Ще нещодавно я не хотіла завантажувати застосунок Дія, коли значна частина мого оточення вже були її впевненими користувачами. Причина доволі поширена — недовіра до захищеності даних.
Трималася я довго, до вересня 2021 року, доки не зробила другу дозу вакцини від Covid-19. Ось тут зручність Дії взяла верх над застережливістю.
Перш ніж почати користуватися застосунком, я ретельно вивчила про нього інформацію і почитала FAQ. Завантажила, але питання таки лишилися, що сильно йшло всупереч моїй журналістській натурі.
Розумію, що людей, у кого ще є питання, багато. Тож, ідучи на розмову з керівником із розвитку електронних послуг у Мінцифрі Мстиславом Баніком, я не лише склала свій список питань, але й захопила ті, що писали читачі Вікон на нашій Facebook-сторінці.
А ось глибші питання щодо кібербезпеки ми плануємо направити першому заступнику міністра цифрової трансформації України Олексію Вискубу.
А зараз пропоную зануритися зі мною у лофтовий бар Zweig і розібрати нашу розмову зі Мстиславом Баніком.
— Чому пішли у Мінцифри? Були побоювання?
— Влітку 2019-го я точно відчував, що у нашій держави відбуваються зміни. Зрозумів, що хочу зробити щось корисне для людей, для країни. Думав, де себе можна було б запропонувати, і мене покликав Михайло Федоров до команди.
Спочатку був радником, водночас почав займатися Дією. 27 вересня 2019 року ми її презентували як бренд, і потім я почав роботу над продуктами.
Побоювань якихось особливих не було. Я навпаки зважено розумів, що йду з бізнесу працювати на державу і на людей.
— З якими бар’єрами стикалася команда Міністерства цифрової трансформації та з якими продовжуєте стикатися в Україні?
— Коли ти приходиш з бізнесу, чекаєш, що речі можуть запроваджуватися з такою ж швидкістю. В державному секторі все працює інакше.
Є певні процедури, які ти можеш прискорити, але вони не можуть бути настільки швидкими. Є купа умов, які мають бути виконаними, перш ніж буде запроваджено будь-яке рішення. Тож це було складно.
А друге — Мінцифра прийшла з бажанням запровадити новаторські речі. Доводилось багато часу переконувати колег з інших органів влади, щоб запровадити Дію, електронні документи тощо.
Нам було нелегко. Але побачили потім перший успіх продуктів, які ми запустили, і наскільки класно їх сприйняли люди. Це одразу викликало відлигу.
А потім на прес-конференціях чи інтерв’ю наші колеги з інших міністерств могли говорити про бажання запустити в Дії той чи інший продукт, ще навіть не порадившись із нами.
Пізніше у міністерстві з’явилося бачення такої інституції, як заступник із цифрової трансформації (СDTO), в кожному центральному органі влади. Тобто і в міністерстві, і у великих установах, як податкова чи Пенсійний фонд, а також на рівні облдержадміністрацій. Це також пришвидшує роботу.
— Дані українців лежать у відповідних реєстрах. Дія їх не зберігає, а лише відображає. Розкажіть детальніше, чому українцям не варто боятися завантажувати Дію. Це головний аргумент тих, хто не хоче долучатися до порталу.
— В наш час усі ключові документи, зокрема ті, які показуються в Дії, вже розміщені в сучасних захищених електронних реєстрах. Це реєстр, в якому знаходяться паспорти, водійські документи, те саме стосується і студентських квитків тощо. Відповідно ми не копіюємо для себе ці дані, не зберігаємо у себе на серверній частині.
По-перше, це нові вимоги з безпеки. А, по-друге, в цьому немає сенсу, тому що документи люди отримують чи перевипускають щодня. Саме реєстри тримають руку на пульсі й містять найбільш актуальну інформацію. Тому наша архітектура побудована так, що ми ходимо із запитом до реєстру.
Так, людина авторизувалася за допомогою системи BankID Національного банку або за допомогою своїх документів біометричних. Будучи впевненими, що це саме ця людина авторизувалася, ми робимо запити документів до відповідних реєстрів. Тому в нас і немає цих документів.
