Редактор Liga.Tech поговорил с заместителем министра цифровой трансформации Александром Борняковым о том, как приложение Дія защищает данные пользователей, кто в министерстве отвечает за кибербезопасность, сколько денег тратит министерство на свои проекты и каким будет украинское электронное резидентство. 

Откуда могли утечь данные о биометрических паспортах и водительских удостоверениях украинцев?

Я пользовался этим ботом в Telegram. Там было написано, что он использует компиляцию баз из разных источников. Там была база с ИНН 2012 года, какие-то базы МВС 2007 года, 2018 года, частные базы — ВКонтакте, Новой Почты, Приватбанка. Создатели бота просто объединили все эти базы. Министерство образовалось в 2019 году. Последние данные в боте датируются 2017 годом. Дія к этому точно отношения не имеет. Данные, мне кажется, были украдены либо получены путем подкупа 5-6 лет назад. Я думаю, это был не взлом — скорее всего, их кто-то продал.

Да, там действительно была компиляция баз, многие из которых были ранее продавались в даркнете. Но многих возмутило, что там были актуальные данные — кто-то месяц-два назад получал биометрический паспорт или водительское удостоверение, и эти данные уже были в боте.

Я проверял там себя — данные были годичной давности, а то и больше. За мной там числится имущество, которое мне не принадлежит уже пару лет. Насчет реестра прав — у меня такой информации нет. Я видел как люди писали в фейсбуке об этом, но когда попросил их показать скриншот, ничего не получил. Но спорить не буду, возможно кто-то и нашел такие данные в базах.

Окей, тогда расскажите, как защищены данные в приложении Дія? Мы уже поняли, что эта утечка была не через приложение. Но у многих возник логичный вопрос: мы сейчас туда загружаем кучу данных, а как они защищены?

Приложение Дія напрямую не делает запросы в базы. Даже если злоумышленник попытается отреверсить протокол и перехватить данные, он не сможет это сделать. Сначала запрос идет на защищенный хостинг, который обеспечивает компания De Novo. Это отдельная защищенная зона, там есть сертификат КСЗИ. Запрос шифрованный, он ограничен временем и идет не в базы МВС, а на украинский защищенный хостинг. Он приходит на наши сервера, после чего наши сервера связываются с серверами МВС, там формируется запрос, который дальше распределяется по базам МВС (они находятся в своем месте, там используются свои протоколы), и нам дается лишь ответ на запрос.

Чтобы злоумышленнику поломать защиту Дії, ему надо не просто взломать сервера МВС. Ему надо сначала взломать наши сервера, потом каким-то образом через наши сервера получить доступ на сервера МВС… Учитывая, что мы моментально увидим, что нас взломали, у него не будет времени что-либо сделать. Это двойной уровень защиты. Естественно, при этом все зашифровано с помощью криптографии.

Недавно запустили сайт компании Дія. Там описана структура команды разработки, открытые вакансии. Но там нет специалистов по кибербезопасности и защите информации — ни в вакансиях, ни в команде. Почему?

У нас в министерстве есть подразделение, которое занимается кибербезопасностью. Это отдельная структура. Недавно в фейсбуке писали: вот, у них относительно небольшие зарплаты, хорошие специалисты не пойдут туда работать. Тысяча долларов в месяц — каким-то людям показалось, что это мало… Ну, не знаю.

Скажу вам, как человек, который разрабатывал софт: разработчик очень часто и сам разбирается в кибербезопасности. Когда ты пишешь сетевой софт, так или иначе ты работаешь с этими стандартами, понимаешь как это работает и как можно защититься. К тому же, вопрос кибербезопасности часто лежит не на разработке, а на девопсах или сисадминах. Они смотрят, как построить серверную инфраструктуру, чтобы ее нельзя было взломать. Иногда в больших компаниях отдельно под приложение создается специалист по кибербезопасности. Но вообще это делают админы.

Привлекаются ли сторонние подрядчики к разработке государственных цифровых сервисов?

Да, есть компании, которые что-то делают на pro bono основании. EPAM делал приложение Дія и его серверную часть. Сейчас они передают это государству.

Как происходит разработка новых фич? Кто является product owner в процессе разработки?

