"Встояли, і це дуже хороший знак": Мстислав Банік з Мінцифри про найбільшу IT-атаку росії на Україну
- Автор
- Дата публікації
- Автор
- 5293
Керівник із розвитку електронних послуг у Мінцифрі розказав "Телеграфу" про невдалі спроби рф влаштувати Україні тотальний колапс
Технологічний сплеск, який переживає останнім часом світ, природно не оминає Україну як складову глобального простору. Додатковим фактором для розвитку став новий тип війни, яку веде проти українців росія. В результаті в окремих сегментах IT-індустрії Україна навіть випереджає розвинені країни. Одним з успішних вітчизняних здобутків за останні роки, який ретельно вивчають у Японії, є застосунок Дія.
У першій частині інтерв'ю з керівником із розвитку електронних послуг у Мінцифрі Мстиславом Баніком "Телеграф" говорив про приріст користувачів і успіхи Дії за рік війни, експорт застосунку, повістки, найбільш популярні опції та безпеку спілкування в месенджерах.
Пропонуємо ваші увазі другу частину інтерв'ю з Мстиславом Баніком.
"Атакувати нас почали з першого дня запуску Дії"
— Часом можна почути аргумент скептиків цифровізації, що мінусом Дії є зокрема те, що у разі відсутності світла та інтернету немає доступу до її сервісів, до цього продукту…
— Не погоджуся взагалі. Приведу за аналогією таку паралель: може не бути світла і ми не зможемо дзвонити, так що, давайте будемо користуватися дротовими телефонами?! Насправді таке питання могло поставати в 2019 році, коли ми тільки запускались. Тоді були питання, якщо не буде світла (чи ще чогось), як це працюватиме.
Ви авторизуєтесь через BankID, банк несе відповідальність, що у них є актуальні ваші дані, або через NFC. Ми беремо ваш податковий номер та даємо запит до державних реєстрів. Державний реєстр на ваш девайс надсилає ваші дані, якщо у вас є той чи інший документ. У вас є кеш, який знаходиться в захищеній частині пам'яті смартфону з цими документи. Це не означає, що вимкнеться інтернет і пропадуть всі документи. Ні, це значить, що паспорт буде триматися десь тиждень, водійські права декілька днів. Це історія, яка буде все одно працювати.
Коли почалось повномасштабне вторгнення і 24 лютого відключили всі державні реєстри, ми зробили довгостроковою сесію всіх документів. Всі, хто був залогінений в Дії, не втратили документи, а продовжили ними користуватись. Документи працювали й надалі. Єдиний момент, що при відсутності інтернету, може не працювати перевірка документів, або запит на копію. Будемо відверті, коли немає інтернету, то навряд чи отримаєш банківські послуги чи ще щось. В ситуації, коли потрібно посвідчити особу, без інтернету працює єДокумент. Це окремий вид електронного документу, який ми створили на основі авторизаційних даних.
Тобто авторизація проходить через BankID, банк видає серію, номер паспорта, податковий номер, ми вкладаємо це в документ. Або якщо ти авторизуєшся по паспорту (жовтенький документ, який працює без інтернету), йому не треба підключень, не треба нічого.
Скільки люди сиділи з розрядженими телефонами, під час блекауту? Це ж не масова тотальна ситуація. На такі випадки є павербанк, є місця, де ти підзаряджаєш телефон. Я міг би погодитись, як би у нас був окремий девайс, на якому знаходиться твій електронний паспорт. Тоді можна було б казати, що треба тримати зарядженим цей девайс. Але коли у тебе є телефон, ти звик слідкувати, щоб він у тебе не був розрядженим, таке питання неактуальне.
Крім того, з точки зору додаткової перевірки документів у поліції є велика кількість протоколів, як вони можуть діяти. Наприклад, якщо тебе на трасі зупинили, та хочуть перевірити твоє водійське, але немає покриття інтернету чи QR-код не завантажився. Вони по своїй системі можуть подивитися по номеру документа, без тебе.
