Портал державних послуг «Дія» був би безпечнішим, якби його програмний код став відкритим, йдеться у статті «Дія»: про що не розповідають українцям» авторки «Дзеркала тижня» Олени Болтушкіної.
«Хоч би скільки офіційних коментарів і реплік у соцмережах не видало Мінцифри про безпеку «Дії», її неможливо перевірити. Зокрема й тому, що програмний код «Дії» є закритим, усупереч найкращим практикам», — пише авторка статті.
Водночас у статті наводиться пояснення гендиректора Prozorro Василя Задворного щодо переваг відкритого коду.
«Відкритий код — це як доступний текст закону. Для прикладу, це те, що ти знаєш, за якими правилами працює МВД, і це добре, це треба знати. Але відкритий код не означає, що тобі доступні матеріали кримінальних справ, це означає тільки те, що ти знаєш, через який час і куди ця справа піде, як використовуються дані. Це про принципи і процеси роботи системи. Якщо казати про Prozorro, у нас відкритий код самого програмного забезпечення, — і зовні всі можуть бачити, як воно працює. Також у нас є закритий код розгортання інфраструктури, і у відкритому доступі немає паролів до серверів, зайти в систему з адмінськими правами будь-хто не зможе», — розказав Задворний.
Відкритий код програм вважається безпечнішим, ніж закритий, бо дає можливість залучити необмежену кількість зовнішніх фахівців проти окремих зловмисників: перші часто виявляють вразливість і повідомляють про неї розробників раніше, ніж другі встигають скористатися нею. І це — постійний процес, а не разова акція.
Закритий код відсікає цю можливість.
Офіційне залучення етичних хакерів до пошуку вразливостей за винагороду (bug bounty) може бути корисним для перевірки стабільних систем захисту, але не є доказом безпеки.
Не є таким доказом і відповідність системи захисту інформації «Дії» державному стандарту Комплексної системи захисту інформації (КСЗІ). А саме цим Мінцифри відбивається від запитань про безпеку.
«Наявність КСЗІ не дає стовідсоткової гарантії захисту від будь-яких загроз. Побудова КСЗІ суттєво знижує ризики, зводить їх до мінімально прийнятного рівня. Проте абсолютної гарантії не дає і жоден інший стандарт — ані ISO 27 000, ані NIST. Кіберзахист — це не стан, а процес», — наголошує заступник голови Державної служби спеціального зв’язку та захисту інформації України Олександр Потій.
На розробку і модернізацію порталу та мобільного застосунку «Дія» протягом 2019-2021 років в цілому витрачено близько 76 мільйонів гривень. У липні 2021 року Мінцифри виділило мільйон гривень на проведення баг баунті: білі хакери могли отримати різні суми винагороди в залежності від складності виявленої проблеми.