Статьи Сервисы 17.03.2023 в 10:00 comment views icon

Как Дия стала первым в мире государством в смартфоне. Представитель Минцифры Мстислав Баник о безопасности, электронных выборах и браке в приложении

author avatar
https://itc.ua/wp-content/uploads/2023/02/45639794_2287221934639096_5320642401528709120_n-e1677244644811-96x96.jpg *** https://itc.ua/wp-content/uploads/2023/02/45639794_2287221934639096_5320642401528709120_n-e1677244644811-96x96.jpg *** https://itc.ua/wp-content/uploads/2023/02/45639794_2287221934639096_5320642401528709120_n-e1677244644811-96x96.jpg

Максим Бутченко

Автор интервью и статей

Как Дия стала первым в мире государством в смартфоне. Представитель Минцифры Мстислав Баник о безопасности, электронных выборах и браке в приложении

Разговор с руководителем по развитию электронных услуг Минцифры Мстиславом Баником проходил сразу после сообщения об отбое ракетной тревоги. Поэтому почти сразу ITC.ua перешло на тему безопасности и хакерских атак на Дию. Помимо отбивания многочисленных атак украинскими специалистами на главный информационный продукт страны, Баник рассказал о других достижениях. Например, как проходят опросы в Дии, а также когда США и европейские страны смогут также внедрить у себя государство в смартфоне. Отдельно он рассказал о новинках проекта и почему Украина пока не зарабатывает на продаже лицензии Дии.

Какой день был самым лучшим, а какой самый плохой в вашей работе?

Если говорить о лучшем дне, то он был 6 февраля 2020, когда мы полноценно презентовали Дию. Худшим? 24 февраля – полномасштабное вторжение и ночью государственные реестры были отключены.

У нас, например, на тот момент было 14,5 млн. пользователей. И, собственно, люди, которые эвакуировались на Западную Украину и потеряли или забыли документы, то те, у кого была Дия на тот момент, могли продолжать пользоваться ими.

Была проблема у тех, кто впервые ее установил, потому что мы не могли показать никакие документы из-за отключенных реестров — их просто негде было взять. Несколько дней у нас заняло, пока мы разработали документ – желтый паспорт на основе авторизационных данных, который дал людям возможность пользоваться независимо от того работают ли реестры, или нет. Сейчас приложением Дия пользуются почти 19 млн. украинцев.

За несколько дней до полномасштабного вторжения сайт Дии атаковали хакеры. Насколько это было серьезно? Были ли другие попытки взлома?

Курс English For Tech: Speaking&Listening від Enlgish4IT.
Після курсу ви зможете найкраще презентувати свої досягнення, обговорювати проекти та вирішувати повсякденні завдання англійською мовою. Отримайте знижку 10% за промокодом TCENG.
Дізнатись про курс

Нас атакуют вообще с самого начала существования. Если говорить о мобильном приложении, то для понимания: первая атака была в день презентации. Дию атакуют постоянно, в том числе из-за границы.

Когда мы запускаем различные сервисы в Дии, например, о строительстве, это тоже антикоррупционная составляющая. И люди, которые теряют на этом деньги, тоже делают все, чтобы снизить эффективность или доверие к Дии.

Что касается февральской атаки на портал Дия, то осенью 2021 года количество и масштаб атак увеличилось.

15 февраля Украина отразила крупнейшую в истории страны DDoS-атаку, направленную на банковский сектор, официальные сайты органов власти, энергетический блок и портал Дия.

Атаки шли из нескольких стран, но благодаря современным антиDDoS-инструментам мы смогли оперативно отразить атаку на портал. Фильтровали иностранный трафик, выключали его, а затем снова возобновляли работу на весь мир. Для пользователей атака осталась незаметной.

Курс English For Tech: Speaking&Listening від Enlgish4IT.
Після курсу ви зможете найкраще презентувати свої досягнення, обговорювати проекти та вирішувати повсякденні завдання англійською мовою. Отримайте знижку 10% за промокодом TCENG.
Дізнатись про курс

Такие атаки стоят миллионы долларов. Ключевая их цель – посеять панику среди украинцев и дестабилизировать ситуацию в стране. Фактически, это был масштабный стресс-тест, который Украина выдержала.Как Дия стала первым в мире государством в смартфоне. Представитель Минцифры Мстислав Баник о безопасности, электронных выборах и браке в приложении

А как вообще сделана защита? Насколько я понимаю важные данные хранятся где-то в облаках, не в Украине?