Ризик зламу нашої серверної частини передбачає, що там нічого не знайдуть, лише шлюз, який ходить туди-назад.
А що стосується мобільного застосунку, на якому зберігаються наші з вами документи, вони зберігаються в захищеній частині сховища.
Не там, де документи, фотографії чи музика, а там, де знаходиться операційна система. Саме тому, наприклад, якщо на андроїді є root-права (спеціальний обліковий запис, власник якого може виконати будь-які операції в системі — Ред.) або на айфоні є jailbreak (процес використання вразливостей заблокованого пристрою для встановлення програмного забезпечення, відмінного від наданого виробником — Ред.), на такому телефоні авторизуватися в Дії не можна.
Оскільки ці функції є доступом до захищеної частини. Дія перевіряє, чи є такий доступ, і якщо він є, то такий смартфон не є безпечним для використання. Тобто ми навіть піклуємося і про використання на самому смартфоні.
Якщо загубили телефон чи поцупили. Шахраям, щоб потрапити в Дію, треба увійти. Face-, touchID, звісно, вони не пройдуть, але йому треба розблокувати телефон спочатку. В Дії також є код. Після трьох невдалих спроб введення коду в Дію робиться повний вихід, всі дані видаляються одразу.
Але якщо він таки потрапив, то здебільшого операції передбачають використання копії документа. І якщо ми говоримо про паперовий паспорт, дуже легко його покласти в ксерокс і написати “копія вірна”.
А з цифровим документом для того, щоб створити копію, треба пройти розпізнавання обличчя. У такій ситуації у шахрая немає шансів.
— Поговорімо більше про фейс-ідентифікацію як спосіб верифікації?
— Що таке взагалі ця технологія? Це частина підпису. Тобто є електронний підпис, який має зберігатися на захищеному носії, до чого звикли люди. Хто ФОП або медик, або державний службовець, чудово знають, що таке електронний ключ.
Переважна більшість людей не стикалася з цим у житті. Ми створили більш новітню технологію підпису обличчям. Цей ключ може бути використаний тільки після того, як ми впевнимося (що це людина, яка робить запит — Ред.).
Технологія порівняє обличчя, яке дивиться в камеру, з обличчям у реєстрі паспортів. Це повна безпека від шахрайських дій. Оскільки необхідність поворушити обличчям, кліпнути доведе, що перед нами справжня людина, тому що фотографія не може кліпнути й поворушитись у порядку, якому просить система.
Нейромережі звірять фотографію в біометричному документі, й такий електронний ключ може бути використаний для операцій з нерухомістю, отримання будь-яких послуг, зміни місця реєстрації проживання.
Звісно, комусь на початку трохи складніше, комусь простіше — все залежить від того, наскільки ми схожі на тих, що вийшли на документах, як давно робили документ. Загалом це дуже безпечна технологія, оскільки частина ключа зберігається на смартфоні, а частина — на відповідному сервері.
Зараз тисячі людей використовують його не для генерації Covid-сертифікатів, а для підпису документів, укладання договорів на школи, дитсадки, договорів з операторами водопостачання чи газу.
Ми підготували оновлення, і скоро вийде спрощений для проходження, але так само чутливий і безпечний Дія.Підпис, в якому не треба буде робити таку “гімнастику для шиї”, як усі називають.
— Як працює підтримка? Якщо дані зберігаються у реєстрах, відповідно, вони мають зв’язуватися з відповідальними держустановами.
— Перша хвиля нашої підтримки доступна на порталі в мобільному застосунку. Тут, зокрема, й урядовий контакт-центр, налаштовані чат-боти. Чат-боти від 50 до 70% усіх звернень закривають своїми відповідями.
Можна достукатися і до менеджера, який фіксує звернення і розбирає: це питання до самого порталу чи до застосунку. Якщо ми розуміємо, що питання на боці відповідного органу влади, який надає цю послугу, чи даних, які містяться там, направляємо запит до них.
Наприклад, коли ми працюємо над запуском послуги, обов’язково проговорюємо те, що на їхньому боці завжди є support-команда.
— А як відбувається тестування застосунку? Скільки людей беруть участь?
