Еще недавно я не хотела загружать приложение Дія, хотя значительная часть моего окружения уже были его уверенными пользователями. Причина довольно распространенная — недоверие к защищенности данных.
Держалась я долго, до сентября 2021, пока не сделала вторую дозу вакцины от Covid-19. Вот здесь удобство Дії одержало верх над предосторожностью.
Прежде чем начать пользоваться приложением, я тщательно изучила информацию о нем и почитала FAQ. Загрузила, но вопросы остались, что сильно шло вразрез с моей журналистской натурой.
Понимаю, что людей, у которых еще есть вопросы, много. Собираясь на разговор с руководителем по развитию электронных услуг в Минцифре Мстиславом Баником, я не только взяла свой список вопросов, но и прихватила с собой те, что писали читатели Вікон на нашей Facebook-странице.
А вот более глубокие вопросы по кибербезопасности мы планируем направить первому заместителю министра цифровой трансформации Украины Алексею Вискубу.
А теперь предлагаю погрузиться со мной в лофтовый бар Zweig и разобрать наш разговор с Мстиславом Баником.
Жизнь с Минцифрой
— Почему пошли в Минцифру? Были опасения?
— Летом 2019-го я точно чувствовал, что в нашем государстве происходят перемены. Понял, что хочу сделать что-нибудь полезное для людей, для страны. Думал, где себя можно было бы предложить, и меня позвал Михаил Федоров в команду.
Сначала был советником, одновременно начал заниматься проектом Дія. 27 сентября 2019 мы ее презентовали как бренд, и потом я начал работу над продуктами.
Опасений каких-то особых не было. Я наоборот взвешенно понимал, что ухожу из бизнеса работать на государство и на людей.
— С какими барьерами сталкивалась команда Министерства цифровой трансформации и с какими вы всё ещё сталкиваетесь в Украине?
— Когда ты приходишь из бизнеса, ожидаешь, что проекты могут внедряться с такой же скоростью. В государственном секторе все работает по-другому.
Есть определенные процедуры, которые ты можешь ускорить, но они не могут быть столь быстрыми. Есть множество условий, которые должны быть выполнены, прежде чем вступит в силу любое решение. Это было сложно.
А второе — Минцифра пришла с желанием ввести новаторские вещи. Приходилось много времени убеждать коллег из других органов власти, чтобы ввести Дію, электронные документы и т.д.
Нам было нелегко. Но потом увидели первый успех продуктов, которые мы запустили, и насколько классно их восприняли люди. Это сразу вызвало оттепель.
А потом на пресс-конференциях или интервью наши коллеги из других министерств могли говорить о желании запустить в Дії тот или иной продукт, даже не посоветовавшись с нами.
Позже в министерстве появилась идея такого института, как заместитель по цифровой трансформации (СDTO), в каждом центральном органе власти. То есть и в министерстве, и в крупных учреждениях, как налоговая или Пенсионный фонд, а также на уровне облгосадминистраций. Это также ускоряет работу.
Внутри портала и приложения Дія
— Данные украинцев лежат в соответствующих реестрах. Дія их не сохраняет, а отображает. Расскажите поподробнее, почему украинцам не стоит бояться загружать Дію. Это главный аргумент тех, кто не хочет пользоваться порталом.
— В настоящее время все ключевые документы, в том числе те, которые отображаются в Дії, уже размещены в современных защищенных электронных реестрах. Это реестр, в котором находятся паспорта, водительские документы, то же касается и студенческих. Соответственно, мы не копируем для себя эти данные, не храним у себя на серверной части.
Во-первых, это новые требования по безопасности. А во-вторых, в этом нет смысла, потому что документы люди получают или перевыпускают каждый день. Именно реестры держат руку на пульсе и содержат наиболее актуальную информацию. Поэтому наша архитектура построена так, что мы ходим с запросом в реестр.
Так, человек авторизовался посредством системы BankID Национального банка или посредством своих биометрических документов. Будучи уверенными, что именно этот человек авторизовался, мы делаем запросы документов в соответствующие реестры. Потому у нас и нет этих документов.
