Одна из самых резонансных новостей прошлых суток — публикация в анонимном телеграм-канале «UA Baza Bot» базы с данными 26 млн водительских удостоверений украинцев. И хотя практически сразу было установлено, что это старые данные из прошлых утечек, которые не имеют никакого отношения к «Дія», разработчики последнего решили на фоне инцидента еще раз рассказать, как именно работает мобильное приложение — и записали для этого короткое видео.
На видео главный разработчик мобильного приложения Мстислав Баник подробно рассказывает, каким образом устроена работа «Дії» в части обработки информации.
Разработчик особо подчеркивает, что «Дія» хранит данные локально в памяти смартфона, а не на внешнем сервере. Само же приложение является цифровым инструментом подтверждения данных, содержащихся о гражданах в соответствующих государственных реестрах.
После загрузки и установки приложения на смартфон пользователь проходит процедуру авторизации — для идентификации гражданина используется система цифровой идентификации BankID, разработанная НБУ. После успешной идентификации система делает запрос в соответствующий государственный реестр, чтобы получить цифровую копию нужного документа непосредственно на смартфон. В данном случае «Дія» — это серверная часть, которая работает как шлюз и взаимодействует со шлюзовой частью единой информационной системой МВД. При этом все реестры с персональными данными хранятся на защищенных серверах ведомства и прямого доступа к ним нет. И никакой информации из реестров «Дія» не загружает на свои сервера. Вместо этого приложение попросту фиксирует обращение пользователя, обрабатывает его и делает соответствующий запрос на получение нужного цифрового документа, который отправляется прямиком на смартфон.
«Дія — это серверная история, находящаяся в закрытом облачном хранилище, которое полностью отвечает все требования комплексной системы защиты данных (это подтверждает сертификат безопасности КСЗІ Госспецсвязи)», — объясняет Мстислав Баник.
При это в своем интервью «Медіасапієнс» Мстислав Баник признал, недостаточную защищенность именно государственных реестров, с которых и берется информация. Приводим ниже соответствующее заявление.
«К сожалению, и мы постоянно об этом говорим, в Украине реестры очень несовершенны. Всего их более трехсот, более двухсот из них содержат персональные данные граждан. Каждое ведомство создавало их как хотело, спрашивало информацию, которую оно считало нужным, и это никак не регулировалось. Более того, далеко не все реестры имеют сертификат безопасности Госспецсвязи. Поэтому осенью прошлого года, фактически сразу же после создания министерства, мы начали аудит реестров. Оказалось, что на некоторые реестры права находятся неизвестно где — например, реестр Государственный архитектурно-строительной инспекции (ГАСК) физически находился в Европе, и доступа к его использованию государство не имело. Мы инициировали соответствующий запрос, и зимой государству вернули реестр. Более того, мы в том реестре нашли интересную закладку под названием «Не светить», то есть это такая коррупционная схема — человек подает данные по объекту строительства, например, чтобы ввести дом в эксплуатацию. Эти данные тормозились, зато человеку предлагали ускорить процесс за вознаграждение. Соответственно, мы прекратили эту практику, полностью переписали реестр, сделали его защищенным и соответствующим международным правилам».
Источник: Дія