С момента запуска «государства в смартфоне» вокруг сервисов «Дiї», которые помогают украинцам получать госуслуги онлайн, в СМИ появлялось множество материалов о возможных взломах, утечках персональных данных и ненадежности сервиса.
Руководитель по развитию электронных услуг в Минцифре Мстислав Баник в интервью Highload называет их мифами, а еще рассказывает о реальных уязвимостях сервиса, особенностях новой версии «Дії» и старте программы bug bounty — по ней государство выплатит 1 млн гривен тем, кто найдет «дыры» в системе.
— Минцифры объявило о старте в июне нового bug bounty — хакатона по поиску ошибок в приложении. Как проходит краш-тест сервиса и каковы результаты предыдущей программы?
— Сейчас пока идет выбор компании, которая будет проводить bug bounty. До запуска остались считанные дни. Это уже второе bug bounty, в этот раз оно будет проходить полгода и доступ будет открыт абсолютно для всех. Отдается на проверку действующая копия приложения, в котором есть данные сгенерированных пользователей, а не настоящие данные людей.
Предыдущее bug bounty проходило в декабре 2020 года в течение недели. Проводили мы его за счет доноров: Агентство по международному развитию США (USAID) помогло с запуском, выбором подрядчика и выделило 1 млн гривен призового фонда. Он распределяется между разными специалистами за выявление уязвимостей разного уровня: чем выше уровень, тем больше сумма.
Bug bounty проводила компания Bugcrowd, для участия было приглашено 83 исследователя, 27 приняли участие. Нам было интересно, ведь участвовали специалисты очень высокого уровня — смогут ли они найти какую-то уязвимость, которую мы не учли? Хотя систему безопасности и архитектуру основала компания EPAM, которая разрабатывала первую версию мобильного приложения, а мы далее только совершенствовали ее и проходили тесты, но все равно волновались.
К счастью, специалистам не удалось найти уязвимости, связанные с утечками персональных данных. Хотя были выявлены баги: например, при выполнении определенных действий может свернуться мобильное приложение. Еще одна уязвимость: по номеру VIN-кода автомобиля можно узнать информацию об автоцивилке, но вообще это открытая информация. Никаких рисков больше нет.
— Случались ли реальные взломы или утечки персональных данных из «Дії»?
— Не было ни одного взлома «Дії», а любая информация, которая есть в интернете касательно утечки данных, — это часть информационных кампаний, направленных на дискредитацию сервиса. Мы ведь не только упрощаем процесс получения услуг для украинцев, но и боремся с коррупцией, убираем возможность нелегально зарабатывать на людях. Людей пытаются оттолкнуть от использования безопасного продукта. Но все эти кампании будут нивелироваться, это лишь вопрос времени.
Фото: Министерство цифровой трансформации
В сервисах «Дії» нет персональных данных людей, нечему «вытекать», так как все данные пользователей отображаются из соответствующих реестров. Объясню: в мобильном приложении наиболее чувствительное, что есть — документы граждан, но работает оно таким образом, что документы продолжают храниться в защищенных государственных реестрах с построенной системой безопасности, с аттестатами КСЗИ (комплексы системы защиты информации).
Бэкенд «Дії» работает как шлюз и позволяет исключительно по запросу со смартфона отобразить документы этого человека у него на смартфоне. Человек авторизуется, например, через систему Bank ID Национального банка Украины, мы получаем фамилию-отчество, налоговый номер человека, по этим данным идет запрос в соответствующие госреестры, а они отвечают.
Поэтому, если сломать хранилище «Дії», сломать бэкенд, украсть ничего не получится, потому что данных, которые должны гипотетически вытечь, там нет, а шлюз показал себя безопасным. Сами данные находятся в защищенном хранилище смартфона — там, где находится система. Доступа к ней пользователь не имеет.