Если мы говорим о приложении, то мы не храним данные. То есть у нас есть подключение к государственным реестрам, данные используются для показа документов, для заполнения заявлений на получение тех или иных услуг.

Для понимания, вы находитесь на шаге внесения информации о недвижимости – тогда мы делаем запрос в реестр недвижимости и спрашиваем про гражданина с таким налоговым номером на недвижимость. Затем, мы сформировали заявление, упаковали и отдали этот пакет данных профильному министерству, ответственному за предоставление этой услуги.

Если мы говорим о ФЛП, то его открывает Минюст. Если о поврежденном имуществе, это идет в реестр, с которым работает Министерство инфраструктуры. То есть, это часть нашей безопасности: не дублировать, не хранить данные на своей стороне.

Есть нормы, которые должны отвечать украинским стандартам с точки зрения безопасности государственных ресурсов. С другой стороны, мы используем и мировые практики, то есть базовые вещи, например, защиту от DDoS. Действие и различные государственные ресурсы, государственные системы их бекапы, резервные копии мы разместили в облаках за рубежом, потому что, кстати, российская ракета прилетела в дата-центр в Украине.

Возможно ли получить доступ админа в Дии и затем обращаться в другие учреждения? Загрузить большое количество данных?

Это невозможно, потому что любой запрос по данным человека на заполнение формы фиксируется и происходит персонально. Предположим, что я хакер, который хочет украсть данные. Я могу взять свой налоговый номер, условно получить доступ к сервису, сходить и взять свои данные. Но к другим данным у меня уже не будет доступа. Все системы устроены следующим образом. Никакой массовой утечки не может произойти.

Но дополнительно мы используем еще международную практику BugBounty, когда специалисты по кибербезопасности ищут уязвимые места. Этот процесс длился 6 месяцев, завершился 27 января за месяц до полномасштабного вторжения. Во время проведения BugBounty мы не нашли уязвимости, которые влияли бы на работу сервиса Дия. Нам представили и подтвердили несколько отчетов, связанных с незначительными багами. За них мы заплатили минимальные вознаграждения.

Поскольку это была копия Дии без данных реестров, баз данных людей, мы создали у себя на сервере базу данных с фейковыми пользователями. И еще два отчета были связаны с этой базой данных с фейковыми пользователями у нас на сервере. Но именно такого доступа к базе у нас в сервисе в принципе не бывает. Поэтому за шесть месяцев ни один человек не нашел, как из Дии можно украсть данные.

На чем написана Дия? И сколько человек у вас работает?

У нас до 30 разработчиков, все они работают в государственном предприятии Дия. Есть огромное количество используемых систем. Если мы говорим о мобильных клиентах, то это нативные языки.

Есть вообще какая-то смета Дии? Какие хоть примерно зарплаты?

Я не отвечаю за команду разработчиков, не могу ответить на этот вопрос. Вообще могу только сказать, что для команды и для меня, есть мотивация работать именно над этим продуктом.

Люди довольны? Я имею в виду, что большая конкуренция на ИТ-рынке. Как их содержать?

Минцифра не занимается разработкой приложения. Государство устроено следующим образом: Министерство разрабатывает политику. И правительство принимает решение, например, запускается функция оповещения о поврежденном имуществе. Мы формируем видение с другими министерствами, как это должно быть. Это преобразуется в техническое задание, которое идет на государственное предприятие. 

В оговоренные сроки люди занимаются разработкой, выполняют, отчитываются об исполнении. Поэтому сказать, что мы работаем в одном офисе, я не могу, это совсем по-другому устроенные процессы.

С начала полномасштабной войны вы запустили 52 услуги. Что больше всего имеет спрос?

Военные облигации (468 тыс. военных облигаций продано на 468 млн грн). Когда люди получили первые выплаты по краткосрочным облигациям, то большинство реинвестировало в покупку долгосрочных облигаций. И это классная динамика.

Вторая – замена лампочек: более 5 миллионов лампочек на обмен люди заказали из-за Дии. Естественно, услуги для переселенцев. И отдельно выделю опрос, потому что они привлекают большое количество людей.

