Кто создаёт «Дію» и насколько хорошо она защищает данные украинцев

Руководитель по развитию электронных услуг Минцифры Мстислав Баник в интервью рассказал, почему, несмотря на многочисленные хакерские атаки, «Дія» остается безопасной. Почему из неё невозможно украсть данные? Кто создаёт эту систему и какова роль Минцифра в этом процессе.

Как часто хакеры атакуют «Дію»?

По словам Мстислава Баника, «Дія» подвергается хакерским атакам с самого начала существования. Первая атака произошла в день презентации приложения. Атаки происходят как из-за границы, так и изнутри Украины.

«Когда мы запускаем различные сервисы в «Дії» — такие как о строительстве — это тоже антикоррупционная составляющая. И люди, которые теряют коррупционные возможности, тоже прилагают усилия для того, чтобы снизить эффективность или доверие к Дії», – говорит Мстислав Баник.

Осенью 2021 года количество и масштаб атак увеличилось, начали расти. 15 февраля Украина отразила крупнейшую в истории страны DDoS-атаку, направленную на банковский сектор, официальные сайты органов власти, энергетический блок и портал. Атаки шли из нескольких стран, но благодаря современным антиDDoS-инструментам их смогли оперативно отразить. Фильтровали иностранный трафик, выключали его, а затем снова возобновляли работу на весь мир. Для пользователей «Дії» атака осталась незаметной.

«Такие атаки стоят миллионы долларов. Ключевая их цель – посеять панику среди украинцев и дестабилизировать ситуацию в стране. Фактически, это был масштабный стресс-тест, который Украина выдержала», – говорит Мстислав Баник.

Как обеспечивается безопасность данных в «Дії»

«Если мы говорим о «Дії», то мы не храним данные. То есть у нас есть подключение к государственным реестрам, данные используются для показа документов, для заполнения заявлений на получение тех или иных услуг, – говорит Мстислав Баник. – Для понимания, вы находитесь на шаге внесения информации о недвижимости — тогда мы делаем запрос в реестр недвижимости и спрашиваем гражданин с таким налоговым номером на недвижимость или нет. Затем мы сформировали заявление, упаковали и отдали этот пакет данных профильному министерству, которое ответственно за предоставление этой услуги».

Если речь идёт о ФЛП, Минюст его открывает. Если о повреждённом имуществе, это идет в реестр, с которым работает Министерство инфраструктуры. То есть, это часть безопасности: не дублировать, не хранить данные на своей стороне.

«Есть нормы, которым мы должны отвечать украинским стандартам с точки зрения безопасности государственных ресурсов. С другой стороны, мы используем и мировые практики, то есть базовые вещи, например, защиту от DDoS. Дія и разные государственные ресурсы, государственные системы их бекапы, резервные копии были размещены в облаках за границей, потому что, кстати, российская ракета прилетела в дата-центр в Украине», – говорит Мстислав Баник.

Получить доступ админа в «Дії», чтобы затем обращаться в другие учреждения и загрузить большое количество данных невозможно, потому что любой запрос по данным человека на заполнение формы фиксируется и происходит персонально. К примеру, хакер хочет украсть данные. Он может взять свой налоговый номер, условно получить доступ к «Дії», за ним сходить и взять свои данные; к другим данным у него уже не будет доступа. Все системы устроены следующим образом. Никакой массовой утечки не может произойти.

«Но дополнительно мы используем ещё международную практику BugBounty, когда специалисты по кибербезопасности ищут уязвимые места. Этот процесс длился 6 месяцев, завершился 27 января за месяц до полномасштабного вторжения. Во время проведения BugBounty не нашли уязвимостей, влияющих на работу приложения «Дія». Подали и подтвердили несколько отчетов, связанных с незначительными багами, за ним они получили наименьшие выплаты, – говорит Мстислав Баник. – Поскольку это была копия «Дії» без данных реестров, баз данных людей, то мы создали у себя на сервере базу данных с фейковыми пользователями. И ещё два отчета были связаны с этой базой данных с фейковыми пользователями у нас на сервере. Но именно такого доступа к базе у нас в действии в принципе не бывает. Поэтому за шесть месяцев ни один человек не нашел, как из «Дії» можно украсть данные».

Кто создает «Дію»

Над «Дією» работает до 30 разработчиков, все они сотрудники государственного предприятия «Дія». Минцифра не занимается разработкой действия.

«Министерство разрабатывает политику. И правительство принимает решение, например, запускается функция оповещения о повреждённом имуществе. Мы формируем видение с другими министерствами, как это должно быть. Это преобразуется в техническое задание, которое идет на государственное предприятие. «Дія», которая в оговоренные сроки занимается разработкой, выполняют, отчитываются об исполнении. Поэтому сказать, что мы работаем в одном офисе, я не могу, это совсем по-другому устроенные процессы», – говорит Мстислав Баник.

Как ранее сообщал Информатор, министр цифровой трансформации Украины Михаил Федоров анонсировал запуск национальной платформы «Дія» для юридических лиц. Одной из первых доступных функций является делегирование электронной подписи руководителя для других членов команды, типа бухгалтера, заместителя и т. д.

Подписывайтесь на наш Telegram-канал, чтобы не пропустить важные новости. За новостями в режиме онлайн прямо в мессенджере следите на нашем Telegram-канале Информатор Live. Подписаться на канал в Viber можно тут.