Если устройство Android — с root-правами или гаджет IOS — с jailbreak, то авторизация через них в «Дії» будет недоступна, поскольку эти права открывают доступ к хранилищу данных. Это первый контур нашей безопасности, его не смогли обойти даже специалисты по кибербезопасности при bug bounty.
— В мае вышла нова версия «Дії». Чем она лучше?
— Это уже третья версия. Что нового и революционного в ней? В первую очередь, это «Дія.Підпис» – электронный ключ, который доступен в сервисе. Классическая электронная цифровая подпись (ЭЦП) так и не стала популярной в широких кругах — она используется в основном в бизнесе, на госслужбе, потому что ее надо держать на флешке, помнить пароль и тому подобное. Это неудобно.
Мы же изобрели новую технологию, которая работает на основе сравнения лица человека в момент подписи с лицом в паспорте (зарубежном или ID-карте). Теперь, чтобы авторизоваться на портале или подписать документы онлайн, надо только отсканировать QR-код, показать лицо и ввести пин-код. Это революционная технология, которая не имеет аналогов, государственных приложений, которые работали бы с использованием такой технологии, нет.
Например, при подаче заявления на открытие ФЛП программа требует подписать его ЭЦП, поэтому услуга ранее была доступна только на портале. С помощью «Дія.Підпис» мы вскоре сможем реализовать ее и в мобильном приложении — человек сможет подписать заявление лицом, так сказать. Это открывает новые возможности.
Вторая революционная услуга — автоматическая регистрация ФЛП: теперь нужно заполнить на портале десять полей, отправить заявку, и уже через 1,5–2 секунды она автоматически обрабатывается вообще без участия чиновника. В будущем и другие услуги будут работать так же.
Еще одна важная новинка — регистрация места проживания, поскольку это сложная услуга с поездками в ЦНАП, военкомат, с собой нужно возить оригиналы документов. Сейчас же она доступна в смартфоне и на портале. Даже с Министерством обороны Украины по призывным вопросам мы обмениваемся данными автоматически.
В числе ключевых также налоговые услуги, поскольку мы полностью освобождаем человека от хлопот: чтобы предпринимателю подать декларацию, надо пройти всего четыре шага. Уже не нужно заполнять три страницы в бумаге.
Фото: Министерство цифровой трансформации
Также важный момент — паспорт гражданина в приложении «Дiя» (ID-карту и загранпаспорт) Украина первая в мире признала полностью таким же, как бумажный или пластиковый вариант.
— Над какими еще улучшениями работаете?
— Сейчас в мобильном приложении увеличиваем количество вариаций услуги регистрации места жительства (с разными владельцами, до 14 лет и т.д.), продолжаем разрабатывать строительные услуги и делать их автоматическими — вообще убираем из процесса чиновника, ведь ранее эта сфера была очень коррумпированной.
Также работаем над услугой регистрации мощностей операторов рынка пищевых продуктов — она касается любого оборудования производства, хранения или транспортирования продуктов питания. Например, холодильник с мороженым в киоске тоже надо регистрировать. В ближайшее время услуга станет автоматической, также планируем сделать автоматическим аннулирование этой регистрации.
— Сколько украинцев пользуются сервисами «Дiї»?
— Сейчас у нас больше 5 млн пользователей мобильного приложения, почти 5,5 млн пользователей на портале. То есть всего более 10,5 млн людей активно пользуются госуслугами через сервисы «Дiї».
Руководитель по развитию электронных услуг в Минцифре Мстислав Баник
Год назад начали внедрять услуги для предпринимателей: открытие, изменение, закрытие ФЛП, за этот период более 40% украинцев воспользовались ими именно на портале «Дiя», а не ходили по офисам разных госслужб. Ожидаем, что на следующий год таких людей будет уже 90%. Тем более что сейчас мы вообще из процесса регистрации ФЛП убрали чиновника — эта услуга полностью автоматизирована.
— Мобильные приложения «Дiя» в PlayMarket и AppStore имеют рейтинг 3,9 и 4,0 соответственно. Почему не 5? Что нужно доработать?
