Разработчик Дії об "Украине в смартфоне": в США наши достижения называют революцией. Интервью

29 минут
29,8 т.
Мстислав Баник рассказал о проекте 'государство в смартфоне'

На масштабном мероприятии Diia Summit 2.0, которое проходило в Киеве в мае, идеологи и исполнители амбициозной цели – создания "государства в смартфоне" – отчитывались о достижениях и анонсировали новые разработки и услуги. Среди них – и заявленный президентом Зеленским переход к режиму "paperless" уже ко Дню Независимости.

Насколько реально сделать государственные услуги действительно удобными и доступными? Что уже удалось сделать в направлении цифровизации страны и когда украинцы смогут голосовать на выборах онлайн? Сколько стоило государству создание приложения Дія и способно ли оно защитить персональные данные граждан? Об этом, а также об особенностях работы приложения "Вдома", перспективах цифровых паспортов и "революционных достижениях" Украины OBOZREVATEL рассказал Мстислав Баник, руководитель по развитию электронных услуг в Министерстве цифровой трансформации.

Видео дня

– Недавно президент Зеленский пообещал: уже к этому Дню Независимости Украина перейдет в режим "без бумаг" и ни один чиновник не сможет требовать у человека ни единой справки. Насколько это реально вообще?

– Абсолютно реально. На самом деле государство в различных формах знает о человеке все. И отказ от справок обеспечивается налаживанием взаимодействия между государственными реестрами. Когда есть возможность идентифицировать человека по документу, по тому же цифровому паспорту, в частности, каждый чиновник может получить необходимые данные об этом человеке из реестров.

Кроме того, мы сейчас работаем над тем, чтобы часть морально устаревших справок убрать вообще. Потому что, например, справку о составе семьи, вроде как и убрали, но нотариусы почему-то до сих пор пытаются ее требовать. Если же госслужащие будут иметь доступ к данным – режим "paperless" становится абсолютно реальным.

Однако параллельно с отказом от справок государство должно работать с наполненностью реестров данными. Потому что если речь идет о недвижимости, то соответствующий реестр, который был запущен в 2013 году, имеет лишь около 30% данных.

– И как эту проблему можно решить?

– Помочь в этом могут сами украинцы. На Diia Summit 2.0 17 мая мы презентовали услугу по внесению данных о своей недвижимости. Человек просто онлайн заполняет соответствующие поля в специальной форме своими данными, эти данные потом разбираются и загружаются в реестр. Дополнительно нужно загрузить скан документа о праве собственности – и БТИ уже на месте сверит полученную информацию с тем, что у них есть в бумажных архивах, запрувит эту информацию – и она появится в реестре.

Собственно, проблема наполненности реестров сейчас стоит в Украине достаточно остро. Поэтому для нас очень важно участие именно граждан, которые предоставят свои документы для того, чтобы мы их верифицировали и они появились в реестрах.

С этой проблемой мы столкнулись, например, когда запускали электронные удостоверения водителя. Вы, наверное, читали тогда, что всего в Украине насчитывается 9,5 миллионов водителей. Мы сначала могли отразить 2,5 миллиона. Добавили фотографии ID-карточек и биометрических загранпаспортов – стало 5,5 млн. Все остальные документы были выданы до 2014-го года, и не все они были в реестре. Эти данные как-то там в Excel сначала с бумаги мигрировали, затем с Excel мигрировали в общий реестр, что-то потерялось, где-то кто-то при ручном вводе путал данные... В итоге люди получали проблемы. У нас в министерстве есть человек, у которого в водительском ламинированном удостоверении совпадали только фамилия, имя и отчество. Все остальные – не совпадали. Ни категории, ни даже орган выдачи.

Мстислав Баник

– А как такое может быть?

– Сначала была картотека. Затем в МРЭО взялись эту картотеку переводить в Excel, и где-то, очевидно, спутали с другим человеком. Потому что большое количество документов. И все – так оно и попало в реестр.

