[1]Projekt „państwa w smartfonie” jest jednym z najambitniejszych przedsięwzięć ukraińskiego rządu. Zdjęcie: JESHOOTS-com, z domeny Pixabay.
Rok temu ukraiński rząd wypuścił rewolucyjną aplikację mobilną Dija [2] (w języku ukraińskim słowo dija/дія oznacza „akcja”). Aplikacja ta stanowi kluczowy element obietnicy wyborczej prezydenta Wołodymyra Zełeńskiego, by korzystanie z usług publicznych stało się wygodne i łatwo dostępne przez Internet.
Aplikacja mobilna Dija — i towarzysząca jej platforma internetowa — pozwala obywatelom Ukrainy na zdigitalizowanie m.in: dowodów osobistych, paszportów biometrycznych, numerów podatnika czy legitymacji studenckich [3]. Co więcej, dokumenty w wersji cyfrowej mają taką samą moc prawną jak ich oryginały w wersji papierowej. W ciągu zaledwie roku Ukraina stała się [4] więc czwartym krajem europejskim z elektronicznym prawem jazdy i pierwszym [5], który wprowadził cyfrowy paszport.
Zeszłoroczny masowy wyciek danych [6] wzbudził jednak wątpliwości dotyczące zabezpieczeń, które miały chronić prywatne informacje użytkowników. W maju 2020 roku aktywiści odkryli [7] około 900 GB danych osobowych sprzedawanych przez anonimowego bota na popularnym komunikatorze Telegram. Wśród skradzionych informacji znajdowały się numery paszportów, dane o miejscu zamieszkania, prawa jazdy, hasła do kont na platformach społecznościowych czy szczegóły dotyczące kont bankowych milionów Ukraińców.
Podczas gdy niektórzy urzędnicy państwowi oskarżali Diję o wyciek danych z rejestrów rządowych, eksperci ds. bezpieczeństwa przypominali, że Ministerstwo Cyfrowej Transformacji nie udostępniło [8] żadnej dokumentacji odnośnie zabezpieczenia zdigitalizowanych informacji. Choć dziennikarzom i badaczom udało się potwierdzić, że część wykradzionych danych pochodziła z ukraińskich serwerów rządowych, nie znaleziono [9] dowodu na bezpośredni związek Diji z wyciekiem.
W rocznicę wypuszczenia aplikacji, Dija zanotowała ponad 6 milionów [10] użytkowników. Równolegle do tego sukcesu coraz głośniej słychać głosy specjalistów IT i obrońców praw cyfrowych, wzywających rząd [11] do rozważenia wszystkich zagrożeń, jakie niesie ze sobą e-administracja. Niezabezpieczona technologia i digitalizacja danych osobowych mogą potencjalnie podkopać zaufanie opinii publicznej do władzy.
Zdigitalizować naród
Idea cyfryzacji usług publicznych nie jest nowym [12] konceptem na Ukrainie. Jednakże dopiero zaplecze prezydenta Zełenskiego sprawiło, że e-administracja stała się jednym z głównych priorytetów władzy. Dla sprawnego zarządzania kwestią digitalizacji kraju powołane zostało Ministerstwo Cyfrowej Transformacji, na którego czele stanął Mykhailo Fedorov.
Projekt „państwa w smartfonie [13]” zaprezentowano wiosną 2019 [14]. Ambitny program zakładał przeniesienie do sieci wszystkich usług publicznych i zapewnienie środków identyfikacji cyfrowej większości obywateli. W późniejszym czasie założenia te poszerzyły się o dodatkowe cele [15], takie jak podnoszenie kompetencji informatycznych obywateli; rozbudowywanie infrastruktury internetowej czy tworzenie korzystnych warunków dla rozwoju branży IT.
Pomyślnie wdrożony program mógłby też pomóc w walce z korupcją [16] — przyczyniając się do zminimalizowania ingerencji i arbitralnych decyzji urzędników publicznych, oraz do znacznego ograniczenia biurokracji państwowej.
Dodatkowo minister Fedorov z dumą ogłosił, że na stworzenie aplikacji Dija nie została wydana ani hrywna [17] z budżetu Ukrainy. Zespół pracujących nad programem deweloperów składał się [18] z 30 wolontariuszy oryginalnie zatrudnianych przez znaną, zajmującą się inżynierią oprogramowania firmą EPAM Systems [19]. Gdy projekt był gotów przekazano go [20] — wraz z odpowiednią wiedzą techniczną — władzy rządzącej.
