Як Дія стала першою у світі державою у смартфоні. Представник Мінцифри Мстислав Банік про безпеку, електронні вибори та шлюб у застосунку

Опубликовал
Максим Бутченко

Розмова з керівником із розвитку електронних послуг Мінцифри Мстиславом Баніком відбувалася одразу після повідомлення про відбій ракетної тривоги. Тому майже одразу ITC.ua перейшло на тему безпеки та хакерських атак на Дію. Окрім того, що українські спеціалісти відбиваються від численних нападів на головний інформаційний продукт країни, Банік розповів про інші досягнення. Наприклад, як проходять опитування в Дії та коли США, європейські країни зможуть також впровадити у себе державу у смартфоні. Окремо він розповів, що нового з’явиться в їх проєкті та чому Україна поки не заробляє на продажі ліцензії цього мобільного застосунку. 

Який день був найкращим, а який найпоганіший в вашій роботі?

Якщо говорити про найкращий день, то він був 6 лютого 2020 року, коли ми повноцінно презентували Дію. Найгіршим? 24 лютого – повномасштабне вторгнення і вночі державні реєстри були відключені. 

У нас, наприклад, на той момент було 14,5 млн користувачів. І, власне, люди, які      евакуювалися на Західну Україну та які втратили, забули, загубили документи, ті, в кого була встановлена Дія на той момент, могли продовжувати користуватися нею. 

Була проблема в тих, хто вперше її встановив, бо ми ж не могли показати жодні документи через те, що реєстри були відключені та не було де взяти ці документи. І відповідно у нас кілька днів зайняло, поки ми розробили єДокумент – жовтий паспорт на основі авторизаційних даних, який дав людям можливість користуватися незалежно від того чи працюють реєстри, чи ні. Зараз застосунком Дія користуються майже 19 млн українців.

За декілька днів до повномасштабного вторгнення сайт Дії атакували хакери. Наскільки це було серйозно? Чи були інші спроби злому?

Нас атакують взагалі з самого початку існування. Якщо говорити про мобільний застосунок, то для розуміння: перша атака була в день презентації.

Дію атакують постійно, зокрема це атаки з-за кордону.     

Коли ми запускаємо різні сервіси в Дії, такі як про будівництво, це ж також антикорупційна складова. І люди, які втрачають корупційні можливості теж докладають зусиль для того, щоб знизити ефективність або довіру до Дії. 

Що стосується лютневої атаки на портал Дія, то восени 2021 року кількість і масштаб атак збільшилася, почала зростати.

15 лютого Україна відбила найбільшу в історії країни DDoS-атаку, що була спрямована на банківський сектор, офіційні сайти органів влади, енергетичний блок та портал Дія.

Атаки йшли з декількох країн, але завдяки сучасним антиDDoS-інструментам ми змогли оперативно відбити атаку на портал Дія. Фільтрували іноземний трафік, вимикали його, а потім знов відновлювали роботу на весь світ. Для користувачів Дії атака залишилася непомітною. 

Такі атаки коштують мільйони доларів. Ключова їх ціль — посіяти паніку серед українців та дестабілізувати ситуацію в країні. Фактично це був масштабний стрес-тест, який Україна витримала. 

А як взагалі захист зроблений? Наскільки я розумію важливі дані знаходяться десь в хмарах не в Україні?

Якщо ми говоримо про Дію, то ми не зберігаємо дані. Тобто у нас є підключення до державних реєстрів, ці дані використовуються для показу документів, для заповнення заяв на отримання тих чи інших послуг. 

Для розуміння, ви знаходитеся на кроці внесення інформації про нерухомість – тоді ми робимо запит в реєстр нерухомості та питаємо чи є громадянин з таким податковим номером на нерухомість чи немає. Потім, ми сформували заяву, спакували й віддали цей пакет даних профільному міністерству, яке відповідальне за надання цієї послуги. 

Якщо ми говоримо про ФОП, то Мінюст його відкриває. Якщо про пошкоджене майно, то це йде в реєстр, з яким працює Міністерство інфраструктури. Тобто це частина нашої безпеки: не дублювати, не зберігати дані на своєму боці. 