Но для водительских удостоверений и техпаспортов мы тоже создали возможность самостоятельной верификации. Человек просто в кабинете водителя заполняет данные, фотографирует документ с обеих сторон. А компетентная структура уже находит соответствие в бумаге где-то в архивах или фрагменты данных в реестре по этому документу, добавляет поля недостающие – и верифицирует документ.

– Возвращаясь к "государству без бумаг". Не ощутят ли определенных неудобств, скажем, пенсионеры, подавляющее большинство из которых вряд ли сможет самостоятельно загружать какие-то документы, чтобы восполнить пробелы в реестрах?

– Мы оффлайн в любом случае не убираем, то есть мы не дискриминируем. Но мы стараемся сделать его максимально удобным. Ни один государственный орган не будет иметь права требовать от человека каких-то справок. Вместо этого чиновники должны обратиться в орган, который ту или иную справку выдает – и получить информацию оттуда, если по каким-то причинам ее нет в реестре.

– Вы упомянули о дискриминации. Не была ли, по вашему мнению, дискриминирующей ситуация с выплатой помощи от государства "ФОПам", пострадавшим вследствие карантина? Ведь заявления на получение тех 8000 гривен принимались только через приложение Дія, а время на их подачу тогда, в декабре, было ограничено...

– Эта услуга в принципе разработана электронной. В отличие от большинства классических услуг, которые предоставляет государство. Обычно берется бумажная основа, то, что работает в оффлайне, дальше мы делаем реинжиниринг – и эта услуга появляется в онлайне. В этом случае речь идет о переработке уже существующего "багажа".

С получением 8000 помощи ситуация иная. Услуга цифровая, офлайновых аналогов у нее нет. И мы просто пошли тем путем, по которому движется весь мир: новые сервисы вводятся по такому принципу.

Услуга по получению восьми тысяч гривен, на мой взгляд, является очень показательной с точки зрения использования электронных услуг. Поскольку в декабре, когда была первая волна, за две недели мы получили более 480 тысяч заявлений. И это говорит о том, что когда человеку надо, когда он видит личные преимущества или выгоду в этом – он с легкостью начинает пользоваться именно цифровой услугой.

– А еще это говорит о том, что человек имел доступ к интернету. А такая возможность в Украине до сих пор есть не у всех. Как продвигается анонсированное министерством расширение покрытия?

– Наша цель – к 2023-му году обеспечить покрытием 95% населения и автодорог скоростным интернетом. Для населенных пунктов речь идет как о мобильном, так и о фиксированном оптическом интернете, для дорог – только о мобильном, конечно.

Что мы для этого делаем? Как вы знаете, в прошлом году произошло перераспределение частот в диапазоне 900 МГц, которое позволило мобильным операторам покрывать большую площадь скоростным интернетом. Кроме того, крупнейшие операторы мобильной связи объединили усилия – и, насколько мне известно, в труднодоступных местах иногда устанавливают оборудование нескольких операторов на одной мачте. Это позволяет не тратить лишних ресурсов.

Сейчас завершился прием заявок на получение государственной субвенции для подключения фиксированного интернета в объектах социальной инфраструктуры в селах. Проще говоря, общины могут обратиться с заявлением о подключении к интернету больницы, школы, детского сада и т.д. и указать ориентировочную стоимость такого подключения.

Что имеем на выходе? На выходе, по сути, оператор фиксированного интернета заходит в территориальную общину и, развивая бизнес, он будет уже строить дальше там сеть. А люди смогут к ней подключаться.

Мы уже имеем достаточно неплохую статистику по населенным пунктам, в которых появился мобильный интернет.

Только за апрель 2021 года мобильные операторы подключили к 4G 1739 населенных пунктов, в 575 городах и селах 4G появился впервые, 205,6 тыс. украинцев получили 4G впервые. Благодаря реализации проекта LTE900, который стартовал в июле 2020-го – более 9,1 млн украинцев получили 4G (15 тыс населенных пунктов). При этом более 2,4 млн украинцев получили 4G впервые (7 тыс. населенных пунктов). В целом по стране 23 708 городов и сел уже имеют 4G.

