«Резерв+», як анонсували у Міноборони, мав стати революційним застосунком. Однак з моменту запуску застосунок супроводжують диспути. Експерти ставлять під сумнів його безпеку й ефективність.
Ми поспілкувалися з IT-фахівцями та юристкою, щоб оцінити якість застосунку.
18 травня Міноборони випустило застосунок «Резерв+», у якому військовозобов’язані можуть оновити свої дані. Запуск приурочили до набуття чинності Закону «Про мобілізацію». Айтівці запідозрили, що розробники так квапилися встигнути до дедлайну, що подекуди залишили сиру інфраструктуру.
Встигнути за місяць
Програмісти проглянули застосунок і помітили там формулювання «домашні завдання», «пропущені уроки» тощо. Це дало підстави припустити, що розробники скористалися напрацюваннями освітнього застосунку «Мрія», запуск якого планується на червень.
Катерина Черногоренко, заступниця Міністра оборони з питань цифрового розвитку, яка відповідала за запуск «Резерв+», в інтерв'ю Forbes назвала ситуацію, при якій розробники використовують компоненти більш ранніх проєктів, «світовою практикою».
Однак таке формулювання не розвіяло сумнівів у надійності застосунку.
«Не скажу, що це гарна практика, скоріше типова. Так дійсно роблять, але могли б і почистити або застосувати засоби захисту застосунку (шифрування, обфускацію). Все ж таки наче важливий застосунок», – зазначив у коментарі ProIT фахівець із кібербезпеки Олексій Барановський.
Більше того, посадовиця визнала, що фінальне завдання розробники отримали лише за місяць до релізу, після ухвалення Закону «Про мобілізацію».
«До моменту ухвалення закону не було точного розуміння, який саме функціонал має бути у застосунку, і було складно прогнозувати, які саме дані закон вимагатиме від громадян оновити», – поділилася Катерина Черногоренко.
Що відомо про захист застосунку
Закономірно, що запуск застосунку, який працює із даними військовозобов’язаних, спровокував питання про безпеку.
На сторінці щодо функціонування застосунку на сайті Міноборони вказано:
«Застосунок «Резерв+» успішно пройшов усі необхідні перевірки безпеки, підтвердивши високий рівень захисту даних, і отримав атестат відповідності комплексної системи захисту інформації (КСЗІ)».
Однак про які саме перевірки йдеться, уточнень немає.
Застосунок передає інформацію на back-end (реєстр «Оберіг») у зашифрованому вигляді, а на серверній частині інформація не зберігається, переконують у Міноборони.
Ми надіслали у пресслужбу Катерини Черногоренко запит на інформацію про захист застосунку від можливих проникнень, а також про те, чи проводилися випробування вихідного коду через запуск баг-баунті програми, але на момент публікації цього матеріалу не отримали відповіді.
«Не думаю, що освітній застосунок, слідів якого повно у «Резерв+», був у першу чергу про безпеку», – каже DevOps Eaton Corporation Юрій Бровко.
Також є питання до команди розробників.
Як зауважив експерт із кібербезпеки Костянтин Корсун, не було проведено прозорого конкурсу на створення застосунку. У Міністерстві оборони це пояснюють тим, що над застосунком працювали відразу кілька команд. Фронт-енд – лише невелика частина проєкту, основна робота велася з реєстрами.
Застосунок тестується: чого чекати далі?
Поки що авторизація в застосунку доступна лише через банк ID та український номер телефону, що створило труднощі для користувачів, які перебувають за кордоном.
Втім, у Міноборони обіцяють розширити функціонал і додати більше способів автентифікації. Зокрема, підтвердити особу можна буде за допомогою id.gov.ua.
Серед іншого, Катерина Черногоренко анонсувала опцію рекрутингу в «Резерв+», підписання контракту і можливість мобілізуватися командою.
Ключове завдання застосунку – спростити процедуру оновлення персональних даних військовозобов’язаних, зекономити час і розвантажити працівників ТЦК.
«На практиці деякі користувачі зіткнулися із некоректними даними про себе, з’ясували, що мають статус «У розшуку». Щоб виправити ці дані, доводиться звертатися у ТЦК, створюючи додаткове навантаження», – каже директорка юридичної компанії Bona Lex Альбіна Савінова.
29 травня Катерина Черногоренко повідомила про зняття із безпідставного розшуку 710 тисяч громадян.
За її словами, такий статус отримали й військовослужбовці, дані яких не були оцифровані вчасно. Повідомлення громадян, яких збентежили дані із застосунку, допомогли виправити помилки у реєстрі «Оберіг».
Пані Альбіна також зауважує: функціонал застосунку не передбачає можливості подати документи про відстрочку.
«Відповідно виникає питання: якщо відстрочка надається кожні 90 днів, поки діє Указ Президента «Про загальну мобілізацію», яким чином ТЦК зможуть такий обсяг роботи охопити без можливості електронного оновлення військово-облікових даних про відстрочку», – каже наша співрозмовниця.
Журналіст Отар Довженко поділився релевантним досвідом: 23 червня він відвідав ТЦК, щоб оновити дані. Напередодні чоловік автентифікувався у «Резерві» та дізнався, що перебуває «у розшуку».
Як і Отар, оновлювати військово-облікові дані прийшло кілька сотень осіб. Чоловік зауважив: усю цю чисельну чергу обслуговував один працівник ТЦК.
«Більшість людей, які прийшли уточнювати дані, мають підстави для відтермінування і хочуть його отримати. Або ж уже заброньовані чи мають відтермінування, але потребують від ТЦК якихось документів. В одному потоці з ними у трьох живих чергах годинами простоює решта клієнтів ТЦК: військові, які переводяться чи демобілізуються; 16-річні, які стають на облік; родичі, яким просто спитати чи папірець забрати», – написав Отар Довженко у колонці для текстів.
Електронна черга, яку 20 травня запустило Міноборони, працює у тестовому режимі. Це означає, що особа може записатися на візит, лише якщо потрібний їй ТЦК є в опорному списку.
Альбіна Савінова констатує:
«Ідея застосунку класна, але «Резерв» поки в повному обсязі не справляється зі своїм завданням – розвантажити ТЦК, а навпаки деколи створює додаткову роботу. Зокрема, ефективніше було б додати опцію завантаження документів про підстави для відстрочки прямо у застосунку».
Що ж ми маємо у підсумку? Викладене вище є оціночним судженням редакції, проте наразі можемо констатувати, що застосунок створений нашвидкоруч і поки що не відповідає тим запитам і завданням, які формулювало Міністерство оборони.
«Резерв+» працює у тестовому режимі, але деякі похибки могли бути усунені командою розробників до того, як стали надбанням громадськості.
Із головного – на цьому етапі застосунок не впорався із поставленим завданням, однак «підсвітив» прогалини у реєстрах.
Точніше його ефективність можна буде оцінити після завершення 60-денного періоду, відведеного для оновлення даних військовозобов’язаних громадян.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!