», ага.

Щоб подати заявку на реєстрацію в DigiD потрібно мати місцевий ІПН та адресу реєстрації. Тобто де ти реально живеш (а не лише «прописаний»). 
Вказуєш все це на сайті і на цю адресу прийде паперовий лист з кодом активації. На фізичну поштову адресу фізичний паперовий лист. 
Для чого це олдскульно-аналогове фу?
Щоб переконатися, що заявку подав не робот. Що у разі подачі фейкової заявки зі скомпрометованого девайсу, зловмисник не зможе отримати «другий фактор авторизації» - себто паперовий лист з кодом активації. І заодно переконатися, що адреса реєстрації співпадає з адресою мешкання.
Тобто це свідомий вихід з віртуального світу у світ живих людей – для забезпечення їхнього взаємозв’язку. А не як у країні молодих експериментаторів – незалежно від бажання людини акаунт в Дії вже існує, і живе самостійним життям, питання лише як скоро людина схоче приєднатися до свого віртуального альтер-его. А якщо не схоче – то і Х з нею, може якийсь шахрай схоче.

Але повернемося до світу нормальних людей та DigiD.

Якщо у громадянина немає сучасного смартфону, можна  встановити додаток на комп’ютері (але теж не нижче Windows 10 або MacOS Catalina).

Або можна цілком офіційно уповноважити будь-кого взаємодіяти з урядом від вашого імені. Наприклад, родича або соціального працівника. І виставити період такого дозволу. Сам собі нотаріус, ага.

Та і взагалі додаток DigiD є лише одним з чотирьох методів цифрової ідентифікації громадянина. Цікаво, що у варіанті ідентифікації по ID (identity card, типу національного паспорта) необхідно прикласти свій ID до задньої частини смартфону та внести пін-код. Тобто пін-код передбачений не тільки для банківських карток, але і для національного паспорту.

А після того ще раз прикласти ID до “спини” телефону. Тобто явно використовується технологія NFC.
Стверджується, що у такому разі DigiD перевіряє лише валідність документу та чи належить він саме вам. Ну і звісно, «ніякі дані не зберігаються». Але у цьому разі чомусь більше довіри подібним заявам.

До речі, цілий розділ присвячено безпеці персональних даних, де детально розписано які дані обробляються («обробляються», Карл! А не тільки «зберігаються»), ким, для чого і хто за це відповідальний. 
Окремо розписано про безпеку персональних даних: «ми вжили відповідних технічних та організаційних заходів щоб переконатися, що ваші персональні дані адекватно захищені». І що ці заходи змальовані у Regulation on GDI Facilities. 
Вразило чомусь саме слово «адекватно». Тобто не «надійно», не «повністю», не «мамой клянусь» - лише «адекватно». Відчувається усвідомлення, що у цьому Світі, в принципі, хакнути можна все. От розумні ж люди писали.
А якщо справді серйозна група ворожих хакерів таки щось зламає – до гри миттєво приєднаються справжні кіберполіція і справжні кібер-спецслужби, які дійсно вміють у кібер. І вся потужна кібер-спільнота підключиться, зі своїм справжнім державно-приватним партнерством. І дев’ять CERTів також, і Національний центр кібербезпеки – коротше, транда всім хацкерам.

Та і загалом DigiD – це лише для цифрової ідентифікації. Хакати його заради грошей чи персданих – немає ніякого сенсу.
Ось є людина і є урядові послуги. Щоб отримати послугу віддалено – необхідно підтвердити, що ти є ти. Для цього є кілька методів, у тому числі – додаток. Всьо. У ньому немає ігор про безпілотник, опитувань про Євробачення чи дату Різдва. Суто для ідентифікації громадянина. 

Звісно, це дуже поверхневий огляд голландсього додатку DigiD. 
Але якось шкірою відчувається професіоналізм при його розробці та впровадженні. І що характерно – без примусу встановлювати, прикинь. Не хочеш додаток – ось тобі ще три альтернативи, як хочеш. Пароль не менше 12 символів. Двофакторна автентифікація в комплекті. Оновлюйся постійно, перевіряй на віруси, інші поради. 
А якщо ти дуже розумний, працюєш в кібербезпеці та знайшов вразливість у системі  DigiD – ость тобі формочка
Надішли свій файндінг – і DigiD разом з Національним центром кібербезпеки швиденько займуться вирішенням проблеми. Як то кажуть, before making this known to the outside world.

Для сучасної Україні усе це поки що далекий космос. Вистачає лише мавпувати зовнішній вигляд продуманої системи – додаток. Та і те виходить якось не дуже. Точніше – зовсім погано. 
Але нарід, здається, вже починає звикати. Голосує потихеньку, втягується у процес. Потроху адаптується до можливості «виборів у смартфоні». 
Але про це якось іншим разом. 
Бо ж скоро новий рік, тра-та-та, тра-та-та.

Підписуйтесь на наш Telegram канал Enigma