Projekt „państwa w smartfonie” jest jednym z najambitniejszych przedsięwzięć ukraińskiego rządu. Zdjęcie: JESHOOTS-com, z domeny Pixabay.

Rok temu ukraiński rząd wypuścił rewolucyjną aplikację mobilną Dija (w języku ukraińskim słowo dija/дія oznacza „akcja”). Aplikacja ta stanowi kluczowy element obietnicy wyborczej  prezydenta Wołodymyra Zełeńskiego, by korzystanie z usług publicznych stało się wygodne i łatwo dostępne przez Internet.

Aplikacja mobilna Dija — i towarzysząca jej platforma internetowa — pozwala obywatelom Ukrainy na zdigitalizowanie m.in: dowodów osobistych, paszportów biometrycznych, numerów podatnika czy legitymacji studenckich.  Co więcej, dokumenty w wersji cyfrowej mają taką samą moc prawną jak ich oryginały w wersji papierowej. W ciągu zaledwie roku Ukraina stała się więc czwartym krajem europejskim z elektronicznym prawem jazdy i pierwszym, który wprowadził cyfrowy paszport.

Zeszłoroczny masowy wyciek danych wzbudził jednak wątpliwości dotyczące zabezpieczeń, które miały chronić prywatne informacje użytkowników. W maju 2020 roku aktywiści odkryli około 900 GB danych osobowych sprzedawanych przez anonimowego bota na popularnym komunikatorze Telegram. Wśród skradzionych informacji znajdowały się numery paszportów, dane o miejscu zamieszkania, prawa jazdy, hasła do kont na platformach społecznościowych czy szczegóły dotyczące kont bankowych milionów Ukraińców.

Podczas gdy niektórzy urzędnicy państwowi oskarżali Diję o wyciek danych z rejestrów rządowych, eksperci ds. bezpieczeństwa przypominali, że Ministerstwo Cyfrowej Transformacji nie udostępniło żadnej dokumentacji odnośnie zabezpieczenia zdigitalizowanych informacji. Choć dziennikarzom i badaczom udało się potwierdzić, że część wykradzionych danych pochodziła z ukraińskich serwerów rządowych, nie znaleziono dowodu na bezpośredni związek Diji z wyciekiem.

W rocznicę wypuszczenia aplikacji, Dija zanotowała ponad 6 milionów użytkowników. Równolegle do tego sukcesu coraz głośniej słychać głosy specjalistów IT i obrońców praw cyfrowych, wzywających rząd do rozważenia wszystkich zagrożeń, jakie niesie ze sobą e-administracja. Niezabezpieczona technologia i digitalizacja danych osobowych mogą potencjalnie podkopać zaufanie opinii publicznej do władzy.

Zdigitalizować naród

Idea cyfryzacji usług publicznych nie jest nowym konceptem na Ukrainie. Jednakże dopiero zaplecze prezydenta Zełenskiego sprawiło, że e-administracja stała się jednym z głównych priorytetów władzy. Dla sprawnego zarządzania kwestią digitalizacji kraju powołane zostało Ministerstwo Cyfrowej Transformacji, na którego czele stanął Mykhailo Fedorov.

Projekt „państwa w smartfonie” zaprezentowano wiosną 2019. Ambitny program zakładał przeniesienie do sieci wszystkich usług publicznych i zapewnienie środków identyfikacji cyfrowej większości obywateli. W późniejszym czasie założenia te poszerzyły się o dodatkowe cele, takie jak podnoszenie kompetencji informatycznych obywateli; rozbudowywanie infrastruktury internetowej czy tworzenie korzystnych warunków dla rozwoju branży IT.

Pomyślnie wdrożony program mógłby też pomóc w walce z korupcją — przyczyniając się do zminimalizowania ingerencji i arbitralnych decyzji urzędników publicznych, oraz do znacznego ograniczenia biurokracji państwowej.

Dodatkowo minister Fedorov z dumą ogłosił, że na stworzenie aplikacji Dija nie została wydana ani hrywna z budżetu Ukrainy. Zespół pracujących nad programem deweloperów składał się z 30 wolontariuszy oryginalnie zatrudnianych przez znaną, zajmującą się inżynierią oprogramowania firmą EPAM Systems. Gdy projekt był gotów przekazano go — wraz z odpowiednią wiedzą techniczną —  władzy rządzącej.