Мы работаем по agile. Есть стендапы, есть продакт оунеры, продакт менеджеры, QA менеджеры. На этапе разработки программисты совместно с нами решают, как будет работать функционал, показывают его. Время одного такого цикла разработки — неделя-две. Когда он закончен, тестировщики выкидывают приложение на тест, проверяют. Потом делается бета-тест. У нас есть закрытая группа бета-тестировщиков — они со всех сторон делают стресс-тестирование, нагрузочное тестирование, проверяют фичи. Всё это собирается, идет на второй круг, дорабатывается, еще раз перепроверяется и потом уже выкатывается на продакшн. Стандартный протокол разработки программного обеспечения по скраму или agile — разработка, альфа-тестирование, бета-тестирование, продакшн.

Во сколько государству обходится деятельность министерства цифровой трансформации и на что министерство тратит деньги?

Насколько я помню, у нас бюджет на год примерно 150 миллионов гривен. Из них львиная доля — зарплаты, около 127 миллионов. На многие проекты в бюджете не нашлось денег, поэтому некоторые нововведения делаем за собственный счет, а также привлекаем техническую помощь и донорские деньги.

Донорские деньги от кого?

Есть организации, которые помогают: USAID, посольства Канады, Норвегии. ЕС активно помогает — дает большую часть денег на инструменты, связанные с прозрачностью. Есть программа TAPAS, есть программа EU for Digital.

В условиях ограниченного финансирования как определяете приоритетные проекты? Чего ждать в ближайшее время?

Главный приоритет — Дія и все, что связано с электронными госуслугами. Недавно выпустили новую версию, в которой есть страховка автомобилей. Иногда приходится действовать не по плану: когда случился коронавирус, мы быстро сделали для Государственной службы занятости электронную форму подачи заявки на пособие по безработице. В ближайших приоритетах — добавить в Дію налоговый номер (ИНН), штрафы за нарушение ПДД. Также скоро добавим регистрацию места жительства — многие люди жалуются, что вместе с ID-картой приходится носить бумажку с регистрацией.

В своей презентации «Видение развития IT-индустрии Украины» вы указали, что надо привести украинское законодательство в соответствие с европейскими стандартами в плане защиты персональных данных. Что именно вы планируете изменить? На каком этапе находится законопроект, о котором вы говорили несколько месяцев назад?

Мы хочем внедрить в Украине аналог GDPR. У нас есть “Закон о персональных данных”, но он устарел, он не регулирует, как бизнесу работать с этими данными. Сейчас в Комитете ВР по цифровой трансформации есть группа, которую возглавляет Егор Чернев, они работают над текстом законопроекта. Хотим принять его до конца года. Но вопрос сложный, он в себя всё включает — данные сейчас повсюду. Мы анализировали опыт других стран, есть даже первая версия текста законопроекта, но он пока далек от финальной версии. Нельзя просто взять европейский закон о защите персональной информации и просто перевести его — все намного сложнее, хотя мы и такой вариант рассматривали. В Европе GDPR готовился 5 или 6 лет, а потом ещё 3-4 года заняла его имплементация, пока он не заработал.

В той же презентации вы представили проект электронного резидентства — что-то вроде того, что есть в Эстонии. Украинцы, кстати — среди лидеров по регистрации эстонского резидентства. На каком этапе этот проект сейчас? Бету планировали запустить уже весной.

Да, были планы запустить весной. Но нужно сделать много законодательных изменений. Мы подготовились в техническом плане — у нас почти готов сайт с возможностью регистрации и так далее. Я думаю, что первых резидентов начнем принимать через месяц-два. Через неделю-две выйдем на Кабмин с постановлением, которое будет регламентировать как это будет работать на первом этапе — какие услуги будут доступны для е-резидентов через этот механизм. Но чтобы дать возможность работать на полную — открыть ФОП или счет онлайн, не приезжая в страну — нам надо внести изменения в законодательство. Думаю, осенью е-резидентство заработает в полноценной версии.

Какие ключевые возможности будет давать е-резидентство?

Наша первая цель — упростить взаимодействие иностранных физлиц с государством.  Например, человек часто бывает в Украине и снимает квартиру или имеет деловые отношения. Мы хотим, чтобы в первой версии версии резидентства такие люди могли получить налоговый номер, электронную цифровую подпись, открыть счет, арендовать машину, получать нотариальные услуги. Но наша конечная цель — сделать так, чтобы человек мог открыть бизнес, даже не приезжая в страну.