Путь Вахтёра
В предыдущей части мы обсудили контекст неизбежных многочисленных попыток использовать дефекты е-паспортов для обхода карантинных ограничений. Сегодня начнём разговор о коммерческих перспективах подобных злоупотреблений.
С 1 ноября на бессрочную ковидную вахту заступили без преувеличения десятки тысяч граждан - сотрудники организаций и учреждений всех видов и форм собственности. Эти граждане, будучи физическими лицами, получили задачу проверять наличие сертификатов о вакцинировании/тестировании в упомянутых организациях и учреждениях. Основным, если не единственным инструментом такой проверки стало приложение "Дия". Чего, собственно добивалось и чему очень радо Министерство внутренней цифровизации.
Всё было бы хорошо и логично, если бы не три обстоятельства.
Во-первых, оные граждане, обозначим их словом "вахтёры", в абсолютном большинстве случаев осуществляют проверку с помощью личного оборудования, своих собственных смартфонов. А если не проверяют прямо сейчас, то будут обязаны это делать позже по мере ужесточения карантинных мер.
Во-вторых, в процессе проверки вахтёры неизбежно обрабатывают персональные данные (далее - ПД) граждан, причём в промышленных, так сказать, масштабах. Стоит отметить, что официальная позиция Минцифры (см. последний и предпоследний абзацы) основана на заведомо недостоверных утверждениях и выглядит следующим образом: "Важливо: Під час підтвердження особи з Дією ваші персональні дані не передаються". Эту же чепуху озвучивает и профильная заместителька министра Людмила Рабчинська: "коли ви перевіряєте валідність е-паспорта за допомогою, наприклад, qr, ви не використовуєте ідентифікаційні дані особи, використовується qr".
Казалось бы, ну как можно на чёрное говорить "белое"? Вот физиономия и установочные данные гражданина в его, гражданина, смартфоне, а вот они же - в смартфоне вахтёра. Что тут неясно, где здесь пространство для манёвра? А поди ж ты…
Наконец, в-третьих, судьба ПД, обрабатываемых личным оборудованием физических лиц по ходу исполнения ими своих обязанностей неясна настолько, насколько это вообще может быть. Как это обычно бывает в наших краях, развесистое регулирование - отдельно, повседневная жизнь - отдельно. В данном случае в непересекающихся плоскостях оказались регулирование обработки ПД и фактический порядок такой обработки десятками тысяч вахтёров по всей стране.
Начиная с 1 ноября мне неоднократно приходилось предъявлять свои ПД, включая е-паспорт и сертификаты о вакцинации, всевозможным вахтёрам и ни разу я не получил предложение дать своё согласие на их обработку. Более того, никто из опрошенных мною вахтёров ничего не слышал об этом аспекте происходящего. А ведь речь идёт о ситуации, чреватой массовыми злоупотреблениями с очень неприятными последствиями. В ситуации использования собственных смартфонов вахтёры имеют ничем не ограниченную возможность накапливать у себя ПД граждан в промышленных масштабах.
Напомню, что в сентябре 2021 года МЦТ решило вернуть в свою поделку возможность делать скриншоты. Обоснование этого шага впечатляло оригинальностью: "теперь вы сможете похвастаться своим фото в паспорте або COVID-сертификатом в Дие". Между тем изначально МЦТ заявляло о блокировании этой возможности ради безопасности пользовательских данных.
К сожалению, нет шансов, что в Минцифре признают свою ошибку. С вероятностью 99,999% там начнут рассказывать обычные глупости наподобие "следите, чтобы вахтёры не делали скриншоты с вашими данными". Чтобы не оставить шансов для подобной болтовни, мы с моим старшим сыном выполнили проверку концепции (Proof of Concept, POC) несложного программного сервиса, который может функционировать на любом Android-устройстве. Используя общедоступные программы и не вмешиваясь в процесс функционирования "Дии" (даже root оказался не нужен), этот сервис без каких-либо дополнительных действий со стороны пользователя делает скриншоты чужих ПД, которые передаются в процессе их валидации. Если кому-то из журналистов интересно, можем провести наглядную демонстрацию.