— Ми, як будь-який продукт, йдемо шляхом бета-тестувань. Але особливість в чому: якщо ми говоримо про банківський продукт, там зрозуміла аудиторія, ти з нею від початку і назавжди.
Ми ж часто збираємо нових тестувальників, оскільки виходять нові послуги, додаткові критерії. Загалом у нас у Facebook-групі 57,6 тисячі користувачів-тестувальників.
Під кожен бета-тест ми заново формуємо базу. В нас є наш стандартний сайт, на якому збираємо тестувальників. На останній тест записалося 8211 осіб. І так по кожному продукту, який ми запускаємо.
— Як отримати єПідтримку людям, у яких немає смартфона?
— Програма єПідтримка діятиме до 18 грудня 2022 року.
Уряд обіцяє до третього кварталу цього року запровадити можливість отримати єПідтримку для тих людей, у яких немає смартфонів.
— Чи розглядають можливість ввести документи старого зразка в Дію?
— Насправді не розглядається. Все-таки паперових паспортів у Дії не буде.
Ми всі розуміємо: щоб документ був дійсно захищеним, він має знаходитися в сучасному реєстрі. Якщо говорити про паперові паспорти, то ми з вами чудово пам’ятаємо ці картотеки, які є першоджерелом даних про паспорт.
І це не найбезпечніше джерело зараз. Простіше все-таки переходити на ID-картку, тому що вона є безпечнішою. Якщо загубили паспорт-книжечку, замінити там фотографію дуже просто, шахраєві використати такий документ також дуже просто. А ID-карта є в Дії, ти можеш її лишити вдома.
З 23 серпня цифрові паспорти у нас мають повну юридичну силу, ти можеш всюди користуватись і не ризикувати своїми документами.
— Чи проводите ви кампанію з допомоги користування Дією людям з низьким рівнем цифрових навичок?
— Ми комунікуємо через ЗМІ, оскільки все одно не охопиш усіх. Звісно, вдається переконувати долучатися до Дії новими продуктами. Нещодавно запустилися в нас сповіщення про отримання кредитів, запитів на кредитну історію.
Що стосується людей із низьким рівнем цифрових навичок. Для цього у нас є проект Дія.Цифрова освіта. У величезній кількості бібліотек України є змога отримувати й проходити серіали про цифрову освіту, де можна розібратися з базовими речами й подивитись наші навчальні ролики.
Додатково заступники з цифрової трансформації (CDTO) на рівні областей комунікують із наших питань і ключових проектів.
Наприкінці минулого року стартувала пілотна спроба запуску волонтерських центрів Команди підтримки Дії.
Майже 900 таких пунктів запустилися, разом із ЦНАПами, центрами Дія.Бізнес, деякими бібліотеками, де можна отримати офлайн-допомогу із генерації COVID-сертифікатів чи отримання 1000 гривень від держави. Переважна більшість питань — це те, що стосується цифрових навичок.
Якщо говоримо про Covid-сертифікати, є волонтерські точки саме на пунктах вакцинації, але до цього долучені всі ЦНАПи, бібліотеки, місцями бізнес та клуби в селі. Вони підказують та допомагають.
— Чи буде можливість “підтягнути” COVID-сертифікати різними вакцинами і якщо зроблено вакцину за кордоном?
— Зараз є сертифікати про повну вакцинацію, про одну дозу, ПЛР-тест і сертифікат про одужання. Вони мають міжнародний формат і внутрішній сертифікат. Всі вони формуються на основі тих даних, які є в системі Електронне здоров’я.
Що стосується людей, які вакцинувались за кордоном, то ми наближаємося до рішення. Міністерство охорони здоров’я працює над алгоритмом, за яким будуть верифікувати дані тих країн, де ми можемо перевірити дані по сертифікатах.
Ми знаходимося в системі Європейського Союзу і, крім нас, там уже 52 країни. Можемо одне в одного перевіряти Covid-сертифікати в єдиній системі за єдиними ключами. Це дані, яким можна довіряти. МОЗ працює над цим.
— Коли бюрократія й паперова тяганина зникне з усіх державних структур?
— Хотілось би, щоб протягом найближчих двох років це відбулося. Ми ставимо великі цілі — до 2024 року зробити доступними 100% державних послуг. Паралельно з цим рухається напрям розвитку реєстрів.
