"Дія": действия и бездействие. Что может навредить больше?

Артем Коханевич, СЕО GigaCloud

Скандал с предполагаемым “сливом” данных из сервиса “Дія”, информация о котором сегодня широко распространилась по интернету, имеет, как минимум, 3 составляющих.

Во-первых, обвинения сервиса “Дія” в утечке персональных данных украинцев, скорее всего, беспочвенны. Приложение не хранит данные в своей собственной базе, а берет их из целого ряда реестров. Принцип его работы можно сравнить, например, с популярными маркетплейсами, которые выступают посредником и “связывают” между собой покупателей и продавцов. Смешной факт - люди, которые не могли добиться в “Діі” отображения своей фотографии на правах, увидели ее в телеграм-боте. Т.е. базы были получены откуда угодно, но не из “Дии”. Вопросы о качестве интеграции сервиса с реестрами, конечно, тоже есть…

Во-вторых, и это тоже на поверхности - атака управляемая и направлена против продолжения развития проекта. Если Федорову с командой удастся реализовать хотя бы половину из заявленного, пострадает очень много серых и коррупционных схем. Украина сейчас пасет задних в цифровизации государственных процессов, и это не потому, что “все нормальные давно уехали” - цифровизация значительно уменьшает возможность для манипуляций, и заказчики управляемого бардака будут этому активно сопротивляться. 

Но есть и третий момент, мало заметный для широкой общественности. Имея возможность наблюдать, как развиваются разные государственные проекты (Прозорро, E-Health, да тот же Kyiv SmartCity), я вижу, что в архитектурном плане “Дія” сейчас - белая ворона. Не в лучшем смысле этой метафоры. Сервис, который в перспективе должен оцифровать все бизнес-процессы государства, и уже в ближайшее время превысит упомянутые проекты по объему инфраструктуры и количеству проходящих через него персональных данных, разрабатывается “какими-то людьми за чьи-то деньги”. 

Профессиональное сообщество хотело бы поучаствовать в улучшении проекта, но как это сделать, непонятно - намеки и даже настойчивые предложения помощи игнорируются. В отличии от Прозорро, разрабатываемый код полностью закрыт, сделать его анализ и дать предложения невозможно. “Дія” физически размещена в одном дата-центре у одного из коммерческих операторов, выбор которого был совершенно непрозрачным, что можно сказать и про команду разработки. Во главу угла поставлена скорость запуска новых сервисов. Вопросы отказоустойчивости и резервирования, защиты от внешних вторжений, DDoS, защиты персональных данных - это то, что за гонкой функционала всегда остается на втором плане. 

Вчерашнюю атаку через анонимный телеграм-бот, “Дія” переживет без проблем. Уже есть комментарии ключевых лиц Минцифры, и лично я в них готов поверить. Но не за горами инциденты, вызванные неправильной архитектурой - и вот там что-то ответить обществу будет уже сложнее.