Є норми, яким ми маємо відповідати українським стандартам з точки зору безпеки державних ресурсів. З іншого боку ми використовуємо і світові практики, тобто базові речі, наприклад, захист від DDoS. Дія, та різні державні ресурси, державні системи їх бекапи, резервні копії були розміщені в хмарах за кордоном, тому що, до речі, російська ракета прилетіла в дата-центр в Україні.

Можливо отримати доступ адміна в Дії та потім звертатися до інших установ? Завантажити велику кількість даних?

Це неможливо, тому що будь-який запит за даними людини на заповнення форми фіксується та відбувається персоналізовано. Наприклад, я хакер і хочу вкрасти дані. Я можу взяти свій податковий номер, умовно, отримати доступ до Дії, за ним сходити та взяти свої дані; до інших даних у мене вже не буде доступу. Всі системи влаштовані таким чином. Ніякого масового витоку не може статися. 

Але додатково ми використовуємо ще міжнародну практику BugBounty, коли фахівці з кібербезпеки шукають вразливі місця. Цей процес тривав 6 місяців, закінчився 27 січня за місяць до повномасштабного вторгнення. Під час проведення BugBounty не знайшли вразливостей, які впливали б на роботу застосунку Дія. Подали та підтвердили декілька звітів, які були пов’язані з незначними багами, за ним вони отримали найменші виплати. 

Оскільки це була копія Дії без даних реєстрів, баз даних людей, то ми створили у себе на сервері базу даних з фейковими користувачами. І ще два звіти були пов’язані з цією базою даних з фейковими користувачами у нас на сервері. Але саме такого доступу до бази у нас в Дії в принципі не буває. Тому за шість місяців жодна людина не знайшла, як з Дії можна викрасти дані.

На чому написана Дія? І скільки працівників у вас працює?

У нас до 30 розробників, всі вони працюють в державному підприємстві Дія. Є величезна кількість систем, які використовується. Якщо ми говоримо про мобільних клієнтів, то це нативні мови.  

Є взагалі якийсь кошторис Дії? Які хоч приблизно зарплати?

Я не відповідаю за команду розробників, не можу вам відповісти на це питання. Взагалі можу тільки сказати, що для команди, як і для мене є мотивація працювати саме над цим продуктом.

Люди задоволені? Я маю на увазі, що велика конкуренція на ІТ-ринку. Як їх втримувати?

Мінцифра не займається розробкою Дії. Держава влаштована таким чином: Міністерство розробляє політику. І уряд приймає рішення, наприклад, запускається функція сповіщення про пошкоджене майно. Ми формуємо бачення з іншими міністерствами, як це має бути. Це перетворюється в технічне завдання, яке йде на державне підприємство Дія, яке в обумовлені строки займається розробкою, виконують, звітують про виконання. Тому сказати, що ми працюємо в одному офісі я не можу, це зовсім по-іншому влаштовані процеси.

З початку повномасштабної війни ви запустили 52 послуги, що найбільше буде мати попит?

Найбільше це військові облігації (468 тис. військових облігацій продано на 468 млн грн). Коли люди отримали перші виплати по  короткостроковим облігаціям, то більшість реінвестувала в покупку довгострокових облігацій. І це класна динаміка. 

Друга – заміна лампочок: понад 5 мільйонів лампочок на обмін люди замовили через Дію. Ясна річ, послуги для переселенців. І окремо виділю опитування, бо вони залучають велику кількість людей.

За рік ми провели 13 опитувань, українці проголосували в Дії понад  11,3 млн разів. На порталі найпопулярніше під час війни – єРобота (отримання грантів) і послуга Заява на шлюб.

Нещодавно було опитування про 8 березня. Результати деяких не задовольнили – більшість по опитуванню підтримала, що цей день повинен бути неробочим. По-перше, як ви оцінювати взагалі можливість по такому опитуванню, чи є подібне у світі. А друге, може треба розробити деякі правила в опитуванні, наприклад, мінімальна кількість опитуваних? 

