«Катастрофа без юридичних наслідків»: експерт із кібербезпеки розкритикував «Резерв+»

Експерт із кібербезпеки Костянтин Корсун вважає, що застосунок «Резерв+» має низку суттєвих недоліків з погляду захисту персональних даних.

Крім того, громадяни не можуть проконтролювати свої персональні дані — неможливо дізнатися, хто і як ними розпоряджається і як вони зберігаються, розповів він в інтерв’ю Radio NV.

Наводимо головні тези з інтерв’ю.

«Резерв+» — це «катастрофа»

Костянтин Корсун зазначив, що з погляду кібербезпеки і захисту персональних даних «Резерв+» — це катастрофа. І найголовніше тут те, що він не готовий функціонально.

Так, розробникам була відома приблизна кількість військовозобов’язаних і можна було розрахувати навантаження і адекватно адаптувати авторизацію через BankID. Але цього не зробили.

Крім того, є й інші фактори, які вказують на функціональну неготовність.

• «Резерв+» зроблений на основі недоробленого застосунку «Мрія» — це шкільний онлайн-щоденник.
• Користувачам пропонували звертатися в техпідтримку через Telegram (наразі залишили тільки Viber — ред.).
• Розробники дуже сильно поспішали випустити його на 18 травня, аби збіглося з першим днем дії оновленого закону про мобілізацію.

«А те, що дуже швидко робиться, ніколи не буває якісно. Кожен з нас прекрасно знає це правило», — зазначив він.

І тут експерт вказує, що безпека завжди відстає від функціональності —  «вона на другому, третьому, п’ятому, десятому місці».

Захист персональних даних

Костянтин Корсун вважає, що ризики, пов’язані з питанням безпеки, а особливо захисту персональних даних, були “просто проігноровані”, хоча вони є.

З погляду кібербезпеки, головна загроза і найгірший сценарій — це якщо база якимось чином опиниться в розпорядженні ворога. При цьому інформація про те, як саме розробники убезпечилися від атак, закрита.

«Нічого — ні слова, ні пів слова — про інфраструктуру і яким чином забезпечується безпека не сказано, не повідомлено. Відповідно, можна будувати будь-які конспірологічні теорії», — наголосив Корсун.

Відповідно, громадяни не можуть проконтролювати свої персональні дані і неможливо дізнатися, хто і як ними розпоряджається, як вони зберігаються, чи надійно забезпечено їхній захист.

Ви не зможете довести, що оновили дані

Експерт вважає, що з погляду закону, цей застосунок «такий же, як ви пройшли тест “який ти фрукт?”, суто формально-юридично».

• В самому додатку прямо нічого не сказано: не написано дрібним шрифтом, що цей продукт є електронним кабінетом військовозобов’язаного, призовника, резервіста. Цього нічого немає, відповідно, і юридичних наслідків це жодних не створює.
• Після оновлення даних у «Резерв+» ви нічим не можете це довести. Жодних документальних свідчень тому, що ви оновили дані немає і  функцію генерування QR-коду, який веде на електронний військово-обліковий документ планують запустити лише після 18 червня.

«Тим людям, які зараз це все заповнюють: це ні від чого не страхує, нічого не доводить і юридичних наслідків ніяких не створює. Ви такі задоволені, оновили все через додаток, ідете вулицею, вас зупиняє патруль ТЦК і каже: “А у нас в базі немає нічого про вас. Сідайте в бусик, будь ласка, поїхали в ТЦК, на медкомісію”», — резюмував експерт.

Нагадаємо, на днях заступниця міністра оборони Катерина Черногоренко заявила, що з безпідставного «розшуку» у «Резерв+» зняли понад 700 тисяч українців.

У відомстві пояснили, що українці мали такий статус, якщо порушували правила військового обліку — наприклад, ігнорували повістки, ТЦК зверталось до Національної поліції. Однак, за словами Черногоренко, фактично кількість таких звернень становить близько 25%.

Ну і в самих державних реєстрах багато помилок внаслідок «людського фактора», які було б майже неможливо виправити без «Резерв+».