Армія+ - професійний продукт, який робили не дилетанти

Бо хто ж розкаже правду, як не я?

Спочатку хороші новини: розроблявся він не командою мініцифри, а справжніми військовими ЗСУ, причому дійсно кваліфікованою ІТ-командою. Знаю про них багато, але поки не можу розказати публічно. Тому прошу повірити на слово: це дійсно професіонали в ІТ, які розробляють багато інших цифрових продуктів для ЗСУ. Так само поки не можу розказати про їхню команду з кібербезпеки, хоча рік тому починав її створення і якийсь час очолював. Тоді в команді були от прям дуже серйозні фахівці, "цвіт нації" що називається. Маю надію, що так все і залишилося, хоча на початку 2024 мали місце досить болючі скорочення штатів.

Додаток, який наразі називається Армія+, минулого року називався інакше і проходив тестування функціональності у спеціалізованій військовій частині. Причому ще до того, як Федоров призначив свою представницю заступницею міністра оборони. 

Тобто це не РезервХрест, який зляпала команда Федорова нашвидкуруч за 1,5 місяця на основі шкільного онлайн-щоденника — роботу вели давно та фундаментально.

Читайте також: Як хакнули "Дію"?

Я і сам покористувався локальним прототипом, подавав та підписував рапорти. І коли ми показували цю магію іншим військовим, у 99% випадків після демонстрації першим питанням було: "А можна і нам таке?"

Наразі в Армія+ доступні лише дві функції: подача рапортів та опитування. Ніяких "цифрових документів" та доступу до камери.

Рапорти та інша паперова робота у нашій армії — це відомий усім військовим біль, і тому вирішення "проблеми рапортів" сильно потрібне у військах. Але негайно виникає питання безпечності такого рішення.

Об’єктивно оцінити реальний стан безпеки поточної версії додатка Армія+ наразі не маю можливості, а надати хоч якусь актуальну інформацію загального характеру мені відмовили.

Тому поки розкажу про два великих "але", які очевидні й без інсайдів.

Перше: наразі електронні рапорти геть не є рівнозначними паперовим, і це прекрасно знають у військах. Щоб електронний рапорт був прирівняний до паперового, необхідно переписати фактично заново безліч інструкцій з діловодства та затвердити їх наказами МОУ та/або ЗСУ. А це задача колосальних масштабів та складності. Минулого року під час служби в ЗСУ я трішечки торкнувся питання зміни армійського законодавства, і це був капець який стресовий досвід.

Але ж мало того, що треба переписати інструкції – треба забезпечити "інфраструктуру" для їх виконання. Тобто запровадити відповідні надійні електронні системи обліку та обробки е-документів, забезпечити цілісність, доступність, безпеку її елементів, навчити тисячі кадровиків та командирів всім цим правильно користуватися. І це буде трохи складніше за СЕДО. Тому свіжий мем "журнал обліку завантажень Армія+" цілком може стати не жартом.

І друге "але": для ідентифікації військовослужбовців використовується BankID від НБУ.

Читайте також: З технологічним популізмом слід закінчувати

Позитив у тому, що це не "Дія.Підпис". Негатив у тому, що військовослужбовців ідентифікує цивільний сервіс, який підтримується переважно приватними банками.

Питання розмежування інструментів ідентифікації за рівнями довіри загалом є концептуальною проблемою, про яку ми з колегами написали ще у збірці "22 гріхи "Дії" (так і гуглити).

Я колись близько години розказував команді розробки тоді ще майбутнього додатку, що, в принципі, державні органи України повинні мати власну систему ідентифікації громадян, яка не залежить від комерційного сектора. В якій особливо захищеною та конфіденційною має бути підсистема ідентифікації військових. Ідеально, щоб армія взагалі мала власну автономну, повністю контрольовану систему ідентифікації. Не впевнений, чи ведеться якась робота в цьому напрямку, але треба завжди прагнути ідеалу, чи не так?

Тому поточна ідентифікація в Армія+ через BankID – це найменше зло з усіх існуючих.

Також до позитиву можна віднести врахований негативний досвід з Резерв+, коли законодавче регулювання роботи додатка засекретили, ще й комунікація була доволі хамська. 

У випадку з Армія+ перед релізом (30 липня) з’явилася цілком собі нетаємна постанова КМУ.

Загалом попередній висновок такий: додаток Армія+ розроблявся професійно, прямими руками дорослих, і тепер буде тестуватися в окремих військових частинах. Нагадаю, що свого часу недороблена Дія одразу була викинута у масове невибіркове використання, тестувалася на живих користувачах та допилювалася "по ходу п’єси".

Наразі підхід до розробки Армія+ виглядає як більш зважений – у порівнянні з попередніми безвідповідальними тяп-ляп-поробками від міністерства цифрових амбіцій.

Читайте також: Системна брехня чиновників перетворюється на питання виживання нації

Яким буде додаток у наступних ітераціях – сказати поки складно, забагато невідомих чинників. Наприклад, бачу певні ризики у бізнес-логіці роботи додатку, і поки незрозуміло, як вони компенсуються.

Словом, медійно відзвітували, непричетна мініцифра попіарилася на чужій розробці (як завжди) – тепер можна видихнути та повертатися до щоденної кропіткої роботи з допилювання, тестування та полірування рішення.

Ознак особливої зради поки не бачу, але нашим котикам радив би почекати встановлювати: перша версія практично завжди найслабша. Тим більше, що це поки що демоверсія.

P.S.: А от по неймінгу я так і не розумів: що означає оцей "+"? Це "хрест" чи "плюс"? Постанова КМУ також цього не роз’яснює. І якщо "плюс" – то плюс що? Якась двозначність виходить, невизначеність. Можна пояснювальну бригаду?

Все ж таки токсичного впливу жижиталізаторів повністю позбутися не вдалося.

* Публікується зі збереженням стилю автора

Джерело

Про автора. Костянтин Корсун, експерт з кібербезпеки

Редакція не завжди поділяє думки, висловлені авторами блогів.