Для того, щоб з’явилося таке опитування, наприклад, як про 8 березня, то депутатська група звернулася до Міністерства культури та інформаційної політики України, МКІП до нас і ми реалізували його в Дії. Депутатська група працює над законопроєктом щодо 8 березня, тому їх зацікавила суспільна думка і ми провели це опитування у застосунку. До речі у ньому взяла участь рекордна кількість людей: понад 2 млн 138 тис. українців.

Взагалі не існує у світі інструменту, коли це не вибори та не референдум, коли можна опитати таку величезну кількість людей. Найголовніше для мене в цьому опитуванні, що воно так чи інакше впливає на законопроєкт. І це ознака реальної демократичності цього інструменту.

У світі немає взагалі такої ініціативи?

Існують класичні інструменти демократії: петиції, запити громадян. Але саме масового такого інструмента, коли можна щось запитати у людей немає.

А як ви бачите розвиток взагалі цього пункту?

У нас є деякі плани розвитку опитування, але вони скоріше стосуються покращень на основі проведених опитувань. Треба якось сегментувати цей текст, щоб він був більш читабельним. Або кілька варіантів відповідей. Ясна річ, що питання: чи стануть опитування виборами? 

Технічно, опитування та електронні вибори не мають нічого спільного. Тобто у нас є анонімний користувач, голос якого ми можемо порахувати в ту чи іншу категорію. Але це точно не налазить ні на які умови, які стосуються електронних виборів.

Тобто в підсумку не можна побачити хто як проголосував?

Це абсолютно анонімно. У нас є критерії: ми можемо знати вік, стать або ще якісь дані. Для нас будь-який користувач Дії, не тільки в опитуваннях, анонімізований для нашої системи. Тобто навіть коли людина звертається до служби підтримки й ми просимо у неї зайти в меню і скопіювати номер пристрою – це унікальний номер пристрою, який якщо ви перелогинитися або перевстановити Дію буде змінюватися. До цього номера підтягуються дані юзера – логін, історія голосувань (голосував чи ні), але ми не можемо визначити хто саме цей наш користувач. 

Якщо дивитися на наші електронні месенджери чи скайп, вони всі працюють зі спецслужбами. А в Дії взагалі можливо таке в принципі? Будуть, наприклад, звертатися правоохоронці, мовби, треба дізнатися геолокацію якоїсь людини.

Те, що знаходиться на мобільному девайсі, наприклад, у телефоні людини, знаходиться лише там. Тобто у нас немає копії тих даних.

Умовно кажучи, людина авторизувалася в Дії вперше. Її мобільний застосунок підтвердив особу цього громадянина і далі робить запит до державних реєстрів чи є права водійські, техпаспорт. На нашій стороні – не на пристрої, — в системі просто залишається історія: отримано водійське/не отримано (і причина вказана), але у нас немає даних цього документа. 

Таким чином влаштована наша архітектура. І якось окремо щось навісити, скопіювати неможливо – це поза нашої філософії, яка полягає в тому, що все має бути абсолютно прозоро. Наш мобільний застосунок даних доступу до геолокації не немає. У нас це про зручність і довіру людини.

А взагалі будуть електронні вибори через Дію?

За чинним законодавством підготовку та проведення виборів організовує Центральна виборча комісія. Очевидно, що це відбувається згідно з нормами відповідних законів про вибори, які розробляються та ухвалюються народними депутатами. ЦВК — розпорядник Державного реєстру виборців, який є основою виборчого процесу.

Мінцифра реалізує політику надання електронних послуг та електронної ідентифікації. Це, безумовно, є основою для будь-яких електронних сервісів у майбутньому. Тож, якщо народні депутати розроблять та ухвалять відповідний закон про інтернет-голосування, то можна впевнено говорити, що технічно ми готові до її реалізації. Важливим питанням залишається готовність та довіра самих виборців. 

Але технології виборів активно розвиваються, щоб забезпечити можливість повної прозорості та довіри. Умовно у світі розрізняють електронні вибори – це спеціальні бюлетені та скриньки для автоматичного підрахунку й інтернет-вибори – можливість дистанційного волевиявлення через мережу Інтернет. Електронні вибори наразі є більш поширеними. Але дедалі більше країн схиляються до інтернет-голосування.

Голосування на Євробачення через Дію було як опитування або ближче до виборів?