Риск взлома нашей серверной части предполагает, что там ничего не найдут, только шлюз, который ходит туда-обратно.
А что касается мобильного приложения, где хранятся наши с вами документы, они хранятся в защищенной части хранилища.
Не там, где документы, фотографии или музыка, а там, где находится операционная система. Именно поэтому, например, если на андроиде есть root-права (специальная учетная запись, владелец которой может выполнить любые операции в системе — Ред.) или на айфоне есть jailbreak (процесс использования уязвимостей заблокированного устройства для установки программного обеспечения, отличающегося от предоставленного производителем – Ред.), на таком телефоне авторизоваться в Дії нельзя.
Поскольку у этих функций есть доступ к защищенной части, Дія проверяет, есть ли такой доступ, и если это так, то такой смартфон небезопасен для использования. То есть, мы даже заботимся и об использовании на самом смартфоне.
Если потеряли телефон или украли. Мошенникам, чтобы попасть в Дію, нужно войти. Face-, touchID, конечно, они не пройдут, но им нужно разблокировать телефон сначала. В Дії также есть код. После трех неудачных попыток ввода кода в Дії выполняется полный выход, все данные удаляются сразу.
Но если он попал, то в большинстве случаев операции предполагают использование копии документа. И если мы говорим о бумажном паспорте, очень легко его положить в ксерокс и написать “копия верная”.
А с цифровым документом для того, чтобы создать копию, нужно пройти распознавание лица. В такой ситуации у мошенника нет шансов.
— Поговорим подробнее о фейс-идентификации как о способе верификации?
— Что такое эта технология? Это часть подписи. То есть, есть электронная подпись, которая должна храниться на защищенном носителе, к чему привыкли люди. Кто ФЛП или медик, или государственный служащий, прекрасно знают, что такое электронный ключ.
Подавляющее большинство людей не сталкивалось с этим в жизни. Мы создали новейшую технологию подписи лицом. Этот ключ может быть использован только после того, как мы убедимся (что это тот человек, который запрашивает — Ред.).
Технология сравнивает лицо, смотрящее в камеру, с лицом в реестре паспортов. Это полная безопасность мошеннических действий. Поскольку необходимость пошевелить лицом, поморгать докажет, что перед нами настоящий человек, потому что фотография не может моргнуть и пошевелиться в порядке, в котором просит система.
Нейросети сверят фотографию в биометрическом документе, и такой электронный ключ может быть использован для операций с недвижимостью, получения любых услуг, смены места регистрации проживания.
Конечно, кому-то поначалу немного сложнее, кому-то проще — все зависит от того, насколько мы похожи на получившихся на документах, насколько давно делали документ. В общем, это очень безопасная технология, поскольку часть ключа хранится на смартфоне, а часть — на соответствующем сервере.
Сейчас тысячи людей используют его не для генерации Covid-сертификатов, а для подписи документов, заключения договоров на школы, детсады, договоров с операторами водоснабжения или газа.
Мы подготовили обновление, и скоро выйдет упрощенное для прохождения, но так же чувствительное и безопасное Дія.Підпис, где не нужно будет делать такую ”гимнастику для шеи”, как все называют.
— Как работает поддержка? Если данные хранятся в реестрах, они должны связываться с ответственными госучреждениями.
— Первая волна нашей поддержки доступна на портале в мобильном приложении. Здесь, в частности, и правительственный контакт-центр, настроены чат-боты. Чат-боты от 50 до 70% всех обращений закрывают своими ответами.
Можно достучаться и до менеджера, фиксирующего обращение и разбирающего: это вопрос к самому порталу или к приложению. Если мы понимаем, что вопросы на стороне соответствующего органа власти, предоставляющего эту услугу, или содержащихся там данных, направляем запрос к ним.
Например, когда мы работаем над запуском услуги, обязательно проговариваем то, что на их стороне всегда есть support-команда.
— А как происходит тестирование приложения? Сколько человек участвует?