Взагалі класична процедура: вони можуть зателефонувати на пост, де є точно інтернет. Такі протоколи "спливали" ще до Дії. Або у водіїв на руках старі водійські посвідчення, коли немає навіть у поліції інтернету, щоб перевірити. Вони можуть подзвонити на вузол, і там перевірять дійсність цього документу.
— Повернімося до теми війни. Скільки було спроб росії повалити Дію через хакерські атаки, особливо у зв'язку з кіберзагрозами після 24 лютого? Скільки цих атак було і який вони носили характер?
— Атакувати нас почали з самого початку, з першого дня запуску Дії. А з лютого 2022 року ці атаки були постійними, регулярними. Атакували нас з-за кордону. Атакували нас і зсередини країни. Коли ти запускаєш електронні сервіси, реформуєш цілі сфери, то якісь люди втрачають доступ до корупційних коштів, тому й атакують тебе зсередини. Атакують тебе, як в технічній складовій, так і в інформаційних компаніях, мовляв, Дія зливає дані, чи що завгодно у даному ключі. Такі вкидання дуже легко працюють.
У нас збудовано багато контурів безпеки, які стосуються нашої серверної частини, захисту від DoS-атак та всього іншого. Також у нас є система безпеки і на мобільному девайсі. Якщо ми говоримо про серверну систему, жодних уражень не відбулось. Особливо великий масштаб уражень почався восени-взимку 2021 року, перед початком повномасштабного вторгнення. Потім в лютому-2022 була найбільша атака в історії України на всі державні ресурсі, на українські банки, на все.
Треба розуміти, що коли тебе атакує інша держава в таких масштабах, у неї немає на меті вкрасти твої дані, чи взяти на тебе кредит або продати твої дані в інтернеті. Вони хочуть знищити електронну систему і привести країну до колапсу. Уявімо, що було б, якби росіяни знищили тільки один реєстр паспортів. Проте жодних уражень системи в країні не відбулося, всі встояли, і це дуже хороший знак.
Другий момент стосується нашої архітектури. У нас немає даних людей. Ви авторизувалися через наш бек, який взаємодіє з мобільним клієнтом. Мобільний клієнт каже, я знаю, що це той самий громадянин. Через наш бек він звертається до різних реєстрів. Це не просто, як робити запит в інтернет. Є певні технологічні принципи, як таке працює.
— І як же це працює?
— По-перше, ми верифікували юзера, ми зробили запит, далі — реєстр. Якщо у вас є водійське посвідчення, реєстр у відповідь надсилає дані водійського посвідчення, які проходять через наш бек, ми логуємо факт посвідчення (успішно чи не успішно), і дані падають на девайс. В нашій системі персональних даних немає. Це не має ніякого сенсу. Скільки людей продають чи купують автомобілі, яким треба тримати копію актуальних даних?! Таке просто неможливо.
По-друге, дане питання — з точки зору безпеки. Навіщо зберігати ще один реєстр?! Тому наш бек побудований чисто як шлюз в цьому розрізі, і теж саме відбувається з електронними послугами. Коли ви умовно подаєтесь на заміну лампочок, ми формуємо вашу заявку і віддаємо в систему, яка задіяна у процесі. В даному випадку йдеться про Укрпошту.
Якщо ви міняєте автомобіль, то це — Міністерство внутрішніх справ. Відкриваєте ФОП, ми забрали заявку і віддали її в Міністерство юстиції, у нас не лишилось нічого. Таким чином побудована Дія, і це частина нашої безпеки.
— Які є рівні захисту для користувачів?
Якщо говорити про мобільний застосунок, коли ви авторитизуєтесь, сам він просто перевіряє цілісність пакетних даних. Якщо ви завантажили АPK і щось модифікували, Дія про це знатиме й не дасть авторизуватися, тому що не буде підтверджуватися девайс.
Якщо на телефоні є root-права та Jailbreak, Дія не дасть авторизуватися сторонній людині, тому що це доступ до системного сховища. Коли людина авторизувалася, наступає ще один момент: після трьох неправильних введень пін-кодів, в Дії відбувається повний логаут. Навіть якщо хтось знайшов ваш телефон, всі дані видаляються, і в Дії немає ніяких документів на цьому телефоні.
