Портал государственных услуг «Дия» был бы безопаснее, если бы его программный код стал открытым, говорится в статье «Дия»: о чем не рассказывают украинцам» автора «Зеркала недели» Елены Болтушкиной.
«Сколько бы официальных комментариев и реплик в соцсетях не выдало Минцифры о безопасности «Дии», ее невозможно проверить. В том числе и потому, что программный код «Дии» закрыт, вопреки лучшим практикам», — пишет автор статьи.
В то же время в статье приводится объяснение гендиректора Prozorro Василия Задворного о преимуществах открытого кода.
«Открытый код – это как доступный текст закона. Например, ты знаешь, по каким правилам работает МВД, и это хорошо, это нужно знать. Но открытый код не означает, что тебе доступны материалы уголовных дел, это означает только то, что ты знаешь, через какое время и куда это дело уйдет, как используются данные. Это о принципах и процессах работы системы. Если говорить о Prozorro, у нас открыт код самого программного обеспечения, и внешне все могут видеть, как оно работает. Также у нас есть закрытый код развертывания инфраструктуры, и в открытом доступе нет паролей к серверам, зайти в систему с админскими правами кто угодно не сможет», — рассказал Задворный.
Открытый код программ считается более безопасным, чем закрытый, так как позволяет привлечь неограниченное количество внешних специалистов против отдельных злоумышленников: первые часто проявляют уязвимость и сообщают о ней разработчикам раньше, чем вторые успевают воспользоваться ею. И это постоянный процесс, а не разовая акция.
Закрытый код отсекает эту возможность.
Официальное привлечение этичных хакеров к поиску уязвимостей за вознаграждение (bug bounty) может быть полезно для проверки стабильных систем защиты, но не является доказательством безопасности.
Не является доказательством и соответствие системы защиты информации «Дии» государственному стандарту Комплексной системы защиты информации (КСЗИ). Именно этим Минцифры отбивается от вопросов о безопасности.
«Наличие КСЗИ не дает стопроцентной гарантии защиты от каких-либо угроз. Построение КСЗИ существенно снижает риски, сводит их к минимально приемлемому уровню. Однако абсолютной гарантии не дает ни один другой стандарт — ни ISO 27 000, ни NIST. Киберзащита – это не состояние, а процесс», – отмечает заместитель председателя Государственной службы специальной связи и защиты информации Украины Александр Потий.
На разработку и модернизацию портала и мобильного приложения «Дия» в течение 2019-2021 годов в общей сложности потрачено около 76 миллионов гривен. В июле 2021 года Минцифры выделило миллион гривен на проведение баг баунти: белые хакеры могли получить разные суммы вознаграждения в зависимости от сложности выявленной проблемы.