— Мы, как любой продукт, идем по пути бета-тестирования. Но особенность в чем: если мы говорим о банковском продукте, там понятна аудитория, ты с ней изначально и навсегда.
Мы часто собираем новых тестировщиков, поскольку выходят новые услуги, дополнительные критерии. В общей сложности у нас в Facebook-группе 57,6 тысячи пользователей-тестировщиков.
Под каждый бета-тест мы снова формируем базу. У нас есть наш стандартный сайт, на котором собираем тестировщиков. На последний тест записалось 8211 человек. И так по каждому продукту, который мы запускаем.
— Как получить єПідтримку людям, у которых нет смартфона?
— Программа єПідтримка будет действовать до 18 декабря 2022 года.
Правительство обещает до третьего квартала этого года ввести возможность получить єПідтримку для тех людей, у которых нет смартфонов.
— Рассматривают ли возможность ввести документы старого образца в Дії?
— На самом деле, не рассматривается. Все-таки бумажных паспортов в Дії не будет.
Мы все понимаем: чтобы документ был действительно защищен, он должен находиться в современном реестре. Если говорить о бумажных паспортах, то мы с вами прекрасно помним эти картотеки, которые являются первоисточником данных о паспорте.
И это не самый безопасный источник сейчас. Проще все-таки переходить на ID-карту, потому что она безопаснее. Если потеряли паспорт-книжечку, заменить там фотографию очень просто, мошеннику использовать такой документ тоже очень просто. А ID-карта есть в Дії, ты можешь ее оставить дома.
С 23 августа цифровые паспорта у нас имеют полную юридическую силу, ты можешь повсюду пользоваться и не рисковать своими документами.
— Проводите ли вы кампанию по использованию Дії людям с низким уровнем цифровых навыков?
— Мы общаемся через СМИ, поскольку все равно не охватишь всех. Естественно, удается убеждать присоединяться к Дії новыми продуктами. Недавно запустились у нас уведомления о получении кредитов, запросов на кредитную историю.
Что касается людей с низким уровнем цифровых навыков. Для этого у нас есть проект Дія.Цифрова освіта. В огромном количестве библиотек Украины есть возможность получать и проходить сериалы о цифровом образовании, где можно разобраться с базовыми вещами и посмотреть наши обучающие ролики.
Дополнительно заместители цифровой трансформации (CDTO) на уровне областей коммуницируют по нашим вопросам и ключевым проектам.
В конце прошлого года стартовала пилотная попытка запуска волонтерских центров Команды поддержки Дія.
Почти 900 таких пунктов запустились, вместе с ЦПАПами, центрами Дія.Бізнес, некоторыми библиотеками, где можно получить офлайн-помощь по генерации COVID-сертификатов или получению 1000 гривен от государства. Подавляющее большинство вопросов это то, что касается цифровых навыков.
Если говорим о Covid-сертификатах, то есть волонтерские точки именно на пунктах вакцинации, но к этому привлечены все ЦПАПы, библиотеки, местами бизнес и клубы в селе. Они подсказывают и помогают.
— Будет ли возможность “подтянуть” COVID-сертификаты разными вакцинами и если сделана вакцина за границей?
— Сейчас есть сертификаты о полной вакцинации, об одной дозе, ПЦР-тесте и сертификате о выздоровлении. У них международный формат и внутренний сертификат. Все они формируются на основе данных, которые есть в системе Электронное здоровье.
Что касается людей, которые вакцинировались за границей, то мы приближаемся к решению. Министерство здравоохранения работает над алгоритмом, по которому будут верифицировать данные стран, где мы можем проверить данные по сертификатам.
Мы находимся в системе Европейского Союза и, кроме нас, там уже 52 страны. Можем друг у друга проверять Covid-сертификаты в единой системе по единым ключам. Это данные, которым можно доверять. Минздрав работает над этим.
— Когда бюрократия и бумажная возня исчезнет из всех государственных структур?
— Хотелось бы, чтобы в ближайшие два года это произошло. Мы ставим большие цели — к 2024 году сделать доступными 100% государственных услуг. Параллельно с этим двигается направление развития реестров.