За год мы провели 13 опросов, украинцы проголосовали в сервисе более 11,3 млн. раз. На портале самое популярное во время войны – работа (получение грантов) и услуга “Заявление на брак”.

Недавно был опрос про 8 марта. Результаты некоторых не удовлетворили – большинство по опросу поддержало, что этот день должен быть нерабочим. Во-первых, как вы оцениваете вообще возможность по такому опросу, есть ли подобное в мире. А второе, может надо разработать некоторые правила в опросе, например, минимальное количество опрашиваемых?

Для того чтобы появился такой опрос, например, как про 8 марта, депутатская группа обратилась в Министерство культуры и информационной политики Украины, МКИП к нам и мы реализовали его в Дии. Депутатская группа работает над законопроектом относительно 8 марта, поэтому их заинтересовало общественное мнение и тогда опрос добавили в приложение. 

Кстати, в нем приняло участие рекордное количество людей: более 2 млн 138 тыс. украинцев. Вообще нет в мире инструмента, когда это не выборы и не референдум, когда можно опросить такое огромное количество людей. Самое главное для меня в этом опросе, что он так или иначе влияет на законопроект. И это признак настоящей демократичности этого инструмента.Как Дия стала первым в мире государством в смартфоне. Представитель Минцифры Мстислав Баник о безопасности, электронных выборах и браке в приложении

В мире нет вообще схожей инициативы?

Есть классические инструменты демократии: петиции, запросы людей. Но именно массового такого инструмента, когда можно что-нибудь спросить у людей нет.

А как вы видите развитие вообще этого пункта?

У нас есть некоторые планы развития опросов, но они, скорее, касаются улучшений на основе того, какие опросы мы уже провели. Надо как-то сегментировать этот текст, чтобы он был более читабельным. Или несколько вариантов ответов. Понятно, вопрос: станут ли опросы выборами?

Технически, опросы и электронные выборы не имеют ничего общего. То есть у нас есть анонимный пользователь, голос которого мы можем сосчитать в ту или иную категорию. Но это точно не налезает ни на какие условия, относящиеся к электронным выборам.

То есть в итоге нельзя увидеть, кто как проголосовал?

Это совершенно анонимно. У нас есть критерии: мы можем знать возраст, пол или еще какие-либо данные. Смотрите, для нас любой пользователь сервиса, не только в опросах, анонимизирован для нашей системы. То есть даже когда человек обращается в службу поддержки и мы просим у него зайти в меню и скопировать номер устройства – это уникальный номер устройства, который если вы перелогинитесь или переустановите действие будет другой. К этому номеру подтягиваются данные пользователя – логин, история голосований (голосовал или нет), но мы не можем определить, кто именно этот наш пользователь.

Если смотреть на наши электронные мессенджеры или скайп, то они все работают со спецслужбами. А в Дии такое возможно в принципе? Будут, например, обращаться правоохранительные органы, если им надо узнать геолокацию какого-то человека?

То, что находится в телефоне человека, находится только там. У нас нет копии данных.

Условно говоря, человек авторизовался в Дии впервые. Его мобильное приложение подтвердило личность этого гражданина и далее делает запрос в государственные реестры есть ли водительские права, техпаспорт. На нашей стороне – не на устройстве, – в системе, просто остается история: получено водительское/не получено (и причина указана), но у нас нет данных этого документа.

Таким образом устроена наша архитектура. И как-то отдельно что-то навесить, скопировать невозможно – это за пределами нашей философии, которая заключается в том, что все должно быть абсолютно прозрачно. Наше мобильное приложение не имеет доступа к геолокации У нас это об удобстве и доверии человека.

А планируются электронные выборы через Дию?

В соответствии с действующим законодательством подготовку и проведение выборов организует Центральная избирательная комиссия. Очевидно, что это происходит согласно нормам соответствующих законов о выборах, разрабатываемых и принимаемых народными депутатами. ЦИК – распорядитель Государственного реестра избирателей и это основа избирательного процесса.

Минцифра реализует политику, в частности, по предоставлению электронных услуг и электронной идентификации. Это, безусловно, основа для любых электронных сервисов в будущем. Так что, если народные депутаты разработают и примут соответствующий закон об интернет-голосовании, то можно уверенно говорить, что технически мы готовы к его реализации. Важным вопросом остается готовность и доверие самих избирателей. 