Jak bezpieczne są dane ukraińskich obywateli?

Początkowo ministerstwo ogłosiło, że Dija opiera się na technologii BankID, która jest używana przez kilka czołowych ukraińskich banków do autoryzacji użytkowników. Oprócz tego rewolucyjna aplikacja miała wykorzystywać bezpieczny serwer w chmurze do przesyłania zaszyfrowanych danych.

Nie zakończyło to jednak dyskusji nad problemem ochrony danych osobowych obywateli korzystających z Diji. Specjaliści ds. zabezpieczeń zaznaczają, że ujawniono zbyt mało informacji odnośnie testów bezpieczeństwa aplikacji.

Wydaje się, że do ich przeprowadzenia nie powołano żadnego niezależnego audytu — rzecz nie do przyjęcia w przypadku technologii mającej dostęp do wrażliwych danych milionów obywateli. Tak naprawdę pierwszy powszechny program usuwania błędów w Diji został uruchomiony nie wcześniej niż w grudniu 2020 roku.

Przecieki ujawniły, że stopień bezpieczeństwa danych na poziomie państwowym na Ukrainie pozostawia wiele do życzenia. Wśród dużych niedociągnięć wymienić można chociażby słaby system prawnej ochrony danych czy brak odpowiednich środków bezpieczeństwa w samych instytucjach władzy. Synchronizacja danych z różnych rejestrów rządowych w ramach jednego serwisu lub aplikacji może więc spowodować dodatkowe luki w zabezpieczeniach chroniących przed atakami zewnętrznymi.

Ponadto w grudniu 2019 roku rząd przyznał Ministerstwu Spraw Wewnętrznych uprawnienia do weryfikacji i agregacji danych obywateli z różnych rejestrów państwowych. Organy ścigania dostały dostęp do informacji z przynajmniej pięciu ewidencji krajowych, zawierających dane cywilne, podatkowe, informacje na temat ubezpieczeń społecznych, opieki zdrowotnej i preferencji wyborczych. Niepokoi również fakt, że udostępnianie pakietów danych odbywało się w ramach procesu „eksperymentalnego”, któremu brakowało kompleksowych zabezpieczeń legislacyjnych zapewniających obywatelom prawo do prywatności.

Analizy przeprowadzone w sierpniu 2020 roku przez orędowników praw cyfrowych z Digital Security Lab potwierdziły, że Ministerstwo Spraw Wewnętrznych nie opracowało jeszcze skutecznej metodologii dla weryfikacji bezpieczeństwa przechowywanych informacji. Nie przeszkodziło to jednak w uzyskaniu dostępu do obszernego rejestru danych osobowych obywateli.

Vita Volodovska, prawnik przy Digital Security Lab, konkluduje:

Якщо у випадку із цифровими відображеннями документів у смартфоні, “експериментальний” доступ до інформації, здійснюється хоч і без повної відповідності принципу правової визначеності, але лише за згодою користувачів, то передача масивів персональних даних з державних реєстрів до МВС в рамках іншого експерименту, без згоди громадян та будь-якого незалежного контролю, суперечить вимогам чинного законодавства та Конституції України.

O ile w przypadku cyfrowego wyświetlania dokumentów na smartfonach można mówić o „eksperymentalnym” dostępie do informacji — nawet jeśli dzieje się to za zgodą użytkowników, ale bez pełnej zgodności z przejrzystością prawa — to przekazywanie danych osobowych z rejestrów państwowych do  MSW stanowi coś zgoła innego. W precedensie tym nie ma żadnej niezależnej kontroli i odbywa się on bez przyzwolenia obywateli, co jest sprzeczne z wymogami obowiązującego ustawodawstwa i Konstytucją Ukrainy.

Przyszłość aplikacji będzie zależeć od  tego, czy państwu uda się zapewnić digitalizację danych spełniającą najwyższe standardy prywatności, bezpieczeństwa i praw człowieka.