Минулого року було схвалено законопроект, який зафіксував нашу платформу для реєстрів. Це дасть змогу зробити їх більш сучасними й навчити якісно обмінюватися даними.
Тому що у країні виходить ситуація, коли дуже велика кількість реєстрів і у кожного свій набір даних про ту саму людину. Це все треба привести до ладу.
Але дуже важлива участь і самих людей. Наприклад, ми говоримо про водійські посвідчення чи техпаспорти на автомобілі. Якщо він є у людини на руках, але є проблеми з ним в реєстрі, то саме людина має також взяти участь в тому, щоб навести лад і верифікувати такий документ.
— Чи був спротив від працівників держструктур? Хто допомагав досягти взаєморозуміння?
— Ми не просто створили цифрові документи, у нас є і відділ Впровадження тим, що працює з державними установами, з бізнесом, на те, щоб ці документи дійсно використовувалися і все працювало.
Зараз майже 2000 компаній і державних установ підключені, якісь із них звертаються самостійно, якісь ми пушимо. Складно було на початку, тому що ми тоді працювали не на рівні закону, а на рівні постанови Кабінету міністрів і треба було сильніше тиснути на те, щоб запроваджувати.
Дуже велику роль відіграли саме люди, які приходили до банків уже з цифровими документами, вимагаючи, щоб їм надали послуги з цифровими документами.
І важливу роль, звісно, відіграла конкуренція між бізнесом. Коли хтось уже приймає цифрові документи, хтось починає наздоганяти. Складно було на початку.
У нас реалізовані різні способи. Можна зчитати QR-код, штрих-код або ввести код із цифр для того, щоб зробити запит на перевірку або на копію документу. А для малого бізнесу в нас взагалі є Дія.QR, коли через портал Дія.Бізнес можна згенерувати QR-код із запитом на копію — і людина відсканує.
Єдина додаткова складність у тому, що поява будь-яких послуг супроводжується під’єднанням до відповідних реєстрів, а вони мають бути сучасними, захищеними, з хорошою пропускною здатністю.
Може бути технічний блок. Так, наприклад, субсидії ми запустили тільки наприкінці 2021, бо довго йшла робота з удосконалення єдиної інформаційної системи соціального страхування.
А людського фактора, як спротиву, немає, тому що ми створили хороший продукт і бренд. Велика кількість людей, які в роботі мають працювати з цифровими документами, найімовірніше, вже мають Дію, розуміють про що йдеться, тому рухаємося доволі оптимістично.
— Міжнародні організації проводять аудит Дії?
— Ми неодноразово зверталися до міжнародних організацій, проводили пентести (метод оцінки кібербезпеки засобами моделювання атаки зловмисника — Ред.) мобільного застосунку і порталу, але найголовніше — якщо ми говоримо про біль і те, що хвилює людей, ми практикуємо bug bounty (програма, за допомогою якої “етичні хакери” можуть отримати визнання і винагороду за находження помилок — Ред.).
Нещодавно закінчився другий bug bounty за час Дії. Перший був минулого грудня, нам призовий фонд на нього виділяє USAID.
Минулого року і цього bug bounty запускалося американською компанією Bugcrowd — компанія, що спеціалізується саме на кібербезпеці.
Відмінність в чому? Коли ми запускали перший bug bounty, він був закритим, і саме Bugcrowd відібрав фахівців з кібербезпеки, які в останні півроку до запуску bug bounty мали досвід знаходження вразливостей найвищого рівня. Вони відібрали, надіслали запрошення, і ці люди шукали вразливості.
Потім ми, зокрема, дослухалися до спільноти, яка хотіла взяти участь. І з 27 липня 2021 року по 27 січня 2022 року було запущено відкритий bug bounty. Тобто будь-хто може зареєструватися на Bugcrowd, отримати копію Дії без доступу до державних реєстрів і шукати вразливості. Це та практика, до якої завжди звертаються світові компанії.
Під час першого bug bounty вразливостей знайдено не було, там знайшли баг в застосунку, знайшли можливість дізнатись інформацію про автоцивілку за даними він кода автомобіля, але це і є відкритою інформацією на сайті моторно-транспортного бюро.