В прошлом году был одобрен законопроект, зафиксировавший нашу платформу для реестров. Это позволит сделать их более современными и научить качественно обмениваться данными.
Потому что в стране получается ситуация, когда очень большое количество реестров и у каждого свой набор данных об одном и том же человеке. Это все нужно упорядочить.
Но очень важным является участие и самих людей. Например, мы говорим о водительских удостоверениях или техпаспортах на автомобиле. Если он есть у человека на руках, но есть проблемы с ним в реестре, то именно человек должен принять участие в том, чтобы навести порядок и верифицировать такой документ.
Украинская реакция и международные аудиты
— Было ли сопротивление от работников госструктур? Кто помогал добиться взаимопонимания?
— Мы не просто создали цифровые документы, у нас есть и отдел Внедрения, который сотрудничает с государственными учреждениями, с бизнесом, чтобы эти документы действительно использовались и все работало.
Сейчас почти 2000 компаний и государственных учреждений подключены, некоторые из них обращаются самостоятельно, какие-то мы пушим. Сложно было сначала, потому что мы тогда работали не на уровне закона, а на уровне постановления Кабинета министров и нужно было сильнее давить на то, чтобы внедрять.
Очень большую роль сыграли именно люди, которые приходили в банки с цифровыми документами, требуя, чтобы им предоставили услуги с цифровыми документами.
И немаловажную роль, конечно, сыграла конкуренция между бизнесом. Когда кто-то уже принимает цифровые документы, кто-то начинает догонять. Сложно было сначала.
У нас реализованы разные способы. Можно просмотреть QR-код, штрих-код или ввести код из цифр для запроса на проверку или копию документа. А для малого бизнеса у нас вообще есть Дія.QR, когда через портал Дія.Бізнес можно сгенерировать QR-код с запросом на копию — и человек отсканирует.
Единственная дополнительная сложность состоит в том, что появление любых услуг сопровождается подключением к соответствующим реестрам, а они должны быть современными, защищенными, с хорошей пропускной способностью.
Возможен технический блок. Так, например, субсидии мы запустили только в конце 2021 года, потому что долго шла работа по усовершенствованию единой информационной системы социального страхования.
А человеческого фактора как сопротивления нет, потому что мы создали хороший продукт и бренд. Большое количество людей, которые в работе должны иметь дело с цифровыми документами, вероятнее всего, уже с Дією и понимают, о чем идет речь, поэтому движемся довольно оптимистично.
— Международные организации проводят аудит Дії?
— Мы неоднократно обращались в международные организации, проводили пентесты мобильного приложения и портала (метод оценки кибербезопасности средствами моделирования атаки злоумышленника — Ред.), но самое главное — если мы говорим о боли и о том, что волнует людей, мы практикуем bug bounty (программа, посредством которой “этические хакеры” могут получить признание и вознаграждение за нахождение ошибок — Ред.).
Недавно завершился второй bug bounty за время Дії. Первый был в прошлом декабре, нам призовой фонд на него выделяет USAID.
В прошлом году и в этом bug bounty запускалось американской компанией Bugcrowd — компания, специализирующаяся именно на кибербезопасности.
Разница в чем? Когда мы запускали первый bug bounty, он был закрыт, и именно Bugcrowd отобрал специалистов по кибербезопасности, которые за последние полгода до запуска bug bounty имели опыт нахождения уязвимостей самого высокого уровня. Они отобрали, прислали приглашения, и эти люди искали уязвимости.
Затем мы, в частности, прислушались к сообществу, которое хотело принять участие. И с 27 июля 2021 по 27 января 2022 был запущен открытый bug bounty. То есть любой человек может зарегистрироваться на Bugcrowd, получить копию Дії без доступа к государственным реестрам и искать уязвимости. Это та практика, к которой всегда обращаются мировые компании.
Во время первого bug bounty уязвимостей найдено не было, там нашли баг в приложении, нашли возможность узнать информацию об автогражданке по данным от кода автомобиля, но это и является открытой информацией на сайте моторно-транспортного бюро.
