"Устояли, и это очень хороший знак": Мстислав Баник из Минцифры о самой большой IT-атаке россии на Украину

Читати українською
Автор

Руководитель по развитию э-услуг в Минцифре рассказал "Телеграфу" о неудачных попытках рф устроить Украине тотальный коллапс

Технологический всплеск, который в последнее время переживает мир, естественно, не обходит стороной Украину как составляющую глобального пространства. Дополнительным фактором для развития стал новый тип войны, которую ведет россия против украинцев. В результате, в отдельных сегментах IT-индустрии Украина даже опережает развитые страны. Одним из успешных отечественных достижений за последние годы, за которым внимательно следят даже в Японии, является приложение Дия.

В первой части интервью с руководителем по развитию электронных услуг в Минцифре Мстиславом Баником "Телеграф" говорил о приросте пользователей и успехах Дии за год войны, экспорте приложения, повестках, самых популярных опциях и безопасности в мессенджерах.

Предлагаем вашему вниманию вторую часть интервью с Мстиславом Баником.

"Атаковать нас начали с первого дня запуска Дии"

Иногда можно услышать аргумент скептиков цифровизации, что минусом Дии является то, что в случае отсутствия света и интернета нет доступа к ее сервисам, к этому продукту…

— Не соглашусь вообще. Приведу по аналогии такую параллель: может не быть света и мы не сможем звонить, так что, давайте будем пользоваться проводными телефонами!? На самом деле, такой вопрос мог возникать в 2019 году, когда мы только запускались. Тогда были вопросы, если не будет света (или чего-то еще), как это будет работать.

Вы авторизуетесь через BankID, банк несет ответственность, что у них есть актуальные ваши данные, или через NFC. Мы берем ваш налоговый номер и даем запрос в государственные реестры. Государственный реестр на ваш девайс посылает ваши данные, если у вас есть тот или иной документ. У вас есть кэш, который находится в защищенной части памяти смартфона с этими документами. Это не значит, что отключится интернет и пропадут все документы. Нет, это значит, что паспорт будет держаться около недели, водительские права несколько дней. Это история, которая все равно будет работать.

"В феврале-2022 была самая большая атака в истории Украины"

Когда началось полномасштабное вторжение и 24 февраля отключили все государственные реестры, мы сделали долгосрочную сессию всех документов. Все, кто был залогинен в Дии, не потеряли документы, а продолжили ими пользоваться. Документы работали и дальше. Единственный момент, что при отсутствии интернета может не работать проверка документов, или запрос на копию. Будем откровенны, когда нет интернета, то вряд ли получишь банковские услуги или еще что-нибудь. В ситуации, когда нужно удостоверить личность, без интернета работает еДокумент. Это отдельный вид электронного документа, созданный на основе авторизационных данных.

То есть авторизация проходит через BankID, когда банк выдает серию, номер паспорта, налоговый номер, мы вкладываем это в документ. Или если ты авторизуешься по паспорту (желтенький документ, работающий без интернета), ему не нужно подключений, не нужно ничего.

Сколько людей сидели с разряженными телефонами, во время блэкаута? Это ведь была не массовая тотальная ситуация. На такие случаи есть павербанк, есть места, где ты подзаряжаешь телефон. Я мог бы согласиться, если бы у нас был отдельный девайс, на котором находится твой электронный паспорт. Тогда можно было бы говорить, что нужно держать заряженным этот гаджет. Но когда у тебя есть телефон, ты привык следить, чтобы он у тебя не был разряжен, такой вопрос неактуален.

Кроме того, с точки зрения дополнительной проверки документов в полиции существует большое количество протоколов, как они могут действовать. Например, если тебя на трассе остановили, хотят проверить твое водительское, но нет покрытия интернета или QR-код не загрузился. Они без тебя по своей системе могут посмотреть по номеру документа.