Це було абсолютно технічне наше опитування, тобто іншої системи у нас під капотом немає.  Єдина відмінність по Євробаченню була в тому, що якщо ми запускаємо планове опитування, тобто вранці стартуємо і через тиждень вранці закінчуємо, то по Євробаченню це був невеликий виклик для нашої команди, бо там же все наживо відбувається. Коли по сигналу має відкритися голосування, воно має стати доступним для всіх.

До речі, Євробачення наймало  аудиторську компанію, яка контролювала і потім підтверджувала цей результат.

Тобто аудитори бачили вже результат в режимі онлайн?

Сиділа в кімнаті наша команда Дії, яка включила старт опитування, і там же знаходився аудитор, якій весь час був присутній.

За таким же принципом можуть бути присутніми спостерігачі, як на виборах?

На виборах набагато складніша система спостережень – не IT, а сама виборча система встановлює і регулює правила. Рівень доступу спостерігачів і того, що вони фіксують – кардинально відрізняється, вони не просто дивляться на голосування, а й враховують інші аспекти. Невтручання в процес голосування, видача бюлетенів – передбачає зовсім інший рівень технічних вимог, і звісно має бути законодавча база. Не можна просто показати картинку – це не відповідає суті роботи спостерігача, процес має більше рівнів і набагато більше вимог.     

Тобто в Дії натискаєш на кандидата і вилітає презентація і розповідь про нього?             

В Дії немає кандидатів, бо немає такого функціонала Але якщо депутати приймуть рішення, то ми розглянемо всі варіанти, як це реалізувати.     

Про розмитнення в Дії (нещодавно Рада провалила голосування за законопроєкти № 7466 та 7468. Що буде далі з ініціативою зі впровадження спрощеного механізму розмитнення авто через Дію?

Законопроєкт будуть доопрацьовувати народні депутати. Ми робимо все можливе з боку Мінцифри та партнерів, щоб цей проєкт реалізували. Найважливіше — розмитнення. Для громадянина, який буде розмитнювати автомобіль, це питання трохи зменшення платежів і питання більшої зручності.

Але ще є дуже важлива сторона: те розмитнення, над яким ми працюємо, прибирає можливість корупційної складової, маніпуляції тощо. Тобто воно прибирає людський фактор. Зараз всім відомі маніпуляції з ціною на автомобіль.

Чому завжди вигідно привозити биті автомобілі з-за кордону замість цілих? Тому що маніпуляції з цінами, які знижують розмір платежів при розмитненні та дають можливість продавати цей автомобіль. Це ж також породжувало корупційну складову, підробку документів про покупку тощо. 

Концепція розмитнення через Дію – спрощення тих речей, до яких вже звикли: кілька кліків, смартфон, все просто і зрозуміло, взагалі позбавляє можливості мати цю корупційну складову. Ясна річ, що керівництво держави зацікавлено в цьому напрямку. Просто треба пройти цей складний тернистий шлях.

Повістки в військкомат будуть видавати через Дію?

Не будуть. Здається, що нам достатньо раз на місяць казати «повісток у військкомат не буде».

А з приводу створення нової родини: реєстрування в РАЦС. Що відбувається? Подаються люди чи ні. Можливо, є відгуки?

Понад 1100 пар подалися. Це поки що не шлюб через Дію, а лише заява.

Але коли майбутні наречені мали раніше йти до РАЦСу, в якому вони будуть розписуватися, стояти в черзі, подати документи, написати заяву, вибрати чи хочуть вони музику, чи хочуть урочисте привітання, зал, вибрати час, потім отримати квитанцію і з нею піти в банк оплатити, повернутися назад, то звісно процес спростився. 

Зараз перший крок до шлюбу повністю знаходиться на порталі Дія, включно з тим, що ти вибираєш чи буде у тебе урочисте привітання. Оплачуєш через Дію. Підписує один наречений і інший – це не відбувається в односторонньому порядку, мають обоє погодитися. І далі ця спільна заява надходить до системи РАЦСу, де протягом доби співробітник обробляє дані, бронює час, перевіряє всі ці деталі та потім вже надходить підтвердження, що треба тепер дочекатися і прийти в установлений час.