Кроме того, есть еще и амбициозные цели по фиксированному интернету.

Разработчик Дії об "Украине в смартфоне": в США наши достижения называют революцией. Интервью

– Почему же тогда было так много жалоб от предпринимателей, которые не смогли получить эту помощь от государства?

– Знаете, мы все эти жалобы разбирали. И я могу пройтись по ключевым из них.

Самая большая группа жалоб поступала от людей, которые в действительности не соответствовали требованиям, установленным для получения этой услуги. К примеру, у претендента на получение материальной помощи в течение последних трех месяцев основным должен был быть КВЭД из утвержденного перечня, у него не должно было быть задолженности по уплате ЕСВ и тому подобное. Но было немало людей, которые за месяц до подачи заявления изменили КВЭД – и потом возмущались "мне не дают получить помощь". Либо не платили социальный взнос – и соответственно не попали в выборку от Пенсионного фонда как предприниматели, имеющие право на получение помощи.

Обращения от людей, которые реально не подходили под утвержденные требования, составляли где-то 80-90% от всех жалоб. Остальные получили отказ по другим причинам. Например, наемные работники некоторых ФЛП или юрлиц не получили помощь, потому что работодатели вовремя не подали соответствующую отчетность. Дедлайн подачи отчетности по наемным работникам был 10 декабря. А мы, например, имеем сеть кинотеатров, где работодатель по одному юрлицу подал отчетность 17 декабря, по другому – 24-го. Соответственно, их работники не попали в выборку от ПФУ, составленную в соответствии с действующим законодательством. И они начали выходить в СМИ с заявлениями, что мы не даем им возможности получить те 8000. Хотя на самом деле виноват в этом работодатель.

Затем Пенсионный фонд успел сделать еще новую выборку тех, кто попадал, и, кажется, там подача заявлений была до 31-го декабря, по-моему, 31-го декабря утром у нас была последняя выборка.

Или был еще массовый кейс со строительной сетью. Там состоялось приобретение одного юридического лица другим. И одно из них находилось в процессе ликвидации. С одной стороны, люди, которые там работали, еще не стали работниками нового предприятия, а старое находилось в процессе ликвидации. А наемные работники с ликвидируемого предприятия, не могли подаваться на помощь... Там мы тоже придумывали "колеса", чтобы помочь этим людям.

И есть еще одна печальная, на самом деле, вещь. Для получения услуги необходимо ответить на два основных вопроса. Первое – являетесь ли вы сейчас наемным работником или "ФОПом". И второе – укажите IBAN-счета, на который зачислить средства.

Мы даже сделали подсказку. В 52 банках взяли инструкцию, как узнать IBAN. Отдельно ее разместили, дали ссылки, мол, если не знаешь свой IBAN – жми сюда и узнай, где его посмотреть. И знаете что? Были люди, которые говорили: "Я воспользовался генератором IBAN и не смог получить средства, потому что оказалось, что он не сгенерировал мой счет". Или обращения вроде "я указал IBAN-счет моей сестры и получил отказ".

Хотя речь шла только о том, чтобы указать номер счета, на который государство зачислит средства.

Мы как бы максимально упростили, но, к сожалению, было много таких.

И совсем мало жалоб касались непосредственно цифровизации. Имею в виду предпринимателей, которые зарегистрировались еще до 2001 года, когда произошла смена кодификатора КВЭД. И где-то при изменении налоговая не провела автоматическую смену старого КВЭД на новый, поэтому человек не смог получить помощь – из-за отсутствия в реестре актуальной информации.

Несколько обращений таких было. Но они помогли выявить проблему – и в следующий раз эти люди могут подаваться без проблем.

– Много вообще проблем выявляется в ходе цифровизации? И всегда ли охотно министерства делятся своими реестрами – или, возможно, кто-то их "зажимает"?