Вообще-то классическая процедура: они могут позвонить на пост, где точно есть интернет. Такие протоколы всплывали еще до Дии. Или у водителей на руках старые водительские удостоверения, когда нет даже у полиции интернета, чтобы проверить. Они могут позвонить на узел, и там проверят подлинность этого документа.

Давайте вернемся к теме войны. Сколько было попыток россии снести Дию посредством хакерских атак, особенно в связи с киберугрозами после 24 февраля 2022 г.? Сколько этих атак было и какой они носили характер?

— Атаковать нас начали с самого начала, с первого дня запуска Дии. А с февраля 2022 г. эти атаки были постоянными, регулярными. Атаковали нас из-за границы. Атаковали нас и изнутри страны. Когда ты запускаешь электронные сервисы, реформируешь целые сферы, то люди теряют доступ к коррупционным средствам, поэтому и атакуют тебя изнутри. Атакуют тебя как в технической составляющей, так и в информационных компаниях, мол, Дия сливает данные, или что угодно в данном ключе. Такие вбросы очень легко работают.

У нас построено много контуров безопасности, касающихся нашей серверной части, защиты от DoS-атак и всего остального. Также у нас есть система безопасности и на мобильном девайсе. Если мы говорим о серверной системе, никаких поражений не произошло. Особенно большой масштаб поражений начался осенью-зимой 2021 г., перед началом полномасштабного вторжения. Затем в феврале-2022 последовала самая большая атака в истории Украины на все государственные ресурсы, на украинские банки, на все.

"У нас нет данных людей"

Надо понимать, что когда тебя атакует другое государство в таких масштабах, у него нет цели украсть твои данные, взять на тебя кредит или продать твои данные в интернете. Они хотят уничтожить электронную систему и привести страну в коллапс. Представьте, что было бы, если бы россияне уничтожили только один реестр паспортов. Однако никаких поражений системы в стране не произошло, все устояли, и это очень хороший знак.

Второй момент касается нашей архитектуры. У нас нет данных людей. Вы авторизировались через наш бэк, взаимодействующий с мобильным клиентом. Мобильный клиент говорит, я знаю, что это тот же гражданин. Через наш бэк он обращается в разные реестры. Это не просто, как делать запрос в интернет. Есть определенные технологические принципы, как это работает.

— И как же это работает?

Во-первых, мы верифицировали пользователя, мы сделали запрос, дальше – реестр. Если у вас есть водительское удостоверение, реестр в ответ посылает данные водительского удостоверения, которые проходят через наш бэк, мы логируем факт удостоверения (успешно или не успешно), и данные падают на девайс. В нашей системе персональных данных нет. Это бессмысленно. Сколько людей продают или покупают автомобили, которым нужно держать копию актуальных данных? Такое просто невозможно.

Во-вторых, данный вопрос относится к сфере безопасности. Зачем хранить еще один реестр?! Поэтому наш бэк построен чисто как шлюз в этом разрезе, и то же самое происходит с электронными услугами. Когда вы подаетесь на замену лампочек, мы формируем вашу заявку и отдаем в систему, которая задействована в процессе. В данном случае речь идет об Укрпочте.

Если вы меняете автомобиль, то это – Министерство внутренних дел. Открываете ФЛП, мы забрали заявку и отдали ее в Министерство юстиции, у нас ничего не осталось. Таким образом устроена Дия, и это часть нашей безопасности.

Какие есть уровни защиты для пользователей?

— Если говорить о мобильном приложении, когда вы авторизуетесь, оно просто проверяет целостность пакетных данных. Если вы скачали АPK и что-то модифицировали, Дия об этом будет знать и не даст авторизоваться, потому что не будет подтверждаться девайс.

Если на телефоне есть root-права и Jailbreak, Дия не даст авторизоваться постороннему человеку, потому что это доступ к системному хранилищу. Когда человек авторизовался, наступает еще один момент: после трех неправильных введений пин-кодов в Дии происходит полный логаут. Даже если кто-то нашел ваш телефон, все данные удаляются, и у Дии нет никаких документов на этом телефоне.