А можливо буде укласти шлюб в Дії?

Ми знаємо, що в цьому сенсі немає нічого неможливого, треба просто пропрацювати це. Можливо, додати відео дзвінок зі співробітником РАЦСу.

А розлучення в режимі повідомлення в Дії?

Є два види розлучення. Є через суд, коли діти, розділ майна. І є розлучення через РАЦС, коли пара не має претензій одне до одного чи якихось майнових спорів. Технічно розлучення через Дію теж можливе, але треба буде уважно підходити до такого проєкту.

Нещодавно у тестовому режимі був запущений естонський аналог Дії – застосунок mRiik. Розробники Дії якось приймали в цьому участь та хто ще цікавиться вашими розробками? 

Естонія взяла Дію для запуску у себе в країні. Важливо розуміти, що якщо якась країна бере Дію для запуску у своїй країні, це значить, що є код, який розвертається іншою країною в її Дата-центрах, в її системах, під’єднується до її реєстрів, і ми до цього не маємо відношення, але у нас спільна архітектура. 

В майбутньому, коли всі країни будуть мати свої різні мобільні застосунки, нам буде набагато зручніше інтегруватися один з одним, їздити за кордон, використовуючи там цифрові документи своїх Дій тощо.

У випадку Естонії вони взяли іншу назву mRiik, типу естонською «мобільне врядування». Вона по суті буде виглядати дуже схожою на Дію, з іншими шрифтами, трошечки в інших кольорах, тому що у них є внутрішні кольори для сервісів. Все інше таке саме. Далі Естонія буде постійно розвивати цей продукт. 

Що стосується США, вони зацікавилися не в розрізі запуску, бо це у них дуже складна історія – федеративний поділ, тому стандарти одних тих самих документів можуть відрізнятися в різних штатах. США в особі USAID, оцінюючи те, що ми зробили, розуміють, що це важливий інструмент як для зручності громадян, так і для боротьби з корупцією, прозорості, оптимізації робочого часу. 

USAID зацікавлений у підтримці та запуску Дії в інших країнах. Тому вони запланували $ 650 тис. на те, щоб вивчати, в яких країнах можна б було розгорнути Дію і рекомендувати там її для запуску. Зараз мова не йде, але можливо в майбутньому в розрізі для нас буде якась економічна складова.

Тобто будете продавати ліцензію на Дію?

Поки ні, в майбутньому буде видніше. Ще з приводу інших країн. Близько 10 країн цікавляться Дією. Розказуємо що таке Дія на міжнародних форумах, конференціях. Але для того, щоб анонсувати щось в якійсь країні, у нас вже мають бути міжнародні угоди. Зараз ми в процесі перемовин.

А що в цьому році буде нового в Дії?

Окрім розмитнення, в яке ми віримо і будемо разом з депутатами допрацьовувати     , плануються документи про освіту, збільшення водійських послуг, от-от вийдемо по заміні посвідчення. Я брав участь у бета-тестуванні     . У мене, наприклад, більше немає фізичного водійського посвідчення, воно буде тільки в Дії. Також те, що буде пов’язано з переселенцями. Ветеранська тематика, тому що ці сервіси будуть їм дуже потрібні. 

А от що буде з Дією через 5-10-15 років? 

Хочеться вірити, що на дистанції в 5 чи 10 років Україна зможе стати досить сервісною державою. Людям взагалі не треба буде думати ні про які бюрократичні процедури в кабінетах – вони будуть користуватися державними сервісами так само як зараз купуємо їжу чи викликаємо таксі.

А що у нас залишилося ще перенести у Дію, перерахуймо?

Є суто нотаріальні питання, які мають залишитися в нотаріусів, але всілякі документи на кшталт дозволу на виїзд дитини за кордон одним з батьків точно мають бути спрощеними. Більше сервісів для юридичних осіб. 

Зайшовши в той чи інший сегмент,  ми будемо поступово збільшувати кількість послуг, які можуть бути надані, як з будівництвом: їх кількість буде збільшуватися і будуть доступними онлайн. Але якраз поступово на часовій дистанції це послуги будуть зростати.

Disqus Comments Loading...