Відповідно, якщо ти шахрай з чужим телефоном, шерінг копії паспорта відбувається тільки за допомогою Дії-підпису. У нього є три кроки захисту. Йдеться про механізм liveness detection, коли ми просимо посміхнутися, кліпнути, чи даємо завдання з гімнастики для шиї. Ми перевіряємо, чи ви жива людина, тому треба виконати випадкову дію, випадковий рух речей, які ми просимо. Далі після цього ми робимо знімок і порівнюємо біометрію обличчя, яке ми взяли, із біометрією з закордонного біометричного паспорту або ID-картки.
Тільки після того, як наклалися два обличчя, система розуміє, хто перед нею (у нас, до речі, декілька нейромереж працює). Наступний крок — це пін-код від підпису. Чи є у шахрая шанс використати вашу Дію, щоб поширити комусь копію паспорта? Немає. Головне — цифрова гігієна. Ставити нормальні пін-коди, не давати телефон, кому попало.
Є навіть спеціальна міжнародна практика – BugBounty – коли фахівці з кібербезпеки шукають, як вкрасти дані. Всі порядні великі компанії користуються таким досвідом, і ми також. Ми двічі проводили її за підтримки USAID, який виділяв 1 мільйон гривень. Ті, хто знаходять вразливість в копії застосунку Дія, отримують винагороду, передбачену за відповідний рівень вразливості.
Під час такого стрес-тесту не було знайдено вразливостей, які б впливали на безпеку застосунку Дія. Було всього чотири випадки виявлення вразливостей. Два мінімальних, тому що знайшли незначні баги, не пов'язані з даними. А два репорти були пов'язані з тим, що ми просто у себе розмістили фейкових користувачів й отримали доступ до цих несправжніх юзерів. Буквально ця практика закінчилася 26 січня 2022 р. Тобто за місяць до повномасштабного вторгнення.
— Через рік після запуску в Україні Дії рф теж створила якийсь свій аналог. Чи ви цікавились і порівнювали ці продукти, яке у вас враження?
— (посміхається) У них працював портал "Госуслуги" і частково до нього був мобільний застосунок. Тобто якісь сервіси були у прив'язці мобільного застосунку до "Госуслуг". Але цей продукт був у такому стані, що користувачі в рф казали, що краще будуть їздити в офлайн-офіс, стояти в черзі, ніж розбиратися з цією формою в додатку.
Ми ж робимо всі форми короткими та простими. А у них, якщо ти хочеш перевипустити паспорт, ти навіть маєш сказати університет, в якому навчався. Тобто забагато всього. У нас були жарти, до повномасштабного вторгнення (зараз вони не такі доречні), що росіяни читають наші новини та формують порядок денний у себе, що треба робити в рф.
Буквально нещодавно у них з'явились новини, що треба робити цифрові паспорти, чи щось там з QR-кодом. Вони в якомусь напрямку рухаються. Різниця в тому, що у них повний контроль над громадянами, поліцейська держава, і всі там таке приймають. В нашому випадку, у нас зовсім інша філософія.
"Потенційний ефект від онлайн-послуг в Дії — 48 млрд грн"
— Які розвинені країни впроваджують, чи можливо вже запустили аналог Дії?
— Австрія працює над власним застосунком. Португалія працює. Естонія запускає Дію. Здебільшого все. Але треба розуміти, що є напрямки, на які вони дивляться в сенсі запуску застосунку. Це не значить, що вони запускають те ж саме, що у нас. Дехто з них думає про документи, дехто хоче запустити якісь послуги, дехто виходить з того, що застосунок може бути додатком до веб-порталу. Такого досвіду, як у нас, вони ще поки не запроваджують. Наш фокус — це мобільний телефон з усіма різноманітними функціями, які можуть бути потрібні людині від держави. Вони мають бути просто в смартфоні.
— Чи зможе Україна з часом експортувати Дію з широким функціоналом, і коли саме?