Соответственно, если ты жулик с чужим телефоном, шеринг копии паспорта происходит только с помощью Дия-подписи. У нее есть три шага защиты. Речь идет о механизме liveness detection, когда мы просим улыбнуться, моргнуть, или даем задание по гимнастике для шеи. Мы проверяем, живой ли вы человек. Поэтому нужно выполнить случайное действие, рандомное движение вещей, которые мы просим. Далее после этого мы делаем снимок и сравниваем биометрию лица (которое мы взяли) с биометрией из заграничного биометрического паспорта или ID-карты.

Только после того, как наложились два лица, система понимает, кто перед ней (у нас, кстати, несколько нейросетей работает). Следующий шаг – это пин-код от подписи. Есть ли у мошенника шанс использовать вашу Дию, чтобы распространить кому-то копию паспорта? Нет. Главное – цифровая гигиена: ставить нормальные пин-коды, не давать телефон, кому попало и т.д.

Есть даже специальная международная практика – BugBounty – когда специалисты по кибербезопасности ищут, как украсть данные. Все порядочные крупные компании пользуются таким опытом, и мы тоже. Мы дважды проводили ее при поддержке USAID, выделявшего 1 миллион гривен. Находящие уязвимость в копии приложения Дия получают вознаграждение, предусмотренное за соответствующий уровень уязвимости.

Во время такого стресс-теста не были найдены уязвимости, которые влияли бы на безопасность применения Дии. Было всего четыре случая обнаружения уязвимостей. Два минимальных, потому что обнаружили незначительные баги, не связанные с данными. А два репорта были связаны с тем, что мы просто у себя разместили фейковых пользователей и получили доступ к этим ненастоящим юзерам. Буквально эта практика закончилась 26 января 2022 г., то есть за месяц до полномасштабного вторжения.

Через год после запуска в Украине Дии рф тоже создала какой-то свой аналог. Вы интересовались и сравнивали эти продукты, какое у вас впечатление?

— (Улыбается) У них работал портал "Госуслуги" и частично к нему было мобильное приложение. То есть какие-то сервисы были в привязке мобильного приложения к "Госуслугам". Но этот продукт был в таком состоянии, что пользователи в россии говорили, что лучше будут ездить в офлайн-офис, стоять в очереди, чем разбираться с этой формой в приложении.

Мы делаем все формы короткими и простыми. А у них, если ты хочешь перевыпустить паспорт, должен сказать университет, в котором учился. То есть слишком много всего. У нас были шутки, до полномасштабного вторжения (сейчас они не так уместны), что россияне читают наши новости и формируют повестку дня у себя, что нужно делать в рф.

"Наш ежегодный эффект исчисляется миллиардами гривен"

Буквально недавно у них появились новости, что нужно делать цифровые паспорта или что-то там с QR-кодом. Они в каком-то направлении двигаются. Разница в том, что у них полный контроль над гражданами, полицейское государство, и все там такое принимают. В нашем же случае, у нас совсем другая философия.

"Потенциальный эффект от онлайн-услуг в Дии — 48 млрд грн"

Какие развитые страны внедряют, или возможно уже запустили аналог Дии?

— Австрия работает над своим приложением. Португалия работает. Эстония запускает Дию. В основном все. Но следует понимать, что есть направления, на которые они смотрят в смысле запуска приложения. Это не значит, что они запускают то же, что у нас. Некоторые из них думают о документах, некоторые хотят запустить какие-то услуги, некоторые исходят из того, что приложение может быть как дополнение к веб-порталу. Такого опыта, как у нас, они пока еще не внедряют. Наш фокус – это мобильный телефон со всеми разнообразными функциями, которые могут потребоваться человеку от государства. Они должны быть прямо в смартфоне.

Сможет ли Украина со временем экспортировать Дию с широким функционалом, и когда именно?

