Как выяснили эксперты по информационной безопасности, цифровой QR-код, содержащий документы водителей, от Минцифры не защищен от атак хакеров. В последние несколько лет в данном ПО обнаружили свыше трех десятков угроз. Специалисты считают, что в случае расширения его функционала в будущем существует серьезный риск утечки личных данных автомобилистов в даркнет.

И. Бегтин, директор «Информационной культуры», возглавляющий экспертный совет при Генпрокуратуре, выявил, что «Госуслуги.Авто» способно стать доступной мишенью для атак хакеров. Минцифры создало данное приложение, чтобы водители имели возможность предъявлять сотрудникам Госавтоинспекции электронный вариант документов на автомобиль. С его слов следует, что ПО работает на хранилище информационных баз Artifactory 3.5.1. Версии уже шесть лет и к ее защите у экспертов возникает немало вопросов.

Бегтин отмечал, что за все время работы софта, было найдено свыше тридцати серьезных уязвимостей. То, что при создании мобильного государственного приложения было задействовано ПО с уязвимостями, является тревожным фактом.

Он отмечает, что ПО для приложения разработано не в России и это вызывает беспокойство, что связано с правительственным курсом на импортозамещение.

Другие специалисты тоже говорят о рисках функционирования Atrifactory. Специалист по информационной безопасности одной из российских крупных IT-компаний, взаимодействующих с госсектором, согласен с тем, что данная версия для приложения является потенциально небезопасной.

Он добавил, что хакеры данное приложение могут достаточно легко взломать.

Пользователи ничего не знают

Кроме того, что «Госуслуги.Авто» имеют некачественную защищенность от кибератак, у экспертов есть и другие претензии, а именно то, что здесь предусмотрен вариант передачи персональных сведений владельцев авто посторонним. И. Бегтин говорит, что об этом ничего не говорится в пользовательском соглашении и данный момент не оформлен с юридической стороны.

Он пояснил, что в приложении есть код, имеющий отношение к РСА, в котором прошита взаимосвязь с серверами организации. Каким образом будут применять данные автовладельцев страховые агентства, неясно.

В Минцифры согласны, что ПО со страховщиками взаимодействовать будут, но добавили, что произойдет все это позже, в ходе расширения предоставляемых услуг.

В службе по связям с общественностью министерства сказали, что передача информации из приложения в РСА не будет возможной до того момента, пока не будет запущен новый сервис составления европротокола.

Кроме того, в РСА добавили, что в настоящий момент между «Госуслуги.Авто» и ОСАГО отсутствует информационный обмен. И министерство, и страховые компании надеются, что скоро удастся активировать возможность составления европротокола при помощи приложения без приезда на место ДТП сотрудников Госавтоинспекции. В связи с этим предусмотрено объединение с базой РСА. Реализация будет происходить при помощи SDK-модуля. Его в приложение интегрируют при создании будущих обновлений.

В. Лысаков, депутат ГД, уверен, что плохая защита от взлома данного приложения может спровоцировать утечку сведений владельцев авто, например, в даркнет. В результате злоумышленники могут использовать их в собственных целях. Так как цифровизация набирает оборотов и проводится очень активно, затрагивая практически все сферы жизнедеятельности людей, от отрицательных последствий никто не застрахован, но это не учитывается.

Он считает, что перед вводом какого-либо цифрового сервиса, важно обеспечить гражданам максимальную безопасность от противозаконного доступа к персональным сведениям.

Любая информация этого характера, которая окажется у мошенников, может им навредить, хотя они и самостоятельно, без принуждения предоставляют ее приложению.

П. Шкуматов, координатор «Синих Ведерок», говорит, что утечка личных водительских данных является слишком серьезной проблемой.

Он отметил, что страшно то, что эти данные уже присутствуют в даркнете и их купить можно в любое время неофициально. Плюс к этому будет дополнительный канал информационной утечки.