Зараз було знайдено кілька вразливостей, але вони характерні виключно для урізаної копії, оскільки для того, щоб ця копія була доступна, ми прибрали доступ до реєстрів, зробили там фейкову базу користувачів.
— Які проекти й здобутки Мінцифри вважаєте найважливішими у 2021 році?
— Ми створили перші у світі цифрові паспорти, і це вже зафіксовано в історії. Спроби різноманітні є і будуть продовжуватися у різних країн, але повна легалізація цифрового документа на рівні паперового й пластикового відбулася саме в Україні 23 серпня 2021 року.
Другий момент — це унікальна послуга єПідтримка. Україна першою запустила настільки масштабний проект із такою підтримкою людей і бізнесу. Ми зробили цей продукт максимально простим.
Третє — це, звісно, запуск Covid-сертифікатів, оскільки ми були в першій трійці країн, хто був долучений до системи Європейського Союзу. Розуміли, хочемо, щоб українцям було зручно подорожувати за кордон, а іноземцям — приїздити до України.
Коли винаходили форму Covid-сертифіката в мобільному, то для українців це стало просто наступним документом і не було чимось новим, чим стало для інших країн.
Наступний момент — це запуск Дія.Підпису. Новітня технологія, яка дійсно зручна, і багато людей, які не знали, що таке електронний підпис, зможуть користуватися такою технологією.
Важлива річ — це запуск двох найпопулярніших послуг в Україні: субсидія і зміна місця реєстрації проживання. Ми їх запустили наприкінці року. Зараз вона в бета-версії й скоро вже стане доступною для всіх.
Ще важливий момент — запуск точок Команди підтримки Дія по всій Україні.
Абсолютно безплатно зусиллями обласних державних адміністрацій і за ініціативи Мінцифри, за підтримки донорів нашої програми цифровізації державних послуг, програм розвитку ООН в Україні, що фінансується Швецією, і завдяки фонду Східної Європи програми EGAP, що фінансується Швейцарією, нами були запущені понад 900 точок команди підтримки, включаючи ЦНАПи, центри Дія.Бізнес та деякі бібліотеки, де можна отримати консультацію з генерації COVID-сертифікатів та отримання 1000 грн від держави.
Я з командою відвідав такі пункти у 29 містах країни всього за півтора місяця. І дуже вдячний, особливо волонтерам, що на місцях підтримали ініціативу Мінцифри.
Ну, і важливим прикладом є автоматизація з відкриття ФОПу. Якраз завдяки команді цифровізації на боці Міністерства юстиції прибрали повністю чиновника із процесу розгляду заяви на відкриття ФОПу. Зараз це все відбувається завдяки алгоритмам, і буквально за півтори секунди людина вже стає підприємцем.
— А які ще сервіси потребують доопрацювань? Що не вдалося?
— В принципі, мабуть, вдалося все. Якби не карантин і не запуск Covid-сертифікатів різноманітних форм, ми б трохи швидше закінчили бета-тестування зміни місця реєстрації проживання, але загалом все супер.
— Які оновлення й ініціативи підготувала команда у 2022?
— 8 лютого відбудеться Diia Summit, який ми проводимо двічі на рік та на якому презентуємо нові сервіси Дії. Найголовніше — ми будемо покращувати та доопрацьовувати ті послуги, які є.
Друге, ми запустимо нові сервіси для водіїв, додатково будемо працювати над електронним нотаріатом, е-Акцизом. Збільшуватимемо кількість соціальних і податкових послуг.
Ми зараз працюємо саме над перенесенням податкових послуг в Дію.
Ще додатково ветеранський блок також буде, документи та пільги.
— Які амбітні мрії на довгу перспективу?
— Все дуже просто: сто відсотків державних послуг до 2024 року — це надзвичайно амбіційний план.
Але я сподіваюся що все буде гаразд і ми успішно досягнемо його саме у 2024 році.
Після інтерв’ю Мстислав Банік запропонував провести додатково онлайн-трансляцію на наших YouTube-каналах, де команда Мінцифри відповідатиме на питання українців.
До речі, раніше моя колега Богдана Макалюк писала про функції застосунку Дія, про які ти можеш не знати.