«Багато людей пробували зламати «Дію», ніхто не зміг»

Як насправді працює «держава у смартфоні»

21:58, 3 вересня 2021

Український уряд уже два роки активно впроваджує програму «Держава у смартфоні». Які результати? І чи справді ми можемо стверджувати, що можна обійтися лише електронними документами та довідками без паперових відповідників? Поговоримо про це сьогодні з керівником з розвитку електронних послуг у Міністерстві цифрової трансформації Мстиславом Баніком. Вітаю вас.

Доброго дня.

Отже, я правильно розумію, що основний продукт вашого міністерства – це є додаток «Дія»?

Скажімо так, це флагманський продукт, дійсно. Бо «Дія» – це не тільки додаток, бо «Дія» – це екосистема: і мобільний застосунок, і вебпортал. Але це один із чотирьох напрямів взагалі роботи Мінцифри, якщо коротко. Тобто 100% державних послуг доступні онлайн – цій цілі Міністерства цифрової трансформації якраз відповідає «Дія». Також є суміжні напрями одразу: покриття 95% населеної території України, автомобільних, залізничних шляхів інтернетом, бо впроваджуючи діджитал, ти маєш і забезпечити людей можливістю…

Я розумію, але це роблять приватні компанії.

Але ми стимулюємо розвиток у цьому напрямі. Так само паралельно в нас є освіта, і наша мета там – 6 мільйонів українців навчити цифровим навичкам, щоб вони…

Додаткових 6 мільйонів?

Додатковим – так, звісно. І паралельно ще є один напрям, зовсім не пов’язаний з «Дією» – це збільшення частки ІТ у ВВП України з 6 мільярдів до 17 мільярдів.

Зрозуміло. Справді, я би все ж окреслив, що «Дія» – це флагманський продукт, це те, що…

Найвідчутніший для людей.

Так. Це те, що можна помацати і зрозуміти, що це справді міністерство робить, бо приватний бізнес цього не зробить. Скільки зараз українців користується оцим додатком, відомо?

Так, зараз у нас є 6 мільйонів користувачів мобільного застосунку – тобто це дійсно унікальні користувачі, в яких є «Дія». І додатково на порталі є 1 мільйон кабінетів громадянина створено і 6 мільйонів відвідувань порталу.

Місячно?

Це загальна аудиторія унікальних користувачів.

Ці аудиторії пересікаються?

Частково пересікаються. Але у нас не матчиться поки що кількість користувачів порталу і мобільного, оскільки це самостійні системи. І перебуваючи користувачем мобільного застосунку, ти можеш не зареєструватися на порталі й користуватися тільки мобільним. Є якась кількість користувачів, які накладаються. Але оскільки ми не зберігаємо персональні дані, то сказати точну цифру загальну не можемо.

Але все ж ви ведете якусь статистику? От ви можете сказати, які послуги найбільш затребувані? Ви зберігаєте ці дані?

У нас є логи, звісно, тобто історія замовлень. Що важливо (зроблю невеличку ремарку): «Дія», надаючи послуги і надаючи документи (якщо це про мобільний застосунок), не стає надавачем. Тобто якщо ми відкриваємо ФОП, якщо людина подає заяву через «Дію» на відкриття ФОПу, ми формуємо заяву і надсилаємо до Міністерства юстиції. Якщо ми відображаємо паспорт, то в нас немає паспорта людини – ми відображаємо його на смартфоні людини, яка авторизувалася з реєстру Міграційної служби.

Я розумію – це такий посередник, шлюз.

Так, так.

Ви подаєте запит, а він вже зв’язується з різними державними базами даних?

Так, все вірно. Щодо кількості логів у нас є і найпопулярнішими послугами, що в нас є… От «єМалятко» – це комплексна послуга, пов’язана із народженням дитини: тобто від присвоєння імені, податкового номера до отримання статусу багатодітної родини – тобто дев’ять послуг в одній, все на «Дії» доступно. І 80% сімей зараз, які народжують дітей в Україні, користуються саме сервісом «єМалятко» і більше не їздять по державних органах для того, щоби отримати допомогу.

Справді з народження дітей найпопулярніший сервіс? Я думав – паспорт, права водійські…

Ну, паспорт – це все-таки документ, це не послуга.

Я розумію. Я мав на увазі, що люди найбільше використовують.

Звісно, найбільше люди користуються саме паспортом. І в «Дії» є біометричний закордонний паспорт, є ID-картка. Чому такий набір? Паперовий паспорт – це все-таки паспорт зразка 1992–1994 років, він не найнадійніший, і першоджерела там паперові. Тобто якщо ІD-карти, біометричні, закордонні – вони вже в сучасному захищеному реєстрі.

