Додаток «Дія»: кінець чиновницької диктатури або короткий повідець?

У вівторок, 5 травня, один з найпопулярніших месенджерів — вайбер (Viber) — став офіційним партнером програми «Дія» та Міністерства цифрової трансформації.

У вайбері тепер є цілих чотири спільноти — власне додатка «Дія», канал глави Мінцифри Михайла Федорова і два освітніх канали — «Дія. Цифрова освіта» і «Дія. Цифрова освіта для вчителів».

Додаток «Дія» (Держава і Я) — можна сказати, головний механізм для реалізації амбітного проекту «Держава в смартфоні». Українцям обіцяли, що вже цього року половину основних послуг держава надаватиме в онлайн-форматі, а у 2024 році кількість послуг сягне 100%.

Додаток «Дiя» став доступним для завантаження з початку лютого, першими в ньому були доступні електронні водійські права. Тоді багато користувачів скаржилися, що застосунок випустили в світ сирим і неповоротким, а ідея забезпечити українців електронними підписами в смартфоні або планшеті вбачається сумнівною з точки зору кібербезпеки: MobileID, на відміну від BankID, є небезпечним, тому що вся ідентифікаційна інформація розташована на SIM-карті, а вона захищена погано.

Тим часом спектр послуг, які може надати додаток «Дiя», постійно розширюється. Ось про деякі з них ми і поговоримо.

Паспорти і кабінети в додатку «Дія»

22 квітня в застосунку «Дiя» стали доступними електронні паспорти, щоправда, не всі, а тільки документи у формі ID-картки. За словами міністра Мінцифри Михайла Федорова, QR-код дасть можливість безпечно перевірити, чи дійсним є електронний варіант документа.

Можна буде не носити з собою оригінал документа і використовувати паспорт з телефону для багатьох цілей: пред'явити разом з квитком на літак або поїзд, забронювати номер у готелі, забрати посилку на пошті, підтвердити вік у магазині або засвідчити особу в правоохоронних органах, провести банківську операцію чи отримати послуги зв'язку. Нарешті, для того, щоб отримати необхідні державні послуги в самому додатку «Дія».

А 27 квітня в застосунку запустили електронний кабінет громадянина. У ньому зібрана інформація, що міститься в різних державних реєстрах, — електронні документи, дані про нерухомість, бізнес, землю, водійські права і документи на машину. Цей список буде розширюватися.

«Хочемо виключити необхідність надання паперової довідки з реєстрації місця проживання, — коментує новації керівник проекту «Дія», радник міністра Мінцифри Мстислав Банік. — Для реалізації е-прописки розробляємо сервіс перевірки знеособлених даних про реєстрацію/зняття з реєстрації місця проживання/перебування особи, яка має паспорт громадянина України/посвідку на постійне проживання з безконтактним електронним носієм за унікальним номером запису демографічного реєстру. У роботі модернізація веб-порталу «Реєстр територіальних громад», з якого можна буде отримувати інформацію про зміну реєстрації місця проживання (перебування) фізичної особи».

Сховище на хмарі

Глава Мінцифри Михайло Федоров вважає, що кожен повинен знати, які відомості на нього має у своєму розпорядженні держава, і це, за його словами, якраз забезпечує безпеку громадян. Наприклад, якщо документів на право власності немає в електронному реєстрі, то вони є тільки в архівах, і це підвищує ризик піддатися рейдерським атакам або стати жертвою шахраїв.

Однак більшість потенційних користувачів додатка «Дія» якраз і боїться шахраїв, які можуть дістати дані про них, зібрані в електронному кабінеті.

Мстислав Банік пояснює, що електронний кабінет — це не якесь постійне сховище інформації:

«Документи у застосунку «Дія» не з'являються там самі, вони формуються автоматично на основі даних з реєстрів ДМС та МВС, які вже наявні в базах. Формування здійснюється після вашої добровільної ідентифікації й авторизації. Ви при проходженні авторизації вказуєте свої персональні дані та паролі. Застосунок «Дія» не має доступу до фінансових даних. Не зберігає інформацію. Вона розформовується автоматично, якщо повністю вийти із застосунку. Захист персональних даних в мобільному додатку «Дія» виконано за найкращими практиками безпеки для рішень такого типу, використаний підхід «глибокого захисту» (defense-in-depth). Також проведено відповідні пен-тести, тобто тестування безпеки додатка.

Архітектура «Дії» побудована таким чином, що на серверній частині програми не здійснюється постійне зберігання персональних даних користувачів. При цьому інформація в каналах передачі даних передається в зашифрованому вигляді, а на деяких етапах — використовується подвійне шифрування. Усі сервера мобільного додатка «Дія» знаходяться в Україні. Тобто ніяка інформація про користувачів не йде за кордон. Серверна частина системи розгорнута у хмарній інфраструктурі, яка має необхідні сертифікати безпеки, у тому числі КСЗІ».

Начебто все звучить переконливо. Ми не беремося судити про надійність технічного боку захисту даних — для цього потрібно бути фахівцем з кібербезпеки. З точки зору простого користувача можна сказати, що справді зручно мати під рукою інструмент, що рятує від біганини по інстанціях, оформлення купи довідок. Однак цей інструмент може додатково виконувати й інші функції, куди менш безневинні.

Про це — в наступному матеріалі.