0
Про безпеку застосунку, винагороду тим, хто його зламає, та електронні документи.
Мстислав Банік — один із перших, хто потрапив до команди новоствореного Мінцифри у 2019 році. Доти він був підприємцем, очолював власну цифрову агенцію.
Зараз Мстислав — керівник із розвитку електронних послуг у Мінцифри. Один із найважливіших його проєктів на держроботі — це застосунок та портал Дія.
Про безпеку персональних даних у Дії, шалені гроші тим, хто знайде вразливості застосунку, та те, як Україна стала першою державою у світі, яка юридично прирівняла електронні паспорти до паперових та пластикових, він розповів у інтерв’ю «Шпальті».
Про перехід від сфери бізнесу до державної роботи
Так склалося, що я був знайомий із Михайлом Федоровим, міністром цифрової трансформації, і він покликав мене до себе у команду. Восени 2019 року я став радником, а наприкінці березня 2020-го — держслужбовцем. Спершу я паралельно вів справи з підприємництва. Але потім перейшов остаточно на держслужбу.
Держслужба — це дуже «інша» робота. Коли ти працюєш у бізнесі, то твій результат – це досягнення твого клієнта. А коли ти працюєш на державу, твій результат – це те, що покращилося для людей.
Якщо ми говоримо, що 89% молоді користується послугою «єМалятко», коли народилася дитина, то ти розумієш, що доклав безпосередніх зусиль до цього. Щоб ці всі люди, не знаючи, як тебе звати і хто ти, відчули комфортніше життя. Або ж коли 67% бізнесів відкривається через портал «Дія», для мене це теж показник. Я ж знаю, яка кропітка робота — зробити ФОП. Зараз більше половини бізнесів відкриваються у нас на порталі у декілька кліків. Або ж коли знайомі розповідають, що бабуся подивилася відео на ютубі і сама зробила собі ковід-сертифікат — це круто і мотивує мене.
«Як ми стали першими? Ми що, розумніші?»
Україна перша у світі дала електронним документам повну юридичну силу. Ми перші, хто ввів у дію електронний паспорт громадянина. Часто мене запитують: «Як так? Ми найрозумніші? Як склалося, що стільки країн світу мали схожий застосунок до нас, а ми перші до цього додумалися?» Це у людей викликає певну недовіру і скепсис.
Є дві складові. По-перше, багато інших країн консервативні, і в них уже укладені певні норми, які всіх влаштовують, їх не змінюють. У них законсервовані ці процеси. Ми ж – країна, де поки що все «вирує». У нас є можливість вийти за рамки й почати щось нове.
А по-друге, світ почав цифровізуватися десь наприкінці 80-х років. У багатьох країнах тоді зробили якийсь крок раніше, але при цьому вони зупинилися на тому етапі, який їх влаштував, і поки не пішли далі. У нас же інакше. У нас нічого взагалі не відбувалося в плані цифровізації, тому стартова точка для них – це спершу зруйнувати старе, потім побудувати нове. А ми будуємо з нуля.
Про безпеку Дії і винагороду тим, хто її зламає
Найголовніше, що треба знати: у нас у Дії немає документів людей. Програму можна поділити умовно на дві частини: те, що є на смартфоні людини, і те, що є у системі. Наша серверна частина взагалі не вміщає нічого, крім процесів, які дозволяють зробити запит із мобільного до відповідного державного реєстру й отримати документ на ваш телефон. Водійські права продовжують зберігатися в реєстрі водійських інстанцій, паспорти – у паспортних. Усі дані там, де вони були й раніше. Але просто ми даємо можливість за запитом людини надіслати їх на ваш смартфон. Ми свого роду посередники.
Що стосується вашого смартфону, то дані зберігаються в захищеній частині його сховища. Не там, де фото і музика, а там, де є операційна система.
«Вкрадуть телефон і візьмуть кредит?»
Наступний момент – у побуті. «Вкрадуть телефон і візьмуть кредит». Завжди надаю приклад: якщо ви загубили паперовий паспорт, то дуже легко там замінити фотографію, шахраю зробити ксерокс і написати «копія вірна з двох сторін».
Щоб отримати паспорт у Дії, треба спершу пароль до смартфону, потім — до самої програми. Для того, щоб отримати кредит, необхідно мати копію паспорта. Вам на телефон надходить запит, що певне відділення банку просить цю копію. Якщо ви погоджуєте це, треба пройти ідентифікацію за допомогою Дія.Підпису. Хто вже робив, то знає, що це не заняття на гнучкість шиї. Ми так запевняємося, що людина справжня. Ми порівнюємо обличчя з тим, що в біометричному паспорті, фото в реєстрі. Тож у шахрая немає шансів пройти порівняння обличчя, і копію не буде сформовано. Крім того, кредитні установи відключені від онлайн-шерингу копії документів, і в Дії через шахраїв ми налаштували інтеграцію з українським бюро кредитних історій. А найближчим часом уже буде доступна функція сповіщення, що банк відкрив на вас кредит. Словом, стільки маніпуляцій і рівнів захисту, що безпека застосунку навіть не може підлягати сумніву.
За злам Дії пропонували 35 тисяч доларів
Крім цього, найголовніше — у нас минулого року було BugBounty («багбаунті»). Це світова практика щодо пошуку вразливостей, пов’язаних із витоком персональних даних. У грудні 2020-го ніхто нічого не зміг знайти. Цьогорічний «багбаунті» триває з 27 липня до 27 січня. Будь-хто може отримати копію Дії з несправжніми користувачами без доступу до реєстрів. Наразі проблемних точок не знайшли.
Міністерство цифрової трансформації обіцяло величезні гроші тим, кому вдасться зламати програму. Проєкт USAID «Кібербезпека критично важливої інфраструктури в Україні» виділив для цього призовий фонд 1 млн гривень ($35 000). Технології зломів зростають, але покращуються і технології захисту. Насправді дійсно компетентних людей, які могли б принаймні спробувати це зробити, дуже мало. Але вони беруть участь у цих «багбаунті». Знайти вразливості у таких масштабних застосунках для таких людей – не стільки фінансова нагорода, як монетизація імені. Вони стають більш високооплачуваними на ринку кіберфахівців. Усіх, хто знає як зламати Дію, ласкаво просимо.
Про кінець бюрократії та те, як вплинув коронавірус
Ситуація у світі вплинула і на нашу роботу, але не кардинально. Здебільшого наші цілі не змінилися. Але в нас побільшало роботи із ковід-сертифікатами. Зараз ми робимо умовний тур по Україні: відвідуємо пункти Команди підтримки Дії у всіх областях, створені за ініціативи Мінцифри та за підтримки регіональних команд цифровізації. Там допомагають українцям генерувати ковід-сертифікати. Зі слів волонтерів, у людей найбільше питань щодо сімейних лікарів у застосунку. Але і це вирішимо.
Діджиталізація держпослуг – це свого роду кінець бюрократії. Бюрократія — це папір, час і людський фактор. Ми забираємо з цієї складової папір. Часу ти можеш витратити набагато менше. І прибираємо людський фактор, як на ФОПі, де є автоматична реєстрація бізнесу.
Людина має можливості отримати й офлайн послуги. Але є багато випадків, коли у ЦНАПах є окремий комп’ютер, на якому можна зайти на Дію.
Гадаю, відмова від паперу відбудеться. Але це буде органічний процес, із роками.
Фото Володимира Гуцула