Чому закордонний? Тому що закордонних біометричних паспортів в Україні видано 18 мільйонів, а всередині країни вони мають таку ж саму юридичну силу. Тобто закордонний паспорт в «Дії» не для того, щоби ти його показував на кордоні, а для того, щоби ти міг прийти в банк і відкрити рахунок за допомогою закордонного паспорта.

А чому, до речі, на кордоні не працює?

Тому що навіть незважаючи на те, що прикордонник може перевірити паспорт, але все ж таки тобі треба буде в’їхати до іншої країни.

Відмітку там поставити, так?

Визнання ще електронних документів на рівні країна-країна немає. Таке зараз вже є з ковідними сертифікатами – ми знаходимося в єдиній екосистемі. Але ковідний сертифікат – це такий пілот. Я сподіваюся, з роками якраз світова спільнота і з паспортами прийде до такого ж самого рішення.

Про COVID-сертифікати доречно згадали. Буквально перед програмою до мене підходив колега (він знав, що я з вами буду говорити) і показав мені наочно, що він не може отримати COVID-сертифікат попри те, що в нього друга доза вакцинації – вже 45 днів пройшло. Не бачить, не бачить система.

Йому приходить сповіщення про те, що в нього немає сертифікату.

Так, немає. Хоча він має паперовий сертифікат, який йому видала сімейна лікарка.

Так. Насправді залишилися поодинокі випадки після бета-тестування, коли не відображається COVID-сертифікат, але вони є – і їхня переважна більшість все-таки пов’язана саме з даними в реєстрі. Так, як ми з вами кілька хвилин тому проговорили, що «Дія» тільки відображає дані. І в даному випадку ковідних сертифікатів – це дані зі системи «Електронне здоров’я», eHealth.

Так. І власне ми порівнювали – в eHealth є дві вакцинації.

Там може бути – наприклад, друга доза може бути вказана як перша. Тобто там є такі деталі, які виправити може тільки сімейний лікар або лікар, який робив щеплення. І в даному випадку раджу все-таки звернутися до сімейного лікаря. Тому що я сам до того, як ми запустили ковідні сертифікати в «Дії», виїжджав за кордон, у мене є паперовий ковідний сертифікат по щепленнях – він друкується на основі даних, але лікар руками переносить, може відкоригувати прізвище, якщо трансліт якийсь відрізняється. Тому при створенні паперового ковідного сертифікату є якась частина ручної роботи, яка дозволяє виправити цю проблему.

Просто це, як мінімум, людина дивиться – якщо вона бачить, що є два щеплення…

Вона й друкує. А система може бачити якусь відмінність у літері дози, може бачити відмінність у літері прізвища. Дійсно були такі помилки, коли людина ніби має дві перші дози, а не першу і другу – і в таких випадках ковідний сертифікат не відображається.

Зараз Міністерство охорони здоров’я посилило свій контакт-центр. Найближчим часом ми якраз дамо можливість при негативному результаті, коли ми повідомляємо людину, що в неї не може відобразитися ковідний сертифікат, ми дамо їй можливість одразу звернутися до контакт-центру, де вже задіяні лікарі на боці Міністерства охорони здоров’я, які допоможуть знайти причину проблеми і виправити цю помилку.

Тобто це так само електронно можна буде зробити?

Так, це просто в чаті можна буде зробити, в месенджері.

Ну, чудово. А розкажіть трошки про безпеку цих документів. Тому що той же доступ до eHealth, паспорт, технічні права, техпаспорт – це певна конфіденційна інформація.

Так. Тут що важливо? Перше – це те, що ці дані зберігаються саме на вашому смартфоні, тобто на смартфоні людини, яка авторизувалася. Як ми поговорили: у нас на сервері немає копій паспортів, немає копій водійських посвідчень і так далі. Тобто це так само, як конфіденційна переписка якась ваша і так далі.

На телефоні ці дані в «Дії» зберігаються в захищеному розділі сховища. Тобто що я маю на увазі? Є розділ [у смартфоні], де в нас, грубо кажучи, зберігається музика чи фотографії – це одна історія. А є, де зберігається операційна система – і саме в цьому сховищі знаходяться дані із мобільного застосунку «Дії», який встановлений на смартфон. І саме тому одним із елементів нашої безпеки є те, що якщо на Android є рут-права, тобто доступ до захищеного сховища, або на iPhone є джейлбрейк (так само доступ до захищеного сховища), «Дія» не дозволить авторизуватися. Тому що програма наша бачить, що є ризики в доступі до даних – це такий базовий момент.

