22 апреля стало известно, что цифровые пропуска для жителей 21 российского региона во время эпидемии COVID-2019 организуют с помощью системы «Госуслуги стоп коронавирус» — она уже действует в Подмосковье (в Москве своя система). Впрочем, в некоторых российских городах-миллионниках уже есть свои «цифровые ошейники» — системы выдачи электронных пропусков, а также «цифровые гвардейцы» — средства проверки пропусков (QR-кодов и контрольных номеров). Именно так — «Цифровой гвардеец» — называется программа в Татарстане, первом российском регионе, настроившем систему электронных пропусков. Журналисты Анна Вилисова и Илья Шевелев по просьбе «Медузы» изучили некоторые региональные системы пропусков и обсудили с экспертами по безопасности, можно ли с их помощью получить доступ к персональным данным россиян.
Для этого материала «Медуза» поговорила с несколькими специалистами по информационной безопасности, IT-экспертами и разработчиками. Некоторые из них проанализировали региональные сервисы цифровых пропусков, они делали это автономно и не имели доступа к результатам исследований своих коллег. Многие попросили нас не указывать их имена. Кроме того, эксперт из Санкт-Петербурга, исследовавший нижегородский сайт, отказался поделиться с «Медузой» баг-репортом, сославшись на возможную неадекватную реакцию властей. В опубликованный текст вошли только факты, прошедшие перекрестную проверку. Авторы материала не использовали средства взлома и эксплуатации уязвимостей на сайтах.
Что происходит с цифровыми пропусками в России
Введение электронных пропусков в московской агломерации — одно из самых обсуждаемых событий в истории борьбы с коронавирусом в России. В Москве и в Подмосковье действуют две разные системы, но связанные друг с другом: при поездке из Москвы в область, например, действителен городской код цифрового пропуска — два отдельных разрешения заказывать не нужно.
Московский пропуск можно оформить на сайте мэрии, по телефону и по СМС на короткий номер. Все эти сервисы, объединенные в единую систему, до сих пор работают с перебоями. После ужесточения пропускного режима 15 апреля QR-коды стали обязательными для перемещения по столице на любом виде транспорта, а вестибюли метро утром заполнились очередями — прямо в разгар эпидемии. На фоне разгоревшегося скандала власти Москвы перешли на автоматический режим проверки. Теперь при оформлении пропуска необходимо указывать номер проездного документа, а разовые билеты временно отменены.
ЧТО НЕ ТАК С МОСКОВСКИМИ ПРОПУСКАМИ?
На сайте правительства Московской области информацию о пропусках найти сложнее, чем на портале московской мэрии. Есть сведения, что пропуск можно оформить непосредственно через портал «Госуслуги» или привязанное к нему приложение «Госуслуги стоп коронавирус», которое не действует в Москве. Такая интеграция, судя по всему, представляла угрозу конфиденциальности пользователей: эксперты по цифровой безопасности отмечали, что в QR-кодах этого приложения зашифрованы ссылки на персональные данные граждан. В дальнейшем информация могла попадать в выдачу поисковых машин.
Кроме того, подмосковное информационное агентство РИАМО сообщало о возможности получить пропуск, отправив СМС на короткий номер 0250. По этому номеру у «Мегафона» можно получить платную развлекательную услугу — так и вышло, когда клиенты этого оператора, живущие в Московской области, попытались получить пропуск. Представитель мобильного оператора объяснил «Ведомостям», что правительство Московской области не обращалось к ним с запросом организовать на этом номере выдачу цифровых пропусков. Впрочем, ошибку быстро исправили.
Регионы вслед за столицей во время эпидемии экстренно запустили собственные системы выдачи цифровых пропусков, разовых и долгосрочных. Региональные власти сами подбирали технические решения и условия обслуживания, исходя из технических и финансовых возможностей, а также руководствуясь местным законодательством, принятым в целях борьбы с пандемией.
«Мы сейчас видим, что подобные сервисы запускаются во многих регионах наспех, явно без надлежащих процедур проектирования, разработки и тестирования, — рассказал „Медузе“ Алексей Раевский, генеральный директор компании Zecurion, специализирующейся на информационной безопасности. — Это означает, что вопросам защиты таких сервисов уделялось недостаточно внимания — а может, и вообще не уделялось. Иногда уже на этапе эксплуатации в них находят ошибки при выполнении их основных функций, что уж тут говорить о безопасности».
Раевский считает, что через некоторое время можно ожидать утечек данных пользователей этих сервисов, поскольку, по его мнению, в текущей ситуации на обязательную аттестацию сервисов в соответствии с нормативами ФСТЭК у регионов не было времени и возможностей.