— 100%-во ми повністю відкриті. Є і запити країн. Є USAID, який виділяє 650 тисяч доларів на те, щоб вивчити можливості запуску Дії в інших країнах. Чому західні партнери можуть бути зацікавлені в експорті Дії? Тому що, коли вони підтримують інші країни, вони теж зацікавлені в ефективному використані коштів. Крім того, є порахований економічний ефект від запуску електронних сервісів. Мається на увазі гроші, які не пішли наліво корупційним шляхом, і плюс кошти, що вдалося зекономити за рахунок запуску електронних сервісів.
Реальний антикорупційний та економічний ефект від запровадження онлайн-послуг за 2020-2021 рік на Дії — 16,3 млрд грн. Економія часу, який держава звільнила завдяки автоматизації, становить близько 20,5 тисячі людино-годин. Потенційний антикорупційний та економічний ефект від запровадження онлайн-послуг за 2020-2021 рік — 48 млрд грн та близько 58,6 тисяч людино-годин.
Отже, наш щорічний ефект обчислюється мільярдами гривень. Він здається нам непомітним, ну, є Дія, але наче нічого не змінилося, так і живимо. Але насправді економічний ефект дуже великий.
— Повертаючись до теми лампочок, які лідери та аутсайдери в розрізі регіонів України?
— За весь час українці подали заяви на обмін понад 3,5 млн ламп через Дію. Обмін здійснюється за спільною програмою Уряду України та Європейського Союзу. Найбільше лампочок обмінюють в Києві, Львівщині, Дніпропетровщині, Вінниччині, Одещині, Харківщині, Черкащині та Хмельниччині.
"В Дії 4,7 мільйона людей у віці від 55 років"
— Яка доля проєкту єСмартфон?
— Ми планували запустити цей проєкт ще до 24 лютого 2022 р. та активно до нього готувалися, але через повномасштабне вторгнення рф його було призупинено. Точно до нього повернемося. Нагадаю, це проєкт президента України, націлений на те, щоб людей, які не мають можливостей придбати смартфон, забезпечити безкоштовними девайсами (за державний кошт або за фінансування донорів). Щоб такі громадяни так само мали доступ до електронних сервісів.
Адже дуже часто, на жаль, люди, які не користуються смартфонами, це не ті громадяни, що виходять з якихось принципів безпеки чи ще чогось, у них просто немає можливості придбати собі цей девайс. Відповідно, ми ж говоримо про доступність. Тому що електронні сервіси для когось пригода і розвага поїхати в ЦНАП, або якщо в селі десь живеш, і з цього ціла культурна програма може вийти. Насправді ж, говориться про доступність, і особливо для маломобільних людей, яким точно потрібна ця історія.
Проєкт був анонсований буквально перед вторгненням. Ясно, що нам зараз потрібні снаряди, а не телефони, але впевнений, ми точно до нього повернемося. Для більшого розуміння скажу, що у нас в Дії 4,7 мільйона людей у віці від 55 років.
— Чого не вистачає Україні як цифровій державі?
— Часу. У нас багато класних команд в різних міністерствах. Є команди цифровізації, багато заступників з цифрової трансформації в усіх міністерствах і відомствах. Всі працюють. Головне, щоб був час, аби можна було встигнути зробити багато чого. Тому що світ розвивається дуже швидко. Є події, які не залежать від нас (такі, як війна). Але те, що залежить від нас, хочеться робити максимально ефективно і швидко.
— Чи не буде ризиком, якщо в Україні до влади прийде умовно кажучи, якийсь Янукович, і держава використає Дію так, що всі будуть на гачку, як зараз у рф чи Білорусі?
— Думаю, що ні. Тому що у нас насправді одна з найдемократичніших держав у світі. У нас люди не дозволять цього зробити. Змоделюймо ситуацію: якщо ми просто попросимо громадян дозволити в Дії доступ до їхньої геолокації (не в розрізі якоїсь послуги), то я думаю, що буде нуль користувачів вже через тиждень. Це питання, мабуть, з області менталітету і свідомості українців та відповідальності самої влади.