– Не могу сказать, что кто-то "зажимает" реестры или еще что. Вопрос скорее в технической готовности к подключению и вовлеченности команды.

Когда мы запускали водительские удостоверения, в Министерстве внутренних дел провели незначительные доработки и запустились. Так же – реестр миграционной службы. Им пришлось провести некоторые обновления. Потому реестр, например, не работал ночью. И пропускную способность надо было увеличивать. Потому что когда в реестр обращается, условно говоря, тысяча регистраторов – это одно дело. А когда цифровым документом пользуется 5 миллионов человек – совсем другое...

Но есть совсем устаревшие реестры. И с ними надо хорошо поработать.

Разработчик Дії об "Украине в смартфоне": в США наши достижения называют революцией. Интервью

– Как вы их связываете, если они написаны на разных языках, у них разная логика?

– Кроме совершенствования по пропуску, который понятен, есть такая вещь, которая называется "Трембита". Она соединяет между собой различные реестры и обеспечивает между ними безопасный обмен данными. И в основном нужны лишь незначительные доработки в существующих реестрах, чтобы с этой "Трембитой" работать.

– Сколько реестров в целом существует в Украине?

– 341 реестр. Все они разные, к сожалению. Но ключевые из них – более 80, – уже усовершенствованы, подключены к "Трембите", обмен между ними налажен. Впрочем, работы еще много. Поскольку у государства, к сожалению, была привычка в каждом органе власти создавать отдельный реестр.

– Это понятно. Они стоят миллион долларов – ясно, что это выгодно. И потом еще "роялти". Скажите, выявляли ли вы какие коррупционные кейсы?

– Было. Основной и наиболее показательный коррупционный кейс был по реестру ГАСИ...

– Там роялти было большое или стоимость реестра?

– Хуже. Когда мы подобрались к строительным услугам, выяснилось, что реестр ГАСИ находится в Европе. Более того – он в частной собственности. Пришлось проводить отдельную спецоперацию СБУ совместно с другими государственными органами для того, чтобы перевезти этот реестр в Украину.

Мы его перевезли, развернули – и увидели, что там большое количество backdoor, "черных ходов", которые дают возможность делать какие-то коррупционные вещи. Там была их целая куча, начиная от простого. Например, базовое сообщение. Оно может произойти таким образом: еще в старом реестре человек автоматически в течение там десяти дней мог получить положительный ответ на свое малое строительство, например, гараж. Но люди не получали соответствующих уведомлений. При этом не все знали, что это происходит автоматически и такие уведомления и не должны были приходить. Вместо этого срабатывал скрипт, его видел специально обученный человек. Он звонил гражданину, обращался – и говорил: ничего не получается, но есть один вариант... И таких вещей было просто невероятное количество.

– Скажите, пожалуйста, мы через Дію сможем голосовать?

– Надеюсь, что в будущем – да. Сколько времени для этого понадобится – сложно сказать. Мы же с вами прекрасно понимаем, насколько это, во-первых, большая ответственность, а во-вторых – что это должно быть максимально безопасно и прозрачно, чтобы исключить возможность любых злоупотреблений, не допустить возникновения backdoor. Речь идет о высокой открытости и надежной защите информации одновременно.

Электронная демократия – это довольно широкое понятие. И онлайн-голосование – это ее вершина. Мы начали двигаться к электронной демократии по внедрению электронных петиций. Это базовый инструмент, к которому мы сейчас подключаем общины. Электронные петиции – это инструмент для людей, с помощью которого они могут влиять на местные власти. К счастью, петиции не анонимные, поэтому нам не надо выдумывать какую-то сложнейшую систему. Единственное требование – все должно быть безопасно. У нас есть Дія.Підпис, с помощью которого мы точно идентифицируем человека. Поэтому он, например, не сможет проголосовать за ту или иную петицию дважды и так далее.

Но от петиций до выборов онлайн – долгий путь. Потому что ответственность в плане голосования – чрезвычайная. Мы не можем допустить ни одного неверного шага, чтобы ничего не дискредитировать и чтобы все точно было честно.