Технологии выборов активно развиваются, чтобы обеспечить полную прозрачность и доверие. Условно в мире различают электронные выборы – специальные бюллетени и ящики для автоматического подсчета и интернет-выборы – возможность дистанционного волеизъявления через Интернет. Электронные выборы более распространены. Но все большее число стран склоняются к интернет-голосованию.

Голосование на Евровидение через Дию было как опрос или ближе к выборам?

Это был абсолютно технический наш опрос, то есть другой системы у нас под капотом нет. Единственное отличие по Евровидению было в том, что если мы запускаем плановый опрос, то есть утром стартуем и через неделю утром заканчиваем, то по Евровидению это был небольшой вызов для нашей команды, потому что там же все вживую происходит. Когда по сигналу должно открыться голосование, оно должно стать доступным всем. Кстати, Евровидение нанимало аудиторскую компанию, которая контролировала и затем подтверждала этот результат.Как Дия стала первым в мире государством в смартфоне. Представитель Минцифры Мстислав Баник о безопасности, электронных выборах и браке в приложении

То есть аудиторы видели уже результат в режиме онлайн?

Сидела в комнате наша команда Дии, которая включила старт опроса, и там же все время находился аудитор.

По такому же принципу могут присутствовать наблюдатели, как на выборах?

На выборах гораздо более сложная система наблюдений – не IT, а сама избирательная система устанавливает и регулирует правила. Уровень доступа наблюдателей и того, что они фиксируют – кардинально отличается, они не просто смотрят на голосование, но учитывают другие аспекты. 

Невмешательство в процесс голосования, выдача бюллетеней – предполагает совсем другой уровень технических требований, и, конечно, должна быть законодательная база. Нельзя просто показать картинку – это не соответствует сущности работы наблюдателя, процесс имеет больше уровней и гораздо больше требований.

То есть в приложении нажимаешь на кандидата и вылетает презентация и рассказ о нем? 

Если депутаты примут решение, то мы рассмотрим все варианты, как это реализовать.

О растаможке в Дии (недавно Рада провалила голосование за законопроекты № 7466 и 7468). Что будет дальше с инициативой по внедрению упрощенного механизма растаможки авто через сервис?

Законопроект будут дорабатывать народные депутаты. Мы делаем все возможное со стороны Минцифры и партнеров, чтобы этот проект был реализован. Самое важное, в чем заключается растаможка: для гражданина, который будет растамаживать автомобиль, это вопрос уменьшения платежей и вопрос большего удобства.

Но еще очень важная сторона: та растаможка, над которой мы работаем, убирает возможность коррупционной составляющей, манипуляции и т.д. То есть оно убирает человеческий фактор. Сейчас всем известны манипуляции с ценами на автомобиль. 

Почему всегда выгодно привозить битые автомобили из-за границы вместо целых? Потому что есть манипуляции с ценами, снижающими размер платежей при растаможке, и позволяющими продавать этот автомобиль. Это также порождало коррупционную составляющую, подделку документов о покупке и т.д.

Концепция растаможки через Дию – упрощение тех вещей, к которым уже привыкли: несколько кликов, смартфон, все просто и понятно. Это совсем лишает возможности иметь эту коррупционную составляющую. Понятно, что руководство государства заинтересовано в этом направлении. Просто нужно пройти этот сложный тернистый путь.Как Дия стала первым в мире государством в смартфоне. Представитель Минцифры Мстислав Баник о безопасности, электронных выборах и браке в приложении

Повестки в военкомат будут выдавать через Дию?

Не будут. Кажется, нам достаточно раз в месяц говорить «повесток в военкомат не будет».

А о создании новой семьи: регистрирование в ЗАГС. Что происходит? Подаются люди или нет. Возможно, есть отзывы?

Более 1100 пар уже отправили заявки. Это пока не брак через Дию, а только заявление.

Но когда будущие невесты должны были раньше идти в ЗАГС, в котором они будут расписываться, стоять в очереди, подать документы, написать заявление, выбрать хотят ли они музыку, хотят торжественное поздравление, зал, выбрать время, затем получить квитанцию и с ней пойти в банк оплатить, вернуться назад, конечно, процесс упростился.