Друге, на чому хотів би наголосити, – це звісно (і це абсолютно справедливо), що людина піклується про свої дані, і її хвилює, щоби в «Дії» все було теж безпечно. Нас це турбує в першу чергу насправді. І в грудні місяці був хвилюючий момент – ми запускали Bug Bounty, це така програма, такий проект, коли в нашому випадку USAID, американський фонд, допоміг нам. І американська компанія, яка спеціалізується на кібербезпеці, на вразливостях, на персональних даних, вона відібрала фахівців, які шукали в «Дії» вразливості. Це світова практика – всі великі компанії працюють таким чином, є найвищого рівня фахівці, які знаються на вразливостях, мають досвід. І якщо вони знаходять – вони отримують призовий фонд і, звісно, підтверджують свою кваліфікацію і далі продовжують активно виконувати різні проекти.

І, відповідно, в грудні місяці пройшов Bug Bounty – нікому не вдалося знайти вразливості, які б призводили до витоків даних. Тобто там міноритарні якісь баги, завершення роботи застосунку знайшли – ми це виправили. Витоків жодних. Тим не менше, після того ми ж весь час оновлюємо «Дію». Тим паче, що навесні ми презентували «Дія.Підпис» – це вже електронний ключ на базі мобільного застосунку, це ще відповідальніше, ніж документи. І 27 липня ми запустили на півроку Bug Bounty новий, з новим призовим фондом. В даному випадку абсолютно будь-яка людина, яка впевнена, що знає, як можна знайти вразливість «Дії», чи є якесь бачення, може спробувати (з будь-якого куточку світу) знайти вразливості в «Дії» й отримати призовий фонд.

Який призовий фонд?

Загальний призовий фонд – 1 мільйон гривень. І в залежності від рівня вразливості… Тобто найнижча вразливість – близько 200 доларів, найвища вразливість – понад 4500 доларів.

Ну, це не дуже великий приз для професійних хакерів.

Тут справа іміджу, тут справа більше іміджева.

Я розумію. Але чи є попит брати участь?

Так, так. Звісно, є значна кількість людей, які спробували знайти. Звісно, якась кількість людей, спираючись на якісь статті в інтернеті, намагалася імітувати злам «Дії». Поки ні в кого нічого не вийшло. Що важливо – для них, щоби ніхто не хвилювався, ми створили копію «Дії», в якій немає доступу до державних реєстрів, з яких відображаються документи, натомість ми створили 2 мільйони несправжніх користувачів. Тобто якщо вони знайдуть вразливість, вони зможуть…

Тобто це якась демоверсія?

Так, це окрема версія якраз для цього.

Ну, і додатково ще питання використання цифрових документів. Якщо ми говоримо про безпеку і про шахрайство з документами – людину найбільше цікавить, щоби ніхто не взяв кредит і всі ці історії.

Ну, зокрема так. Або не змінив власність на квартиру.

Так, так, так. І що хотів би я сказати? Якщо паспорт книжечками, наприклад: загубив паспорт книжечку – є який ризик? Що шахрай вклеїть свою фотографію, зімітує відтиск печатки в куточку і зможе виконати якісь шахрайські дії чи то з отриманням кредиту, чи то з нерухомістю, чи з будь-чим. У випадку «Дії» точно шахрай не може довантажити ніяку інформацію, бо документ відображається саме з реєстру.

Друге – це те, що наша технологія пов’язана з тим, щоби поділитися копією. Тобто якраз коли ми з фізичним паспортом «копія вірна» пишемо на кожній сторінці ксероксу, то з цифровим паспортом у нас працює інша логіка документа – можна поділитися. Тобто на звороті є QR-код, і, наприклад, ви хочете відкрити рахунок в ПриватБанку – менеджер сканує цей QR-код, ви отримуєте сповіщення, чи згодні ви поділитися копією. Якщо так – підписуєте цифровим підписом копію, і система отримує.

По-перше, що важливо? При такій ситуації менеджер банку все-таки зрозуміє, якщо у вас не ваша «Дія», тому що є фотографія. Друге – це те, що під час підпису копії, яку ви надсилаєте, «Дія» порівняє ваше обличчя під час надсилання з обличчя у вашому паспорті в реєстрі. Плюс, якщо це відбувається онлайн (бо вже багато є способів відкрити рахунок онлайн), вся документація Національного банку України передбачає обов’язкову фото- або відеоверифікацію. Тобто ми навіть час від часу граємо в таємних покупців, і наші менеджери пробують з чужої «Дії» авторизуватися до якогось банку чи ще щось. Завжди система відбиває, якщо людина не є тією людиною, яка є в документі.

Тому я до чого веду? Що і той інструментарій, який відповідає сучасним вимогам, зокрема безпеки, щоби поділитися копією чи перевірити ваш вік – він набагато більш захищений, ніж у фізичному паперовому паспорті.

Хороше питання – поділитися документом. Достатньо поширена річ, коли в родині є автомобіль, і ним користується кілька членів сім'ї. Техпаспорт у «Дії» записаний на власника автомобіля – інший не може його використовувати…

Ми працюємо над тим. Це називається «належний користувач». Це є функціонал який? Зараз можна призначити в кабінеті водія послуга «Призначення належного користувача», там є сайт Міністерства внутрішніх справ – власне там є можливість призначити належного користувача, і тоді техпаспорт відобразиться в «Дії».

