І нарешті про перемогу

І нарешті про перемогу

«Кредит через Дію» – всьо. Кредитна організація підтвердила відсутність претензій до пані Людмили.
Чесно зізнаюся, я не очікував на таке швидке вирішення ситуації, хоча підозрюю, що знов не обійшлося без «ручного» вирішення та адміністративного тиску.
Я очікував довгого розслідування, ще довших судів, апеляцій, пошуків коштів на адвокатів, визнання судом договору недійсним та купу іншої бюрократичної тяганини.
Але нарешті пані Людмила може зітхнути з полегшенням – «кредит» офіційно закрито.
Але не забуваємо, що поки вона одна, звичайна чесна людина, намагалася довести свою невинуватість – усі органи влади дружно її футболили, МЦТ, кіберполіція, НБУ.
І лише коли ми усі – кожен, хто лайкав, хто поширював, хто коментував – зробили цей випадок відомим, лише тоді влада почала реагувати.
А значить, схема працює. Владу можна і потрібно примушувати працювати, причому в інтересах не тільки можновладців, але й кожного пересічного громадянина.
Окремо хочу подякувати Roman Khimich та моїх ФБ-друзів, які активно долучилися до онлайн-тиску на МЦТ (можу тегнути).
Дякую самій пані Людмилі, яка була незламною та наполегливою у відстоюванні своїх прав та свого чесного імені. Адже їй неодноразово пропонували «та заплати і спи спокійно», але вона вірила справедливість і що її можна вибороти в Україні.
І навіть трошки дякую МЦТ та його окремим чиновникам, які, намагаючись відмити «честь мундиру», все ж не забули і про відновлення справедливості щодо постраждалої людини. Так, я усвідомлюю, що якби вони “биконули” та «вперлися рогом» – кредит би ще довго висів за Людмилою.
Попри те, що для пані Людмили ця історія завершилася хепі-ендом, не забуваємо, що Дія та сам факт її існування все ще є потенційною загрозою для кожного з нас.
Як і раніше, не опублікована її документація.
Як і раніше, нічого не відомо про вихідний код Дії, про її архітектуру, технології, інфраструктуру, немає звітів незалежних професійних компаній про безпеку додатку.
Як і раніше, на Дію випущено два фейкові атестати відповідності КСЗІ.
Технічні правила та вимоги до функціонування Дії, її побудови, оновлення, модернізації – не регламентовані жодним нормативно-правовим актом, хоча б на рівні КМУ. А тим більше – Закону України.
Як і раніше, чиновники МЦТ постійно брешуть, маніпулюють, тролять, принижують опонентів, плетуть закулісні інтриги проти активістів, тиснуть на ЗМІ та онлайн-видання.
Дія.Підпис не відомо чи настільки безпечна, як про заявляє розробник, а використання цього сервісу не набагато легше, ніж звичайний КЕП/ЕЦП на флешці. Ти м більше, що Дія.Підпис «поза межами» програми Bug Bounty. Чим закінчиться ця програма – також невідомо. І чи розкажуть нам правду про результати?
Одним словом – усі старі проблеми Дії залишаються невирішеними.
Випадок з панею Людмилою МЦТ вдалося «потушити» в ручному режимі, але чи вдасться той самий фінт наступного разу?
Бо він однозначно буде, наступний раз, його не може не бути. Сама принципова схема та відомі функції Дії містять стільки критичних ризиків, що реалізація хоча б одного з них – практично неминуча. Питання лише в тому коли це станеться і до наскільки руйнівних наслідків призведе.
Особисто я глибоко переконаний, що фатальною стратегічною помилкою було прирівняння «цифрових документів» до справжніх: наша країна до цього не готова технологічно (як й усі інші країни Світу), юридично, адміністративно, навіть ментально. Нестримне бажання «стати хоч у чомусь першими у Світі» не робить честі розумовим здібностям «дієвих», зате ставить під ризик усіх нас, на кому проводять цей експеримент.
Ще раз вітаючи пані Людмилу та усіх причетних до цієї перемоги здорового глузду (в який я все ще вірю), вчергове закликаю не користуватися Дією, якщо є така можливість. Поки існують альтернативи – слід використовувати саме їх, а там час покаже: або віслюк подохне, або падишах.
Лупаємо сю скелю далі.
Костянтин Корсун

Голова Ради Громадської організації Українська група інформаційної безпеки, директор компанії з кібербезпеки Berezha Security.