Вогнали в краски

Впервые Ashyq замелькал в информационных сводках минувшей зимой, и тогда власти называли его едва ли не спасением для загибающегося в пандемию бизнеса.

Но какие ловушки могут прятаться под благообразной и неуемной личиной «борьбы с заразой»?

Впервые Ashyq замелькал в информационных сводках минувшей зимой, и тогда власти называли его едва ли не спасением для загибающегося в пандемию бизнеса. Мол, благодаря простенькому приложению задыхающиеся от карантина общественные заведения смогут спокойно работать, а их клиенты — не опасаться риска заражения коронавирусом. В целях обеспечения всеобщей безопасности была разработана, как ее быстро прозвали в народе, система «цветовой дифференциации штанов». Гражданин должен был скачать Ashyq на свой смартфон, ввести ИИН и на входе в кафе или СПА-центр отсканировать посредством приложения индивидуальный QR-код. После этого незамысловатого действия на экране гаджета появился бы цвет, который следовало предъявить работникам заведения. «Красный» означал необходимость соблюдения домашнего карантина, «желтый» — частичное ограничение перемещения, «синий» — свободное передвижение по местам, где не требуется ПЦР-тест, «зеленый» — все двери открыты.

Несмотря на изначально тестовый формат запуска программы и подчеркнуто благие намерения Министерства цифрового развития, инноваций и аэрокосмической промышленности, критика постигла Ashyq еще на старте. Помимо шутливых параллелей с фильмом «Кин-дза-дза», люди приводили и вполне себе весомые аргументы против свалившейся на голову новинки. К слову, со временем претензий к приложению становится только больше.

Закон не писан?

Самая большая волна негодования на Министерство цифрового развития обрушилась со стороны юристов. Тезисы их, в общем, сходились.

Так, известный казахстанский адвокат Жангельды Сулейманов еще до глобального насаждения приложения разглядел в нем нарушения двух ключевых, закрепленных Конституцией прав — на тайну личной жизни и свободу перемещения. Второе, как указано в главном законе, может попираться лишь в случаях введения чрезвычайного положения. А у нас ситуация парадоксальная: ни ЧП нет, ни свободы передвижения.

Впрочем, и это еще не все допущенные нерадивыми чиновниками промашки. По словам Сулейманова, права и свободы граждан в принципе могут ограничиваться только соответствующими законами. Какую юридическую силу имеет сомнительная программка в телефоне? Правильно — нулевую. Но при этом почему-то отчаянно навязывается нам сверху.

Бессистемная система

Тихим сапом добрался Ashyq и до столичных аэропортов — в Нур-Султане вход в хаб по QR-коду ввели с 12 мая, в Алматы введут с 21-го.

В этой связи пассажиров Международного аэропорта Нурсултан Назарбаев попросили заранее скачать приложение и проверить свой статус.

— В здание терминала пассажиры с «желтым» и «красным» статусом допущены не будут. Вопросы по возврату средств в случае недопуска к рейсу следует направлять в авиакомпании, — сообщила пресс-служба воздушной гавани.

Однако от казусов предупреждения не уберегли — еще на пробном запуске системы в столичном аэропорту образовалось жуткое — особенно в свете актуальности социальной дистанции — столпотворение.

— Из-за того, что пассажиры должны просканировать свой гаджет в приложении Ashyq, у входа в столичный аэропорт скопилось огромное количество народа! Люди не успевают проходить, — пожаловался в соцсетях один из недовольных пассажиров.

Но это еще «цветочки». «Ягодки» неизбежно прорастут после окончательного введения «цветных полетов» хотя бы по причине путаницы. Начнем с того, что местными аэропортами активно пользуются не только казахстанцы, но и иностранные туристы. Здесь вспоминаем принцип работы «Ашыка», основанный на вводе ИИН. Каким тогда образом заграничному гостю миновать всевидящее приложение и вернуться на родину?

Ответ мы нашли в одном единственном источнике — на сайте об авиации avianews.com. Там сказано следующее:

— Новое требование касается не только жителей Казахстана, но и иностранных туристов. В первом случае работа приложения привязана к индивидуальному идентификационному номеру. Иностранцам для работы приложения необходимо указать свое имя и фамилию.

Ниже в который раз повторяется тезис о присваивании человеку ковид-статуса на основе информации из базы данных нашего Минздрава. Но возникает новый закономерный вопрос — а не зависнет ли база данных казахстанского Минздрава (что и так происходит регулярно), если, помимо своих граждан, начнет «запоминать» еще и чужих?

Вдобавок с пассажиров внешних рейсов спрашивают отрицательный результат заблаговременно сделанного ПЦР-теста — что при вылете из Казахстана, что при прилете в большинство стран. Но ранее появилась новость о присвоении «зеленого», то есть открывающего все двери, статуса всем привитым на территории Казахстана лицам. А привиться у нас технически может и гость, только вот зачем ему наш «зеленый сигнал», если в родной стране первым делом потребуют ПЦР? Вот такая путаница, помноженная на отсутствие логики.