С ним согласен IT-специалист, исполнительный директор НКО «Общество защиты интернета» Михаил Климарев: «Персональные данные утекут — к гадалке ходить не надо, потому что система делается в спешке. До сих пор не было ни одного громкого дела по поводу утечки персональных данных из госорганов. То есть каждую неделю сажают по паре-тройке сотрудников у оператора связи за разглашение персональных данных, но при этом я не слышал ни одного случая, чтобы посадили какого-то чиновника или хотя бы привлекли его к какой-то ответственности». На момент публикации материала «Медузе» не удалось обнаружить случаев, когда услуга «пробива» информации с любой из региональных систем электронных пропусков предлагалась бы в интернете.
Другие опрошенные «Медузой» эксперты по информационной безопасности также отметили, что тестирование пропускных сайтов и сервисов требует времени. IT-эксперт из Санкт-Петербурга, пожелавший остаться анонимным, предположил, что сейчас внутренний аудит безопасности проводят в информационных центрах, которые обслуживают региональные порталы и сервисы.
Специалисты по информационной безопасности рассматривают две возможных группы рисков. В первой — риски несанкционированного доступа, ведущие к утечкам персональных данных и другой информации, которую пользователи доверяют пропускным сервисам. Вторая группа — возможный вывод пропускных систем из строя. «В случае сбоев в пропускных сервисах, равно как и в случае отказа систем выдачи и проверки разрешений, граждане будут получать штрафы за нарушение самоизоляции просто потому, что проверяющие не смогут подтвердить право [граждан] на выход из дома», — рассказал корреспонденту «Медузы» специалист по информационной безопасности, представившийся Петром.
Следить за соблюдением закона о защите персональных данных должен Роскомнадзор (эти полномочия ведомству передало правительство своим постановлением от 16 марта 2009 года). Обнаружив нарушение, РКН может применять к виновному разные санкции, описанные в 23-й статье закона № 153-ФЗ: от блокировки данных, собранных с нарушениями, до подачи судебных исков против нарушителей.
Однако сведений о контроле над системами цифровых пропусков, которые обрабатывают персональные данные россиян, на сайте ведомства нет. Редакция «Медузы» направила запрос в Роскомнадзор с просьбой объяснить, проводило ли ведомство технический аудит систем выдачи электронных пропусков и какие санкции ждут их операторов в случае утечки персональных данных граждан. На момент публикации этого материала ответа не последовало.
Успеть за 60 минут в Красноярске
Сервис выдачи разовых электронных пропусков в Красноярске действует с 22 апреля. Он разработан министерством цифрового развития Красноярского края для частных лиц. Самозанятые красноярцы и работодатели, не остановившие производство во время ограничительного режима, направляют запросы на получение многоразовых пропусков для сотрудников, минуя этот сервис, по электронной почте. Затем специалисты центра сами регистрируют аккаунты юридических лиц и в ответ на письма отправляют работодателям и самозанятым логины и пароли.
Пропускной сервис для физических лиц — это веб-сайт на поддомене центра информационных технологий при краевом министерстве цифрового развития. Мобильного приложения у сервиса нет, но фреймворк AngularJS, на котором написан сайт, адаптивный. Пользователям доступны форматы разовых пропусков в виде QR-кодов и текстовых кодов, передаваемых сервисом в СМС-сообщениях.
В сервисе заложены три ограничения для пользователей:
- Во-первых, этот веб-сайт получает данные для идентификации граждан из базы портала государственных услуг. Эта техническая особенность объясняется стремлением минимизировать возможные утечки персональных данных. Она же создает искусственный барьер: пропуска смогут оформить только красноярцы, зарегистрированные на «Госуслугах». Граждане, которые по каким-то причинам не доверяют свои данные государственному сервису, лишены выбора — для получения пропуска им придется создать аккаунт в «Госуслугах».
- Список причин выдачи разового пропуска достаточно обширный. Среди них посещение несовершеннолетних детей, их сопровождение, помощь нуждающимся, посещение пожилых и больных родственников, визит к адвокату и/или нотариусу, участие в похоронах, поездка на дачу, а также «иные экстренные ситуации». Сервис требует указывать адреса выхода и назначения, уточняет время каждой «прогулки».
- Каждый гражданин имеет право на две прогулки по двум разовым пропускам, а каждый пропуск действует в течение 60 минут. С чем это связано и почему в Красноярске решили установить именно такие ограничения, неизвестно.