Сейчас было найдено несколько уязвимостей, но они характерны исключительно для урезанной копии, поскольку для того, чтобы эта копия была доступна, мы убрали доступ к реестрам, сделали там фейковую базу пользователей.
А что дальше?
— Какие проекты и достижения Минцифры считаете самыми важными в 2021 году?
— Мы создали первые в мире цифровые паспорта, и это уже зафиксировано в истории. Попытки многообразны и будут продолжаться в разных странах, но полная легализация цифрового документа на уровне бумажного и пластикового состоялась именно в Украине 23 августа 2021 года.
Второй момент — это уникальная услуга єПідтримка. Украина первой запустила столь масштабный проект с такой поддержкой людей и бизнеса. Мы сделали этот продукт очень простым.
Третье — это, конечно, запуск Covid-сертификатов, поскольку мы были в первой тройке стран, включённых в систему Европейского Союза. Понимали, что хотим, чтобы украинцам было удобно путешествовать за границу, а иностранцам — приезжать в Украину.
Когда изобретали форму Covid-сертификата в мобильном, то для украинцев это стало просто еще одним документом и не являлось чем-то новым, чем стало для других стран.
Следующий момент — это запуск Дія.Підпис. Новейшая технология, которая действительно удобна, и многие люди, не знавшие, что такое электронная подпись, смогут пользоваться такой технологией.
Важное дело — это запуск двух самых популярных услуг в Украине: субсидия и смена места регистрации проживания. Мы их запустили в конце года. Сейчас они в бета-версии и скоро станут доступными для всех.
Еще важный момент — запуск точек Команды поддержки Дія по всей Украине.
Абсолютно бесплатно усилиями областных государственных администраций и по инициативе Минцифры, при поддержке доноров нашей программы цифровизации государственных услуг, программы развития ООН в Украине, финансируемой Швецией, и благодаря финансируемому Швейцарией фонду Восточной Европы программы EGAP нами были запущены более 900 точек команды поддержки, включая ЦПАПы, центры Дія.Бізнес и некоторые библиотеки, где можно получить консультацию по генерации COVID-сертификатов и получении 1000 грн от государства.
Я с командой посетил такие пункты в 29 городах страны всего за полтора месяца. И очень благодарен, особенно волонтерам, которые на местах поддержали инициативу Минцифры.
Ну, и важным примером является автоматизация по открытию ФЛП. Именно благодаря команде цифровизации со стороны Министерства юстиции убрали полностью чиновников из процесса рассмотрения заявления на открытие ФЛП. Сейчас это все происходит благодаря алгоритмам, и буквально через полторы секунды человек уже становится предпринимателем.
— А какие еще сервисы нуждаются в доработках? Что не удалось?
— В принципе, вероятно, удалось все. Если бы не карантин и не запуск Covid-сертификатов различных форм, мы бы чуть-чуть быстрее закончили бета-тестирование смены места регистрации проживания, но в общем все супер.
— Какие обновления и инициативы подготовила команда в 2022 году?
— 8 февраля состоится Diia Summit, который мы проводим дважды в год и представляем новые сервисы Дії. Самое главное, мы будем улучшать и дорабатывать уже существующие услуги.
Второе, мы запустим новые сервисы для водителей, дополнительно будем работать над электронным нотариатом, е-акцизом. Будем увеличивать количество социальных и налоговых услуг.
Мы сейчас работаем именно над переносом налоговых услуг в Дію.
Еще дополнительно ветеранский блок будет, документы и льготы.
— Какие амбициозные мечты на долгую перспективу?
— Все очень просто: сто процентов государственных услуг до 2024 года — чрезвычайно амбициозный план.
Но я надеюсь, что все будет хорошо и мы успешно достигнем его именно в 2024 году.
После интервью Мстислав Баник предложил провести вместе онлайн-трансляцию на наших YouTube-каналах, где команда Минцифры будет отвечать на вопросы украинцев.
Кстати, ранее моя коллега Богдана Макалюк писала о функциях приложения Дія, о которых ты можешь не знать.