Експерт із кібербезпеки Костянтин Корсун вважає, що застосунок «Резерв+» має низку суттєвих недоліків з погляду захисту персональних даних.
Крім того, громадяни не можуть проконтролювати свої персональні дані — неможливо дізнатися, хто і як ними розпоряджається і як вони зберігаються, розповів він в інтерв’ю Radio NV.
Наводимо головні тези з інтерв’ю.
«Резерв+» — це « катастрофа»
Костянтин Корсун зазначив, що з погляду кібербезпеки і захисту персональних даних «Резерв+» — це катастрофа. І найголовніше тут те, що він не готовий функціонально.
Так, розробникам була відома приблизна кількість військовозобов’язаних і можна було розрахувати навантаження і адекватно адаптувати авторизацію через BankID. Але цього не зробили.
Крім того, є й інші фактори, які вказують на функціональну неготовність.
- «Резерв+» зроблений на основі недоробленого застосунку «Мрія» — це шкільний онлайн-щоденник.
- Користувачам пропонували звертатися в техпідтримку через Telegram (наразі залишили тільки Viber — ред.).
- Розробники дуже сильно поспішали випустити його на 18 травня, аби збіглося з першим днем дії оновленого закону про мобілізацію.
«А те, що дуже швидко робиться, ніколи не буває якісно. Кожен з нас прекрасно знає це правило», — зазначив він.
І тут експерт вказує, що безпека завжди відстає від функціональності — «вона на другому, третьому, п’ятому, десятому місці».
Захист персональних даних
Костянтин Корсун вважає, що ризики, пов’язані з питанням безпеки, а особливо захисту персональних даних, були “просто проігноровані”, хоча вони є.
З погляду кібербезпеки, головна загроза і найгірший сценарій — це якщо база якимось чином опиниться в розпорядженні ворога. При цьому інформація про те, як саме розробники убезпечилися від атак, закрита.
«Нічого — ні слова, ні пів слова — про інфраструктуру і яким чином забезпечується безпека не сказано, не повідомлено. Відповідно, можна будувати будь-які конспірологічні теорії», — наголосив Корсун.
Відповідно, громадяни не можуть проконтролювати свої персональні дані і неможливо дізнатися, хто і як ними розпоряджається, як вони зберігаються, чи надійно забезпечено їхній захист.
Ви не зможете довести, що оновили дані
Експерт вважає, що з погляду закону, цей застосунок «такий же, як ви пройшли тест “який ти фрукт?”, суто формально-юридично».
- В самому додатку прямо нічого не сказано: не написано дрібним шрифтом, що цей продукт є електронним кабінетом військовозобов’язаного, призовника, резервіста. Цього нічого немає, відповідно, і юридичних наслідків це жодних не створює.
- Після оновлення даних у «Резерв+» ви нічим не можете це довести. Жодних документальних свідчень тому, що ви оновили дані немає і функцію генерування QR-коду, який веде на електронний військово-обліковий документ планують запустити лише після 18 червня.
«Тим людям, які зараз це все заповнюють: це ні від чого не страхує, нічого не доводить і юридичних наслідків ніяких не створює. Ви такі задоволені, оновили все через додаток, ідете вулицею, вас зупиняє патруль ТЦК і каже: “А у нас в базі немає нічого про вас. Сідайте в бусик, будь ласка, поїхали в ТЦК, на медкомісію”, — пояснює експерт з кібербезпеки», — резюмував експерт.
Нагадаємо, на днях заступниця міністра оборони Катерина Черногоренко заявила, що з безпідставного «розшуку» у «Резерв+» зняли понад 700 тисяч українців.
У відомстві пояснили, що українці мали такий статус, якщо порушували правила військового обліку — наприклад, ігнорували повістки, ТЦК зверталось до Національної поліції. Однак, за словами Черногоренко, фактично кількість таких звернень становить близько 25%.
Ну і в самих державних реєстрах багато помилок внаслідок «людського фактора», які було б майже неможливо виправити без Резерв+.