Разработчик Дії об "Украине в смартфоне": в США наши достижения называют революцией. Интервью

– На Diia Summit 2.0, который состоялся в мае в Киеве, Минцифра рассказала о том, что уже сделано. А назовите нам, скажем, 5 самых фантастических, удивительных услуг, которые вы запустите со временем, о которых мечтаете. Что-то такое, чем Украина будет гордиться, чего нет даже в Эстонии или США?

– Маленькая ремарка. В прошлом году из Эстонии, которая считается пионером вообще в электронных услугах, к нам приезжала делегация. И мне понравилось высказывание одного из членов этой делегации, который сказал: "Да, мы стали пионерами, запустили электронные услуги, но это было давно". Они приезжают к нам обмениваться опытом. В частности, мы консультировали эстонцев, как запускать электронные услуги в мобайл.

Что касается США, мы много общаемся с иностранными партнерами, в том числе и со Штатами. И там есть человек, который много лет работает именно на государственной службе. Так вот, пару месяцев назад мы общались с этим человеком в Zoom – и он сказал, что если бы в США запустили хотя бы половину того, что уже сделали мы, для них это была бы чрезвычайная революция.

Так вот, что касается наиболее революционных вещей, которые мы будем запускать или даже уже запустили. Первое – это Дія. Підпис. Это цифровая подпись, которая позволяет подписывать смартфоном через Дію. Мы генерируем ключ, а подпись происходит с помощью сверки лица с лицом в демографическом реестре, и пин-кода.

Почему это важно и революционно? Потому что это открывает двери к мобайлу. Держать электронный ключ в облачном хранилище – не самый безопасный вариант. А здесь ты можешь с помощью мобильного телефона получить любые государственные услуги.

Сейчас в Украине в целом создано 7,2 миллиона цифровых ключей. Большинство – это люди, которым такие ключи нужны для электронного документооборота: государственные служащие, ФОПы, бухгалтеры, директора предприятий... А спросите рядового гражданина, знает ли он, что такое электронный ключ? Большинство ни за что не догадается, что это такое. А это большая преграда для построения "государства в смартфоне". В свое время этот вопрос активно дискутировался в той же Эстонии – там у них эти ключи физические.

Мы сделали максимально простую и понятную для людей вещь. Вот у тебя есть Дія, ты можешь отсканировать QR-код и подписать своим лицом, грубо говоря. Поэтому это чрезвычайная революция, которая дает нам очень много возможностей.

Второе, революционное, как по мне, достижение, которое будет продолжаться – автоматический ФЛП. Мы полностью убрали чиновника из процесса получения государственной услуги. Там сейчас еще осталась обработка в налоговой, но и это мы со временем уберем. И будем дальше расширять объем услуг. Сейчас автоматическая только регистрация, но в ближайших планах – автоматическое внесение изменений.

Сейчас открытия ФЛП занимает считанные минуты. Человек заходит на портал, заполняет десять полей, подписывает лицом – и как только система на стороне Минюста сверила соответствие всех данных, происходит регистрация. Далее автоматом заявление идет в налоговую. И это большая революция вторая.

– А закрыть так же ФЛП можно?

– Автоматически – нет. Но открыть и внести изменения, в частности, и по КВЭД, которые мы запустили еще 15 апреля прошлого года – можно онлайн уже сейчас.

Третье важное наше достижение – это как раз история с paperless. Для граждан это означает, что у них не будут требовать справки и дополнительные документы. А для государства революционность этой истории заключается в обмене данных между реестрами. Мы хотим создать такие условия, когда человек, который приходит в любой государственный орган для получения услуги офлайн, мог бы просто дать отсканировать QR-код на своем паспорте в Дії – и ему больше ничего не надо было бы делать.

– Иными словами, речь идет о том, что один департамент МВД сможет взять справку о несудимости человека у другого департамента МВД, не гоняя самого человека, не вынуждая ждать создания этой справки или платить за ускорение?