Красноярск — город-миллионник без метро, который известен большими расстояниями между районами, расположенными по разным берегам Енисея, и постоянными пробками. Например, движение в городе часто «останавливается» в пиковые часы в районе Коммунального моста, ведущего из Центрального района в Свердловский на другом берегу реки. По данным сервиса «Яндекс.Карты», поездка на машине с Предмостной площади до поселка Бадалык, расположенного в Советском районе, без учета дорожной ситуации занимает около получаса. Таким образом, разрешенный красноярцам час по разовому пропуску уйдет только на саму поездку к родственникам или пожилым людям.
Оператор красноярского колл-центра по противодействию коронавирусной инфекции порекомендовала корреспонденту «Медузы» альтернативное решение: вместо электронного пропуска написать на бумаге объяснительную в свободной форме с указанием причины выхода из дома.
На сайте «Активный гражданин, Красноярский край» проходит опрос граждан по поводу удобства цифровых пропусков. Корреспонденту «Медузы», живущему в Петербурге, удалось авторизоваться в системе с помощью аккаунта в «Госуслугах» и поучаствовать в голосовании.
Персональные данные
Красноярский сервис выдачи разовых пропусков имеет средства защиты и сертификаты безопасности, но не обошлось и без накладок, отмечает эксперт по информационной безопасности из Петербурга, пожелавший сохранить анонимность. Он заметил, что форма входа в клиент Pronto! облачной системы CommuniGate Pro, которая используется министерством цифрового развития, открыта на одном из поддоменов сайта министерства всему интернету.
Специалист по информационной безопасности из Петербурга, попросивший не указывать его имя, считает, что страница входа в коммуникационную систему при недостаточной настройке безопасности может создавать дополнительный риск подбора паролей методом перебора и, как следствие, открывает возможность утечки данных не только разовых пропусков, но и всех данных, которые были обработаны проектами министерства.
Московский эксперт по информационной безопасности, также пожелавший остаться анонимным, напротив, не считает CommuniGate Pro значимой угрозой: «Учитывая, что данная система реализует совместную работу через почтовое взаимодействие, звонки и чаты, неудивительно, что к ней требуется доступ „снаружи“ через форму входа, это нормальная практика для любых коммуникационных систем».
Из документации CommuniGate Pro, на которую ссылается московский эксперт, следует, что эта система надежно защищена от подбора пары «логин — пароль». Помимо других средств защиты, она позволяет настроить аутентификацию по клиентским сертификатам: «Это один из самых безопасных способов аутентификации, особенно если используется вкупе с двухфакторной аутентификацией, поскольку его [сертификат] невозможно перебрать, а генерация требует криптографической подписи выдавшей его организации», — считает эксперт.
По данным Государственного реестра сертифицированных средств защиты информации, система CommuiGate Pro! прошла проверку ФСТЭК.
Оформить социальную карту и отчитаться о прогулке с собакой в Нижнем Новгороде
Нижегородский сервис электронных пропусков создан государственным Центром координации проектов цифровой экономики на базе сервиса «Карта жителя Нижегородской области». Заявку на цифровой пропуск можно подать на сайте карты и в ее мобильных приложениях.
Приложения «Карта жителя НО» требуют максимум прав на устройствах пользователей: они могут записывать звук, видео и делать фото, получают доступ к истории передвижений владельцев смартфонов; версия для Android может потребовать разрешения на запуск вместе с системой, на работу в фоновом режиме и доступ к информации о сетевых подключениях мобильных устройств. Однако все перечисленные выше права часто требуют и другие популярные приложения, например, схожий список разрешений запрашивают «Госуслуги».
Персональные данные
Нижегородский сервис не требует дополнительных данных из внешних баз и со сторонних ресурсов, но для получения пропуска зарегистрироваться на портале «Карты» и предоставить информацию о себе придется даже людям без регистрации в Нижнем Новгороде. Все те же данные надо передать и в приложениях «Карта жителя НО».
Кроме того, многоразовые электронные пропуска для выхода на работу могут оформить работодатели из реестра организаций, не прекративших деятельность во время ограничительного режима. Если работодатель корректно ввел данные своих сотрудников, после регистрации им выдадут многоразовые пропуска, доступные в персональных личных кабинетах и приложениях карты.
Недостатки сервиса в начале апреля обсуждали пользователи «Хабра». Выяснилось, что QR-коды, выдаваемые сервисом, содержат ссылки с тестовыми идентификаторами.
Нижегородская система пропусков может быть потенциально уязвимой, считает специалист по информационной безопасности из Петербурга, пожелавший скрыть свое имя: «На странице для юридических лиц [доступна после регистрации личного кабинета] есть форма загрузки данных с помощью файлов, и эта форма пугает. В ней нет валидации формата файла, что позволяет загрузить на сайт php-web-shell и [после некоторых манипуляций] получить несанкционированный доступ к сервису».