Jak bezpieczne są dane ukraińskich obywateli?
Początkowo ministerstwo ogłosiło [21], że Dija opiera się na technologii BankID, która jest używana przez kilka czołowych ukraińskich banków do autoryzacji użytkowników. Oprócz tego rewolucyjna aplikacja miała wykorzystywać bezpieczny serwer w chmurze do przesyłania zaszyfrowanych danych.
Nie zakończyło to jednak dyskusji nad problemem ochrony danych osobowych obywateli korzystających z Diji. Specjaliści ds. zabezpieczeń zaznaczają [22], że ujawniono zbyt mało informacji odnośnie testów bezpieczeństwa aplikacji.
Wydaje się, że do ich przeprowadzenia nie powołano żadnego niezależnego audytu — rzecz nie do przyjęcia w przypadku technologii mającej dostęp do wrażliwych danych milionów obywateli. Tak naprawdę pierwszy powszechny program usuwania błędów [23] w Diji został uruchomiony nie wcześniej niż w grudniu 2020 roku.
Przecieki ujawniły, że stopień bezpieczeństwa danych na poziomie państwowym na Ukrainie pozostawia wiele do życzenia [7]. Wśród dużych niedociągnięć wymienić można chociażby słaby system prawnej ochrony danych czy brak odpowiednich środków bezpieczeństwa w samych instytucjach władzy. Synchronizacja danych z różnych rejestrów rządowych w ramach jednego serwisu lub aplikacji może więc spowodować dodatkowe luki [8] w zabezpieczeniach chroniących przed atakami zewnętrznymi.
Ponadto w grudniu 2019 roku rząd przyznał [24] Ministerstwu Spraw Wewnętrznych [25] uprawnienia do weryfikacji i agregacji danych obywateli z różnych rejestrów państwowych. Organy ścigania dostały dostęp do informacji z przynajmniej pięciu ewidencji krajowych, zawierających dane cywilne, podatkowe, informacje na temat ubezpieczeń społecznych, opieki zdrowotnej i preferencji wyborczych. Niepokoi również fakt, że udostępnianie pakietów danych odbywało się w ramach procesu „eksperymentalnego [24]”, któremu brakowało [26] kompleksowych zabezpieczeń legislacyjnych zapewniających obywatelom prawo do prywatności.
Analizy przeprowadzone w sierpniu 2020 roku przez orędowników praw cyfrowych z Digital Security Lab [27] potwierdziły, że Ministerstwo Spraw Wewnętrznych nie opracowało jeszcze [11] skutecznej metodologii dla weryfikacji bezpieczeństwa przechowywanych informacji. Nie przeszkodziło to jednak w uzyskaniu dostępu do obszernego rejestru danych osobowych obywateli.
Vita Volodovska, prawnik przy Digital Security Lab, konkluduje [11]:
Якщо у випадку із цифровими відображеннями документів у смартфоні, “експериментальний” доступ до інформації, здійснюється хоч і без повної відповідності принципу правової визначеності, але лише за згодою користувачів, то передача масивів персональних даних з державних реєстрів до МВС в рамках іншого експерименту, без згоди громадян та будь-якого незалежного контролю, суперечить вимогам чинного законодавства та Конституції України.
O ile w przypadku cyfrowego wyświetlania dokumentów na smartfonach można mówić o „eksperymentalnym” dostępie do informacji — nawet jeśli dzieje się to za zgodą użytkowników, ale bez pełnej zgodności z przejrzystością prawa — to przekazywanie danych osobowych z rejestrów państwowych do MSW stanowi coś zgoła innego. W precedensie tym nie ma żadnej niezależnej kontroli i odbywa się on bez przyzwolenia obywateli, co jest sprzeczne z wymogami obowiązującego ustawodawstwa i Konstytucją Ukrainy.
Przyszłość aplikacji będzie zależeć od tego, czy państwu uda się zapewnić digitalizację danych spełniającą najwyższe standardy prywatności, bezpieczeństwa i praw człowieka.