— Сказать, что есть какая-то конкретная причина на стороне «Дії», чтобы ставить негативные оценки, не могу — ее нет.
Первый негатив мы получили в начале, когда запустили водительские удостоверения. Человек говорит: «У меня есть водительское удостоверение, техпаспорт, но он 1999 года и не отображается». И здесь люди правы, потому что государство должно быть сервисом. Украинца не должно интересовать, по какой причине у него не отображается документ.
Проблема в следующем: доступными для отображения в мобильном приложении могут быть документы, которые имеют определенный статус (то есть действующие) и фотографию. Но в Украине до 2006 года были ламинированные водительские удостоверения, и их данные государство хранило в картотеках на местах. Позже они были оцифрованы, и вышли обновленные розовые водительские удостоверения, данные которых хранились уже в Excel. И лишь с 2014 года появились современные документы и современный реестр.
Фото: Министерство цифровой трансформации
Почему я об этом говорю? Когда пользователь запрашивал водительское удостоверение, то из 9,5 млн водителей в Украине цифровой документ мы могли показать только 2,5 млн человек. Мы решили проблему с фотографиями, импортировав фото из загранпаспортов. Так получилось отобразить документ 5,5 млн человек. Но, как вы понимаете, большое количество людей так и не могло отразить свой документ.
Дополнительно мы сразу запустили услугу по верификации, чтобы можно было загрузить фотографию своего документа, и при наличии данных в реестре или архивах, она бы отразилась автоматически в «Дії».
— Откуда берете идеи по улучшению сервиса и как доносите их разработчикам?
— Мы не фантазируем. Есть статистика и перечень государственных услуг, осуществляемых офлайн. Есть понимание, сколько раз люди ежегодно обращаются за получением той или иной услуги.
Фото: Министерство цифровой трансформации
Поэтому мы добавляем новую услугу в «Дiю», опираясь на ее актуальность и техническую готовность соответствующего органа власти. Ведь мы не оказываем услуги: если человек оплачивает налоги или подает декларацию, то он все равно совершает это в адрес налоговой, если регистрирует ФЛП — мы только формируем заявку, но обрабатывает ее Министерство юстиции.
У нас нет классической ситуации, когда чиновники там что-то себе придумали в кабинете, и «понеслась». Нет, мы огромное количество работы проводим на нашем месте. Проджект-менеджеры услуг и сервисов, которые мы разрабатываем, работают со стороны министерства.
Фото: Министерство цифровой трансформации
На «Дiю» работают разные подрядчики: над мобильным приложением — государственное предприятие в подчинении Минцифры, но самостоятельное. Мы готовим для них технические задания, а они занимаются разработкой. Процесс идет по классике: к нам приходят QA-инженеры, бизнес-аналитики, расспрашивают все детали, все шаги, все аспекты и передают информацию технической команде.
Портал разрабатывается на средства иностранных доноров (США, Швеция, Швейцария и другие) в рамках международной технической помощи. У этих организаций есть собственный бюджет, они финансируют массу проектов в Украине, в том числе разработку услуг в рамках борьбы с коррупцией. Тендеры на разработку портала проводят донорские организации — они выбирают подрядные компании и передают их Минцифры.
Сегодня мы поговорим о том, как выбрать лучшие курсы Power BI в Украине, особенно для…
В 2023 году во всех крупнейших регионах конкуренция за вакансию выросла на 5–12%. Не исключением…
Unicorn Hunter/Talent Manager Лина Калиш создала бесплатный трекер поиска работы в Notion, систематизирующий все этапы…
Edtech-стартап Mate academy принял решение отправить своих работников в десятидневный отпуск – с 25 декабря…
Служба безопасности Украины задержала в Киеве 46-летнего программиста, который за деньги устанавливал шпионские программы и…
IT-специалист Джордан Катлер создал и выложил на Github подборку разнообразных ресурсов, которые помогут достичь уровня…