Платформа на уровне «плинтуса»

Кроме того, многих интересует вопрос о происхождении программы-ограничителя. Автора приложения определить довольно просто: на платформе GooglePlay и AppStore есть информация о разработчике, коим является отечественная компания Digital innovation and transformation (DIT). Здесь же сказано, что она в своем портфолио имеет шесть приложений. Насколько они популярны, можно судить по их рейтингу. Например, приложение Smart Makhambet University имеет оценку 3,3 из 5. А вот интересующий нас Ashyq пользователи, оставив более 3 тысяч критических отзывов и жалоб, оценили в 1,4 балла. Ладно, пользователи — это люди, а люди субъективны.

Перейдем к более объективным вещам, например — к технической части. У этой компании есть свой сайт. Правда, наш разработчик построил его на российской платформе или, иначе говоря, на конструкторе сайтов Tilda. Там же теперь размещен и Ashyq.

Заходим на сайт и видим, что сделан он довольно примитивно и носит чисто информативный характер. Надо заметить, подобной сложности задачи на факультетах программирования решают студенты-третьекурсники.

Конечно, можно было бы особо и не придираться к тому, что те или иные цифровые продукты у нас делаются, что называется, на коленке. Но только не в этом конкретном случае. Шутка ли — Ashyq должен будет сконцентрировать в себе персональные данные миллионов казахстанцев! А как обстоит дело с их защитой? Если уж по сведениям самого Министерства цифрового развития следует, что Ashyq еще не прошел соответствующую проверку на информационную безопасность, то все выглядит — серьезнее некуда.

Как отмечает разработчик приложения, важной информации ничего не угрожает. Это заявление, как минимум — спорное. Учитывая авторитет DIT (а точнее — его отсутствие) в области написания качественных программ с надежной защитой данных — опасения «сливов» персональной информации более чем реальны.

Как не вспомнить совсем недалекое прошлое, когда из недр Центральной избирательной комиссии произошла утечка данных 11 миллионов казахстанцев. Позже произошел более серьезный казус: в один совсем не прекрасный момент Генеральная прокуратура РК стала этакой публичной библиотекой, которая вдруг предоставила всем желающим доступ к ее базе данных. И даже больше — возможность редактировать сведения в ее системе. Например, удалять какие-то дела или возбуждать фиктивные. В общем доступе оказались данные всех правонарушителей страны — кто что совершил и как наказан, кому какие предупреждения сделаны и так далее. Трудно представить, что бы случилось, попади все это к недобропорядочным гражданам!

ЦИК, Генпрокуратура — серьезные организации, которые привлекали серьезных программистов. А что мы знаем про компанию DIT? Есть сведения, например, о том, что сейчас техподдержкой Ashyq наряду с другими проектами занимаются всего с десяток человек. Поскольку ребята очень занятые, у них иногда случаются накладки.

Вот одна из них: однажды приложение Ashyq просто исчезло из онлайн-пространства. Надо ли говорить, что испытали те, кому в этот момент нужно было сесть в самолет или поезд? Что случилось? Хакерская атака, сбой? Все оказалось куда прозаичнее: один из разработчиков (может быть, по усталости) оплатил размещение приложения не той банковской картой, какой требовала за свой сервис платформа AppStore.

Но ведь речь у нас идет о масштабном, а в условиях пандемии — еще и стратегически важном приложении. Не должен ли и подход к его созданию, обслуживанию и использованию быть соответствующим? А что мы видим на деле?

Приложение, грубо говоря, кое-как состряпанное, было подарено (то есть передано бесплатно) государству в лице Министерства цифрового развития. Стоило ли серьезному ведомству, как раз и отвечающему за «цифровизацию страны», принимать подарок (который вдруг окажется трояном или еще пуще — троянским конем), а не объявлять, как положено, тендер на создание этого приложения, где помимо DIТ поучаствовали бы еще и другие компании? Чтобы потом выбрать лучшее? Вопрос далеко не праздный.

В завершение еще один важный момент. Это приложение создано для достижения конкретной цели, а потому оно ситуационное, временное. Но вот данные, которыми оно оперирует, «срока годности» не имеют. Кто именно будет отслеживать и контролировать жизненный цикл приложения и всех собранных в нем персональных данных? На этот вопрос пока нет ответа.

У «Комсомолки» в Казахстане появился свой канал в Telegram. Публикуем актуальные новости в течение 10 минут, беседуем со звездами эстрады и бизнес-аналитиками, говорим о курсе тенге каждый день.

Он не навязчивый. Новости приходят один раз в 20 минут. Вы будете в курсе всех важных событий.

Перейти на канал: https://t.me/kp_kz