Експерти у сфері IT-безпеки не вважають «Дію» повністю безпечною, вказують на можливість маніпуляції програмою з боку держави, допускають проникнення у додаток фахівців закордонних розвідок та попереджають про ризики захоплення хакерами персональних даних користувачів.
Вплив на населення
Василь Задворний із Prozorro вважає, що влада може за допомогою «Дії» впливати на уми населення, а саме провокувати аполітичність серед українців з метою недопущення участі громадян у протестах проти політики Зеленського та Ко.
— Усі сучасні автократії паразитують на ідеї неучасті населення у політичних процесах, — пояснив Задворний.
«Знахідка для шпигуна»
Відоме представникам старшого покоління гасло «Болтун – знахідка для шпигуна» у нинішніх реаліях втратило актуальність. «Навіщо шукати балакуна, якщо є «Дiя»?», — запитують в Українському кіберальянсі.
За словами представника організації Андрія Барановича, інтеграція в додаток нових і нових реєстрів стане безцінним подарунком для іноземних розвідок (передусім російської).
Знаючи прізвище того чи іншого військового, чиновника або спецслужбиста, ворожі IT-умільці зможуть підключитися до його ноутбука або смартфона і терпляче чекати, коли об’єкт, що цікавить, відкриє «Дію». Після цього вся інформація власника додатку – від повного імені – до паспортних даних та банківських реквізитів, стане відома супротивнику, поділився міркуваннями Барановича.
За його словами, інтегрувати цивільні системи з військовими не лише нерозумно, а й злочинно. Одним із прикладів такої інтеграції аналітик назвав недавнє нововведення, яке дозволяє військкоматам отримувати адреси діючих військових та призовників. Росіяни рано чи пізно скористаються таким шикарним подарунком, упевнений аналітик.
Ризики стати жертвою аферистів
Персональними даними користувачів можуть скористатися як спецслужби іноземних держав, а й доморощені хакери. Методика все та ж: запуск вірусу на смартфон або ПК і очікування входу жертви в «Дію», з подальшим отриманням доступу до цифрового паспорта з усіма наслідками: від безневинної покупки пива підлітками – до оформлення на жертву кабальних кредитів матерішими шахраями.
При цьому ні Мінцифри, ні кіберполіція, ні будь-яке інше державне відомство не пояснює громадянам, що робити у разі злому «Дії» або втрати цифрового паспорта, який стараннями влади прирівняно до фізичного аналога, розмірковує Задворний.
Закритий програмний код
Непрозорість роботи – ще одна проблема програми. Будь «Дiя» на відкритому програмному коді, зовнішні спеціалісти за певну винагороду могли б виявляти вразливості та повідомляти розробників про недоліки. Наразі така можливість відсутня.
Що робити
Експерти рекомендують керівництву Мінцифри подумати про замовлення оцінки безпеки «Дії» на основі критеріїв BSIMM від компанії Synopsys або зібрати авторитетних айтішників на закритий консиліум, донести до них реальний стан справ для отримання об’єктивних рецензій та втілити рекомендації фахівців у життя.