Хто створює Дію та наскільки добре вона захищає дані українців

Керівник із розвитку електронних послуг Мінцифри Мстислав Банік в інтерв’ю розповів, чому попри численні хакерські атаки Дія залишається безпечною. Чому з неї неможливо вкрасти дані. Хто створює цю систему та яка роль Мінцифри у цьому процесі. 

Як часто хакери атакують Дію? 

За словами Мстислава Баніка, Дія зазнає хакерських атак з самого початку існування. Перша атака відбулась в день презентації застосунку. Атаки відбуваються як з-за кордону, так і зсередини України. 

“Коли ми запускаємо різні сервіси в Дії, такі як про будівництво, це ж також антикорупційна складова. І люди, які втрачають корупційні можливості теж докладають зусиль для того, щоб знизити ефективність або довіру до Дії”, - каже Мстислав Банік. 

Восени 2021 року кількість і масштаб атак збільшилася, почала зростати. 15 лютого Україна відбила найбільшу в історії країни DDoS-атаку, що була спрямована на банківський сектор, офіційні сайти органів влади, енергетичний блок та портал Дія. Атаки йшли з декількох країн, але завдяки сучасним антиDDoS-інструментам їх змогли оперативно відбити. Фільтрували іноземний трафік, вимикали його, а потім знов відновлювали роботу на весь світ. Для користувачів Дії атака залишилася непомітною. 

“Такі атаки коштують мільйони доларів. Ключова їх ціль — посіяти паніку серед українців та дестабілізувати ситуацію в країні. Фактично це був масштабний стрес-тест, який Україна витримала”, - каже Мстислав Банік.

Як забезпечується безпека даних в Дії

“Якщо ми говоримо про Дію, то ми не зберігаємо дані. Тобто у нас є підключення до державних реєстрів, ці дані використовуються для показу документів, для заповнення заяв на отримання тих чи інших послуг, - каже Мстислав Банік, - Для розуміння, ви знаходитеся на кроці внесення інформації про нерухомість – тоді ми робимо запит в реєстр нерухомості та питаємо чи є громадянин з таким податковим номером на нерухомість чи немає. Потім, ми сформували заяву, спакували й віддали цей пакет даних профільному міністерству, яке відповідальне за надання цієї послуги”. 

Якщо йдеться про ФОП, то Мінюст його відкриває. Якщо про пошкоджене майно, то це йде в реєстр, з яким працює Міністерство інфраструктури. Тобто це частина безпеки: не дублювати, не зберігати дані на своєму боці. 

“Є норми, яким ми маємо відповідати українським стандартам з точки зору безпеки державних ресурсів. З іншого боку ми використовуємо і світові практики, тобто базові речі, наприклад, захист від DDoS. Дія, та різні державні ресурси, державні системи їх бекапи, резервні копії були розміщені в хмарах за кордоном, тому що, до речі, російська ракета прилетіла в дата-центр в Україні”, - каже Мстислав Банік. 

Отримати доступ адміна в Дії, щоб потім звертатися до інших установ та завантажити велику кількість даних неможливо, тому що будь-який запит за даними людини на заповнення форми фіксується та відбувається персоналізовано. Наприклад, хакер хоче вкрасти дані. Він може взяти свій податковий номер, умовно, отримати доступ до Дії, за ним сходити та взяти свої дані; до інших даних у нього вже не буде доступу. Всі системи влаштовані таким чином. Ніякого масового витоку не може статися. 

“Але додатково ми використовуємо ще міжнародну практику BugBounty, коли фахівці з кібербезпеки шукають вразливі місця. Цей процес тривав 6 місяців, закінчився 27 січня за місяць до повномасштабного вторгнення. Під час проведення BugBounty не знайшли вразливостей, які впливали б на роботу застосунку Дія. Подали та підтвердили декілька звітів, які були пов’язані з незначними багами, за ним вони отримали найменші виплати”, - каже Мстислав Банік, - Оскільки це була копія Дії без даних реєстрів, баз даних людей, то ми створили у себе на сервері базу даних з фейковими користувачами. І ще два звіти були пов’язані з цією базою даних з фейковими користувачами у нас на сервері. Але саме такого доступу до бази у нас в Дії в принципі не буває. Тому за шість місяців жодна людина не знайшла, як з Дії можна викрасти дані”.

Хто створює Дію

Над Дією працює до 30 розробників, всі вони співробітники державного підприємства Дія. Мінцифра не займається розробкою Дії.

“Міністерство розробляє політику. І уряд приймає рішення, наприклад, запускається функція сповіщення про пошкоджене майно. Ми формуємо бачення з іншими міністерствами, як це має бути. Це перетворюється в технічне завдання, яке йде на державне підприємство Дія, яке в обумовлені строки займається розробкою, виконують, звітують про виконання. Тому сказати, що ми працюємо в одному офісі я не можу, це зовсім по-іншому влаштовані процеси”, - каже Мстислав Банік.

Як раніше повідомляв Інформатор, міністр цифрової трансформації України Михайло Федоров анонсував запуск національної платформи «Дія» для юридичних осіб. Однією з перших доступних функцій є делегування електронного підпису керівника для інших членів команди, на кшталт бухгалтера, заступника тощо.

Підписуйтесь на наш Telegram-канал, щоб не пропустити важливих новин. За новинами в режимі онлайн прямо в месенджері слідкуйте на нашому Telegram-каналі Інформатор Live. Підписатися на канал у Viber можна тут.