Вахтёр, стоящий на входе в крупный ТРЦ, может незаметно и невозбранно майнить ПД ничего не подозревающих граждан. Оставаясь в рамках своих полномочий, он вправе собирать, как минимум, внутренние CoVID-сертификаты с фотографией предъявителя. Демонстрируя похвальную бдительность, вахтёр может требовать (и получать!) ещё и е-паспорта граждан. При известной сноровке на одного посетителя может уходить около 20 секунд. За час можно намайнить до сотни экземпляров чужих ПД. За смену - под тысячу.
В чём опасность такой практики?
Как свидетельствует российский опыт, организованная преступность охотно инвестирует в ПД граждан. Всякий сколь-нибудь объёмный массив таких данных имеет свою цену, которую готовы заплатить заинтересованные лица. Уже сложился и много лет успешно фунционирует теневой рынок ПД, никакие велосипеды изобретать не нужно.
Имея на руках хотя бы сотню тысяч скриншотов из Дии, можно вывести на рынок по-настоящему актуальный стартап. На такой большой выборке с высокой долей вероятности можно найти более-менее похожее лицо для абсолютного большинства потенциальных покупателей чужих ковидных сертификатов. Возможность предъявить не просто чей-то сертификат, но сертификат человека, который очень на тебя похож, резко повышает его ценность. Если удастся собрать фотографии из документов нескольких миллионов жителей Украины, можно будет говорить о возможности найти полноценного двойника, неотличимого на глаз. Стоит напомнить, что QR-код сертификата о вакцинации является статическим, он не меняется с течением времени. На сегодняшний день для такого сервиса есть всё необходимое, включая общедоступные алгоритмы обработки изображений. В следующей части я начну описывать эти возможности в деталях.
Хотелось бы услышать омбудсмена по ПД, каким образом органы власти, которые инициировали массовое использование е-паспортов и "Дии", предполагают нейтрализовать эту угрозу? Как должен выглядеть законный порядок обработки множеством случайных физических и юридических лиц колоссальных объемов ПД в процессе противоэпидемических мероприятий? В первую очередь речь идёт про обработку ковидных сертификатов в приложении Дия.
С 1 ноября на бессрочную ковидную вахту заступили без преувеличения десятки тысяч граждан - сотрудники организаций и учреждений всех видов и форм собственности. Эти граждане, будучи физическими лицами, получили задачу проверять наличие сертификатов о вакцинировании/тестировании в упомянутых организациях и учреждениях. Основным, если не единственным инструментом такой проверки стало приложение "Дия". Чего, собственно добивалось и чему очень радо Министерство внутренней цифровизации.
Всё было бы хорошо и логично, если бы не три обстоятельства.
Во-первых, оные граждане, обозначим их словом "вахтёры", в абсолютном большинстве случаев осуществляют проверку с помощью личного оборудования, своих собственных смартфонов. А если не проверяют прямо сейчас, то будут обязаны это делать позже по мере ужесточения карантинных мер.
Во-вторых, в процессе проверки вахтёры неизбежно обрабатывают персональные данные (далее - ПД) граждан, причём в промышленных, так сказать, масштабах. Стоит отметить, что официальная позиция Минцифры (см. последний и предпоследний абзацы) основана на заведомо недостоверных утверждениях и выглядит следующим образом: "Важливо: Під час підтвердження особи з Дією ваші персональні дані не передаються". Эту же чепуху озвучивает и профильная заместителька министра Людмила Рабчинська: "коли ви перевіряєте валідність е-паспорта за допомогою, наприклад, qr, ви не використовуєте ідентифікаційні дані особи, використовується qr".
Казалось бы, ну как можно на чёрное говорить "белое"? Вот физиономия и установочные данные гражданина в его, гражданина, смартфоне, а вот они же - в смартфоне вахтёра. Что тут неясно, где здесь пространство для манёвра? А поди ж ты…
Наконец, в-третьих, судьба ПД, обрабатываемых личным оборудованием физических лиц по ходу исполнения ими своих обязанностей неясна настолько, насколько это вообще может быть. Как это обычно бывает в наших краях, развесистое регулирование - отдельно, повседневная жизнь - отдельно. В данном случае в непересекающихся плоскостях оказались регулирование обработки ПД и фактический порядок такой обработки десятками тысяч вахтёров по всей стране.