Сейчас первый шаг к браку полностью находится на портале Дия, включая будет ли у тебя торжественное поздравление. Оплачиваешь через Дию. Подписывают обе стороны – это не происходит в одностороннем порядке, должны оба согласиться. И дальше это совместное заявление поступает в систему ЗАГСа, где в течение суток сотрудник обрабатывает данные, бронирует время, проверяет все эти детали и потом уже поступает подтверждение, что нужно теперь дождаться и прийти в установленное время.

А возможно будет заключить брак в Дии?

Мы знаем, что в этом смысле нет ничего невозможного, нужно просто проработать это. Возможно, добавить видеозвонок с сотрудником ЗАГСа.

А развод в режиме сообщения в Дии будет?

Есть два вида развода. Есть через суд, когда дети, раздел имущества. И есть развод через ЗАГС, когда пара не имеет претензий друг к другу или каких-либо имущественных споров. Технически развод через Дию тоже возможен, но нужно будет внимательно подходить к такому проекту.Как Дия стала первым в мире государством в смартфоне. Представитель Минцифры Мстислав Баник о безопасности, электронных выборах и браке в приложении

Недавно в тестовом режиме был запущен эстонский аналог Дия – приложение mRiik. Ваши разработчики как-то принимали в этом участие и кто еще интересуется вашими разработками?

Эстония приняла Дию для запуска у себя в стране. Важно понимать, что если какая-то страна принимает наш сервис для запуска в своей стране, это значит, что есть код, который разворачивается другой страной в ее Дата-центрах, в ее системах, подключается к ее реестрам, и мы к этому не имеем отношения, но у нас общая архитектура.

В будущем, когда все страны будут иметь свои разные мобильные приложения, нам будет гораздо удобнее интегрироваться друг с другом, ездить за границу, используя там цифровые документы своих сервисов и т.д. 

В случае Эстонии они взяли другое название mRiik, типа эстонского «мобильного управления». Она по сути будет выглядеть очень похожей на Дию, с другими шрифтами, немного в других цветах, потому что у них есть внутренние цвета для сервисов. Все остальное такое же. Дальше Эстония будет постоянно развивать этот продукт.

Что касается США, они заинтересовались не в разрезе запуска, потому что это у них очень сложная история – федеративное разделение, поэтому стандарты одних и тех же документов могут отличаться в разных штатах. США в лице USAID, оценивая то, что мы сделали, понимают, что это важный инструмент как для удобства граждан, так и для борьбы с коррупцией, прозрачности, оптимизации рабочего времени. 

USAID заинтересован в поддержке и запуске сервиса в других странах. Поэтому они запланировали $650 тыс. на то, чтобы изучать, в каких странах можно было бы развернуть Дию и рекомендовать там ее для запуска. О сейчас речь не идет, но, возможно, в будущем в разрезе для нас будет какая-то экономическая составляющая.

То есть будете продавать лицензию на Дию?

Пока нет, в будущем будет яснее. Еще по поводу других стран. Около 10 стран интересуются сервисом. Мы рссказываем, что такое Дия на международных форумах, конференциях. Но, для того чтобы анонсировать что-то в какой-то стране, у нас уже должны быть международные соглашения. Сейчас мы в процессе переговоров.

А что в этом году будет нового в Дии?

Кроме растаможки, в которую мы верим и будем вместе с депутатами дорабатывать, планируются документы об образовании, увеличении водительских услуг, вот-вот выйдем с заменой удостоверения. Я участвовал в бета-тестировании. У меня, например, больше нет физического водительского удостоверения, оно будет только в сервисе. Также то, что будет связано с переселенцами. Ветеранская тематика, потому что эти сервисы будут им очень нужны.

Что будет с Дией через 5-10-15 лет?

Хочется верить, что на дистанции в 5 или 10 лет Украина сможет стать достаточно сервисным государством. Людям вообще не нужно будет думать ни о каких бюрократических процедурах в кабинетах – они будут пользоваться государственными сервисами так же, как сейчас покупают еду или вызывают такси.

А что у нас осталось еще перенести в Дию, перечислим?

Есть чисто нотариальные вопросы, которые должны остаться у нотариусов, но всевозможные документы типа разрешения на выезд ребенка за границу одним из родителей точно должны быть упрощенными. Больше сервисов для юридических лиц.

Зайдя в тот или иной сегмент, мы будем постепенно увеличивать количество услуг, которые могут быть предоставлены. Их количество будет увеличиваться, и они будут доступны онлайн. Постепенно на временной дистанции услуги будут расти.


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: