18 мая Министерство обороны представило приложение «Резерв+», которое даёт военнообязанным возможность обновить свои персональные данные. Релиз совпал с вступлением в силу Закона «О мобилизации». IT-специалисты усомнились в аккуратности разработки — по их словам, в стремлении успеть к дедлайну в отдельных местах оставили незавершённую инфраструктуру.
Успеть за месяц
Разработчики и исследователи кода заметили в приложении формулировки типа «домашние задания», «пропущенные уроки» и подобные. По этому факту сделали вывод, что часть кода могла быть позаимствована из образовательного приложения «Мрия», запуск которого планируется в июне.
Катерина Черногоренко, заместитель Министра обороны по цифровому развитию и куратор запуска «Резерв+», в интервью Forbes охарактеризовала практику использования наработок предыдущих проектов как общепринятую в мире.
Тем не менее такое объяснение не сняло всех опасений по поводу надёжности приложения.
«Я бы не сказал, что это образцовая практика — скорее типичная. Подобное встречается часто, но можно было бы удалить неиспользуемые элементы или применить средства защиты к приложению (шифрование, обфускация). Это всё-таки, по сути, важный сервис», — прокомментировал для ProIT специалист по кибербезопасности Алексей Барановский.
К тому же в ведомстве признали: окончательное техническое задание разработчики получили лишь за месяц до релиза, уже после принятия Закона «О мобилизации».
«До утверждения закона не было точного понимания, какой именно набор функций потребуется приложению, и было трудно предсказать, какие данные закон обяжет граждан обновить», — пояснила Катерина Черногоренко.
Что известно о защите приложения
Неудивительно, что запуск сервиса, работающего с данными военнообязаных, вызвал вопросы по поводу информационной безопасности.
На странице, посвящённой функционированию приложения, на сайте Минобороны говорится:
«Приложение «Резерв+» успешно прошло все необходимые проверки безопасности, подтвердив высокий уровень защиты данных, и получило аттестат соответствия комплексной системе защиты информации (КСЗИ)».
Однако какие именно тесты и аудиты имеются в виду, ведомство не уточняет.
Минобороны заявляет, что передача данных на back-end (реестр «Оберіг») осуществляется в зашифрованном виде, а на сервере информация не хранится.
Мы отправили запрос в пресс-службу Катерины Черногоренко с просьбой разъяснить, какие меры применяются для предотвращения взломов, и уточнить, проводились ли проверки исходного кода через баг-баунти-программы, но на момент подготовки материала ответа не получили.
«Не думаю, что образовательное приложение, следы которого полно в «Резерв+», в первую очередь было о безопасности», — отмечает DevOps Eaton Corporation Юрий Бровко.
Возникают также вопросы по поводу команды, занимавшейся разработкой.
Как говорит эксперт по кибербезопасности Константин Корсун, публичного прозрачного конкурса на создание приложения не проводилось. В Минобороны это объясняют тем, что над проектом трудились несколько команд одновременно: фронтенд — лишь небольшая часть, основная работа велась с реестрами.
Приложение тестируется: чего ждать дальше?
Сейчас авторизация в приложении возможна только через Bank ID и украинский номер телефона, что создаёт сложности для пользователей, находящихся за пределами страны.
Впрочем, в Минобороны обещают расширить способы аутентификации — в частности, будет доступна верификация через id.gov.ua.
Кроме того, Катерина Черногоренко анонсировала в приложении функции, связанные с рекрутингом, возможностью подписывания контрактов и мобилизации группами.
Главная цель сервиса — облегчить обновление персональных данных военнообязаных, сэкономить время граждан и снизить нагрузку на сотрудников ТЦК.
«На практике часть пользователей сталкивалась с неверной информацией о себе — например, в их карточках появлялся статус «В розыске». Чтобы это исправить, людям приходилось обращаться в ТЦК, что создавало дополнительную нагрузку», — поясняет директор юридической фирмы Bona Lex Альбина Савинова.
29 мая Катерина Черногоренко сообщила, что статус необоснованного розыска был снят для 710 тысяч граждан.
По её словам, такие метки появились и у военнослужащих, чьи данные не были вовремя оцифрованы. Обращения граждан, обеспокоенных информацией из приложения, помогли обнаружить и исправить ошибки в реестре «Оберіг».
Альбина Савинова также отмечает, что текущий функционал приложения не предусматривает подачи документов для получения отсрочки.
«Возникает логичный вопрос: если отсрочку нужно продлевать каждые 90 дней, пока действует Указ Президента о всеобщей мобилизации, как ТЦК справятся с таким объёмом работы без возможности электронного обновления сведений об отсрочке», — подчёркивает она.
Журналист Отар Довженко поделился личным опытом: 23 июня он пришёл в ТЦК обновить данные — накануне авторизовался в «Резерве» и увидел, что числится «в розыске».
Как и Отар, за обновлением данных пришли несколько сотен человек. По его наблюдениям, вся эта очередь обслуживалась одним сотрудником ТЦК.
«Большинство людей, пришедших уточнять данные, имеют законные основания для отсрочки и хотят её оформить. Кто-то уже резервирует или имеет отсрочку, но нуждается в документах от ТЦК. В одном потоке с ними в трёх живых очередях часами ждут и другие клиенты: военные, переводящиеся или демобилизуемые; 16‑летние, встающие на учёт; родственники, пришедшие просто спросить или забрать бумажку», — написал Отар Довженко в колонке для текстов.
Электронная очередь, которую Минобороны запустило 20 мая, пока работает в тестовом режиме: записаться онлайн можно лишь на те ТЦК, которые внесены в опорный список.
Альбина Савинова делает вывод:
«Идея приложения отличная, но на данный момент «Резерв» не в полной мере справляется с задачей разгрузки ТЦК и порой создаёт дополнительную работу. Было бы более полезно добавить возможность загружать документы, подтверждающие основания для отсрочки, прямо в приложении».
Что в итоге? Приведённые выше выводы представляют собой оценочные суждения редакции, однако на текущий момент можно констатировать, что приложение создавалось в спешке и пока не отвечает всем запросам и задачам, которые ставило перед ним Министерство обороны.
«Резерв+» функционирует в тестовом режиме, и часть недочётов могла бы быть устранена командой разработчиков ещё до того, как они стали достоянием общественности.
Главное — на данном этапе приложение не выполнило полностью поставленные задачи, но при этом выявило пробелы в государственных реестрах.
Более объективно оценить его эффективность удастся по завершении 60‑дневного периода, отведённого на обновление данных военнообязаных граждан.