Начиная с 1 ноября мне неоднократно приходилось предъявлять свои ПД, включая е-паспорт и сертификаты о вакцинации, всевозможным вахтёрам и ни разу я не получил предложение дать своё согласие на их обработку. Более того, никто из опрошенных мною вахтёров ничего не слышал об этом аспекте происходящего. А ведь речь идёт о ситуации, чреватой массовыми злоупотреблениями с очень неприятными последствиями. В ситуации использования собственных смартфонов вахтёры имеют ничем не ограниченную возможность накапливать у себя ПД граждан в промышленных масштабах.
Напомню, что в сентябре 2021 года МЦТ решило вернуть в свою поделку возможность делать скриншоты. Обоснование этого шага впечатляло оригинальностью: "теперь вы сможете похвастаться своим фото в паспорте або COVID-сертификатом в Дие". Между тем изначально МЦТ заявляло о блокировании этой возможности ради безопасности пользовательских данных.
К сожалению, нет шансов, что в Минцифре признают свою ошибку. С вероятностью 99,999% там начнут рассказывать обычные глупости наподобие "следите, чтобы вахтёры не делали скриншоты с вашими данными". Чтобы не оставить шансов для подобной болтовни, мы с моим старшим сыном выполнили проверку концепции (Proof of Concept, POC) несложного программного сервиса, который может функционировать на любом Android-устройстве. Используя общедоступные программы и не вмешиваясь в процесс функционирования "Дии" (даже root оказался не нужен), этот сервис без каких-либо дополнительных действий со стороны пользователя делает скриншоты чужих ПД, которые передаются в процессе их валидации. Если кому-то из журналистов интересно, можем провести наглядную демонстрацию.
Вахтёр, стоящий на входе в крупный ТРЦ, может незаметно и невозбранно майнить ПД ничего не подозревающих граждан. Оставаясь в рамках своих полномочий, он вправе собирать, как минимум, внутренние CoVID-сертификаты с фотографией предъявителя. Демонстрируя похвальную бдительность, вахтёр может требовать (и получать!) ещё и е-паспорта граждан. При известной сноровке на одного посетителя может уходить около 20 секунд. За час можно намайнить до сотни экземпляров чужих ПД. За смену - под тысячу.
В чём опасность такой практики?
Как свидетельствует российский опыт, организованная преступность охотно инвестирует в ПД граждан. Всякий сколь-нибудь объёмный массив таких данных имеет свою цену, которую готовы заплатить заинтересованные лица. Уже сложился и много лет успешно фунционирует теневой рынок ПД, никакие велосипеды изобретать не нужно.
Имея на руках хотя бы сотню тысяч скриншотов из Дии, можно вывести на рынок по-настоящему актуальный стартап. На такой большой выборке с высокой долей вероятности можно найти более-менее похожее лицо для абсолютного большинства потенциальных покупателей чужих ковидных сертификатов. Возможность предъявить не просто чей-то сертификат, но сертификат человека, который очень на тебя похож, резко повышает его ценность. Если удастся собрать фотографии из документов нескольких миллионов жителей Украины, можно будет говорить о возможности найти полноценного двойника, неотличимого на глаз. Стоит напомнить, что QR-код сертификата о вакцинации является статическим, он не меняется с течением времени. На сегодняшний день для такого сервиса есть всё необходимое, включая общедоступные алгоритмы обработки изображений. В следующей части я начну описывать эти возможности в деталях.
Хотелось бы услышать омбудсмена по ПД, каким образом органы власти, которые инициировали массовое использование е-паспортов и "Дии", предполагают нейтрализовать эту угрозу? Как должен выглядеть законный порядок обработки множеством случайных физических и юридических лиц колоссальных объемов ПД в процессе противоэпидемических мероприятий? В первую очередь речь идёт про обработку ковидных сертификатов в приложении Дия.