Паралельно з цим ми пропрацьовуємо цю послугу, тому щоби можна було одне з одним провести за допомогою двох застосунків «Дія», щоби люди могли поділитися техпаспортом з іншою людиною.

Ну так, наприклад, «тверезий водій» чи ще щось таке.

Так, так, так. Працюємо над цією послугою.

Це чудово, що ви над цим всім працюєте, але буває так, що ці електронні документи не приймають просто.

Ой, це…

У нас влітку в Рівному був випадок (я просто уточню): водій мав свої водійські права в «Дії», але паперового оригіналу не мав – і в результаті його оштрафували. Суд потім це скасував, але…

Якраз тут є кілька важливих деталей. Дійсно, що суд скасував це рішення, цей протокол.

Так, але нікому не треба цього менінгіту з судами.

Взагалі це проблема саме цього патруля поліції – поясню чому. Ми запустили ще бета-тестування водійських документів (якщо по цій історії документах) 16 грудня 2019 року. До того часу, по-перше, двічі пройшов інструктаж усіх патрулів поліції, що з’являється цифрова форма водійського посвідчення і техпаспорта. До того ж, були вдосконалені всі планшети поліцейських у двох речах на той момент.

Перше – це на першому екрані було написано: «З 16 грудня починають діяти цифрові водійські посвідчення і техпаспорти, вони виглядають отак». Навіть макети там були. Друге – QR-код на водійських документах влаштований таким чином, що якщо, наприклад, ви відскануєте мій, ви побачите інформацію про автомобіль у самій «Дії». Але якщо це зробить поліцейський своїм планшетом – відкриється уже інформаційна система, в якій він працює, і він побачить всі деталі чи про водійське посвідчення, чи про авто.

І за час бета-тестування в тому числі, і після того, як ми вже запустили повноцінно водійські документи, в нас була з реальних ситуацій (ну, крім цієї нової, яка відбулася в Рівному) тільки одна ситуація, коли поліцейський склав протокол про відсутність документів. Але тоді Міністерство внутрішніх справ скасувало його і поліцейський отримав догану, оскільки це є повноцінний документ.

Друге, що важливо, важливіше навіть, – паспорти. І власне 23 серпня набрав чинності вже закон, який повністю прирівнює паспорти в «Дії» до фізичних – пластикових або паперових.

І там є ці всі ідентифікаційні номери? Бо навіть з цими ID-картками це якась така проблема: в нас немає цих зчитувачів багато де, і ви маєте з собою якісь папірчики носити.

Так, і цифровий документ якраз допомагає це вирішити. Бо дійсно, треба зчитувач, бо є NFC-зчитувач всередині карти і так далі.

Що з цифровим паспортом? У нас він діє, підтверджений застосунок. І у нас для того, щоби це була не просто ініціатива, а щоби це працювало дійсно в житті у людей, у нас є цілий відділ впровадження, який ще з моменту початку запуску паспортів у вигляді експерименту вже наразі понад 1000 компаній доручені, які приймають цифрові документи.

Їм це нічого не варте, вони не обов’язково купують якусь там техніку, зчитувачі чи ще щось. Вони можуть – якщо це компанія, в якої є інформаційна система на своєму боці – вони підключаються до нас, підписують документи і роблять невелике доопрацювання своєї системи, щоби зчитувати QR-код і робити запит на копію документа. Якщо ж це маленька організація – готельчик якийсь чи ЦНАП, ми створили для них технологію, називається «Дія.QR», коли вони можуть через портал «Дія» створити QR-код за запитом. Тобто я приїжджаю в готель, мені дають QR-код, я його сканую – і вони отримують копію мого паспорта на імейл.

Тобто з цим цифровим паспортом ви можете повністю обійтися в Україні – готель, де ще це там треба?

У переважній більшості. І у Львові є купа компаній, магазинів, готелів, які вже підключені до системи.

Це оці ваші партнери, яких ви підключаєте?

Так, так. Ми чекаємо, що оскільки вже 23 серпня набрав чинності закон, то найближчим часом остаточно всі підключаться. І всі життєві ситуації, де людина може фізично використовувати паспорт, будуть їй доступні саме з цифровим, бо він має повну юридичну силу.

Зрозуміло, дякую – була цікава розмова. На жаль, час наш добіг кінця. Нагадаю, що сьогодні в студії ZAXID.NET LIVE був Мстислав Банік – керівник з розвитку електронних послуг у Міністерстві цифрової трансформації. Мене звати Олег Онисько. Дякую, що дивитесь і читаєте ZAXID.NET.