— 100% мы полностью открыты. Есть и запросы стран. Есть USAID, который выделяет 650 тысяч долларов для того, чтобы изучить возможности запуска Дии в других странах. Почему западные партнеры могут быть заинтересованы в экспорте Дии? Потому что, когда они поддерживают другие страны, они тоже заинтересованы в эффективном использовании средств. Кроме того, есть просчитанный экономический эффект от запуска электронных сервисов. Имеется в виду деньги, которые не ушли налево коррупционным путем, плюс средства, что удалось сэкономить за счет запуска электронных сервисов.

Реальный антикоррупционный и экономический эффект от внедрения онлайн-услуг за 2020-2021 гг. благодаря Дии — 16,3 млрд грн. Экономия времени, которое государство освободило благодаря автоматизации, составляет около 20,5 тысяч человеко-часов. Потенциальный антикоррупционный и экономический эффект от введения онлайн-услуг за 2020-2021 гг. — 48 млрд грн и около 58,6 тыс. человеко-часов.

Следовательно, наш ежегодный эффект исчисляется миллиардами гривен. Он кажется нам незаметным, ну, есть Дия, но как будто ничего не изменилось, так и живем. Но на самом деле экономический эффект очень велик.

Возвращаясь к теме лампочек, какие лидеры и аутсайдеры в разрезе регионов Украины?

— За все время украинцы подали заявления на обмен более 3,5 млн ламп через Дию. Обмен производится по общей программе правительства Украины и Европейского Союза. Больше всего лампочек обменивают в Киеве, на Львовщине, Днепропетровщине, Винницкой, Одесской, Харьковской, Черкасской и Хмельницкой областях.

"В Дие 4,7 миллиона человек в возрасте от 55 лет"

Какова судьба проекта еСмартфон?

— Мы планировали запустить этот проект еще до 24 февраля 2022 г. и активно к нему готовились. Но из-за полномасштабного вторжения россии он был приостановлен. Точно к нему вернемся. Напомню, это проект президента Украины, нацеленный на то, чтобы людей, не имеющих возможностей приобрести смартфон, обеспечить бесплатными девайсами (за государственные средства или финансирование доноров). Чтобы такие граждане также имели доступ к электронным сервисам.

Ведь очень часто, к сожалению, люди, которые не пользуются смартфонами, это не те граждане, которые исходят из каких-то соображений безопасности или чего-то еще, у них просто нет возможности приобрести себе этот девайс. Соответственно, мы говорим о доступности. Потому что электронные сервисы для кого-то — приключение и развлечение поехать в ЦПАП, или если в селе где-то живешь, то из этого целая культурная программа может выйти. На самом же деле говорится о доступности, и особенно для маломобильных людей, которым точно нужна эта история.

Проект был анонсирован буквально перед вторжением. Ясно, что нам сейчас нужны снаряды, а не телефоны. Но уверен, мы точно к нему вернемся. Для большего понимания скажу, что у нас в Дии 4,7 миллиона человек в возрасте от 55 лет.

Чего не хватает Украине как цифровому государству?

— Времени. У нас много классных команд в разных министерствах. Есть команды цифровизации, многие заместители по цифровой трансформации во всех министерствах и ведомствах. Все трудятся. Главное — наличие времени, чтобы можно было успеть сделать многое. Потому что мир развивается очень быстро. Есть события, не зависящие от нас (такие, как война). Но то, что зависит от нас, хочется делать максимально эффективно и быстро.

— Не будет ли риском, если в Украине к власти придет, условно говоря, какой-то Янукович, и государство использует Дию так, что все будут на крючке, как сейчас происходит в рф или Беларуси?

— Думаю, что нет. Потому что у нас действительно одно из самых демократических государств в мире. У нас люди не разрешат этого сделать. Смоделируем ситуацию: если мы просто попросим граждан разрешить в Дии доступ к их геолокации (не в разрезе какой-либо услуги), то я думаю, что будет ноль пользователей уже через неделю. Это вопрос, по-видимому, из области менталитета и сознания украинцев, а также ответственности самой власти.