Із відкритим кодом «Дія» була би безпечнішою. Пояснюємо, чому

15 листопада, 2021, 20:26 Роздрукувати
Відправити
Відправити

Відкритий код — це як доступний текст закону.

Із відкритим кодом «Дія» була би безпечнішою. Пояснюємо, чому

Портал державних послуг «Дія» був би безпечнішим, якби його програмний код став відкритим, йдеться у статті «Дія»: про що не розповідають українцям» авторки «Дзеркала тижня» Олени Болтушкіної.

«Хоч би скільки офіційних коментарів і реплік у соцмережах не видало Мінцифри про безпеку «Дії», її неможливо перевірити. Зокрема й тому, що програмний код «Дії» є закритим, усупереч найкращим практикам», — пише авторка статті.

Водночас у статті наводиться пояснення гендиректора Prozorro Василя Задворного щодо переваг відкритого коду. 

«Відкритий код — це як доступний текст закону. Для прикладу, це те, що ти знаєш, за якими правилами працює МВД, і це добре, це треба знати. Але відкритий код не означає, що тобі доступні матеріали кримінальних справ, це означає тільки те, що ти знаєш, через який час і куди ця справа піде, як використовуються дані. Це про принципи і процеси роботи системи. Якщо казати про Prozorro, у нас відкритий код самого програмного забезпечення, — і зовні всі можуть бачити, як воно працює. Також у нас є закритий код розгортання інфраструктури, і у відкритому доступі немає паролів до серверів, зайти в систему з адмінськими правами будь-хто не зможе», — розказав Задворний. 

Відкритий код програм вважається безпечнішим, ніж закритий, бо дає можливість залучити необмежену кількість зовнішніх фахівців проти окремих зловмисників: перші часто виявляють вразливість і повідомляють про неї розробників раніше, ніж другі встигають скористатися нею. І це — постійний процес, а не разова акція.

Закритий код відсікає цю можливість. 

Офіційне залучення етичних хакерів до пошуку вразливостей за винагороду (bug bounty) може бути корисним для перевірки стабільних систем захисту, але не є доказом безпеки. 

Не є таким доказом і відповідність системи захисту інформації «Дії» державному стандарту Комплексної системи захисту інформації (КСЗІ). А саме цим Мінцифри відбивається від запитань про безпеку.

Читайте також: У "Дії" з'являться прописка онлайн та посвідка на проживання в Україні

«Наявність КСЗІ не дає стовідсоткової гарантії захисту від будь-яких загроз. Побудова КСЗІ суттєво знижує ризики, зводить їх до мінімально прийнятного рівня. Проте абсолютної гарантії не дає і жоден інший стандарт — ані ISO 27 000, ані NIST. Кіберзахист — це не стан, а процес», — наголошує заступник голови Державної служби спеціального зв’язку та захисту інформації України Олександр Потій.

Related video

На розробку і модернізацію порталу та мобільного застосунку «Дія» протягом 2019-2021 років в цілому витрачено близько 76 мільйонів гривень. У липні 2021 року Мінцифри виділило мільйон гривень на проведення баг баунті: білі хакери могли отримати різні суми винагороди в залежності від складності виявленої проблеми.

За матеріалами: ZN.UA / Підготував/ла : Анастасія Дейна
Ми повідомляємо тільки дійсно важливі новини. Долучайся до Telegram-каналу
Помітили помилку?
Будь ласка, виділіть її мишкою і натисніть Ctrl+Enter або Відправити помилку
ДОБАВИТЬ КОММЕНТАРИЙ
Текст содержит недопустимые символы
ДОБАВИТЬ КОММЕНТАРИЙ
Осталось символов: 2000
Отправить комментарий
Последний Первый Популярный Всего комментариев: 0
Показать больше комментариев
Пожалуйста выберите один или несколько пунктов (до 3 шт.) которые по Вашему мнению определяет этот коментарий.
Пожалуйста выберите один или больше пунктов
Нецензурна лексика, лайка Флуд Порушення дійсного законодвства України Образа учасників дискусії Реклама Розпалювання ворожнечі Ознаки троллінгу й провокації Інша причина Отмена Отправить жалобу ОК