- Именно так. Это важнейшая из мелочей, которые мы хотим запустить.

Когда мы начинали работать над Дія, ощущали определенное недоверие со стороны других государственных органов и структур, для которых диджитализация – это было что-то новое и непонятное. Госструктуры привыкли работать в старой парадигме. Но сейчас они все вовлечены в процесс. И на последнем саммите замминистра МВД Гончаров, например, анонсировал запуск услуги по замене водительского удостоверения онлайн. Человек просто заказывает новый документ через Дію – и получает его на почту. Ему даже из дома выходить для этого не потребуется.

Эти наши достижения – это только начало. Потому что какой бы классной не была победа, ходить с транспарантом о достижениях до того, как они будут масштабированы на все сферы – рано.

Наша цель – поставить это все на поток. Мы убираем чиновника в отдельных процессах. Следующий шаг – автоматизация максимального количества услуг и уборка чиновника оттуда. Так, сейчас уже 4 из 12 строительных услуг предоставляются без участия чиновников – в планах убрать их из строительных услуг вообще. Мы хотим масштабировать те принципы, которых уже достигли с одними министерствами – на все органы власти.

Разработчик Дії об "Украине в смартфоне": в США наши достижения называют революцией. Интервью

– Один из ключевых вопросов, который беспокоит людей в контексте цифровизации – это вопрос безопасности. Как вы избегаете этих backdoor’ов, как их проверяете? Как можете гарантировать людям, что их персональные данные не появятся завтра в продаже на Петровке или в даркнете? Мы же все прекрасно знаем, сколько там продается баз данных из государственных реестров, в частности, и современных.

– Ну, во-первых, данных паспортов или любых других документов у Дії на сервере нет...

– Вопрос касался системы в целом, а не Дії.

– В целом, когда мы подключаемся к новому реестру, наши специалисты проводят его аудит – и видят, есть ли какие-то backdoor’ы, риски непонятные, еще что-то. Кроме того, прежде чем мы начинаем работать с реестром и предоставлять услуги, связанные с ним, начинает работать такая простая вещь, как логирование. Ранее государственные служащие могли заходить в реестры бесконтрольно и не только скачивать информацию, а порой также вносить изменения в реестр. И никто не мог их потом вычислить. Никаких записей не происходило.

Сейчас мы ввели логирование. И каждый вход, каждое действие фиксируется с КЭБом соответствующего чиновника.

Кроме того, мы ограничили доступ к реестрам. Ранее к тому же строительному реестру имело доступ огромное количество людей, но мы большинство из них лишили такой возможности и оставили для работы с данными реестра только уполномоченных верифицированных лиц.

Прежде всего мы заботимся о безопасности. А уже потом подключаем к Дії различные сервисы, которые на этом строятся.

Наибольший риск пока – это человеческий фактор. Даже в том скандале, когда Дію обвиняли в сливе данных, сработал именно человеческий фактор. И с Дія та хайповая история никоим образом не была связана. Министерство внутренних дел по тем данным, которые были слиты по водительским документам, даже нашли человека, который был причастен к сливу. Он ко времени, когда были слиты данные, у них уже даже не работал.

Поэтому безопасность заключается в логировании, уменьшении количества доступов и в ответственности.

– Среди распространенных претензий к Дії – то, что само приложение было запущено уже давно, но масштабный поиск багов и выявления глюков начинается только сейчас. Почему так?

– Не только сейчас. Мы запустились с прошлого года. Первую версию Дії, в том числе и архитектуру всей безопасности, контрбезопасности нам разрабатывала компания EPAM. Это мощная международная компания с большим офисом в Украине. И поверьте: вопросу безопасности они уделили огромное внимание. Потому что среди клиентов EPAM – мощные европейские компании. И если бы они допустили уязвимости с точки зрения безопасности в нашем проекте – они бы потеряли свое имя и репутацию.

Когда мы взяли Дію на себя – продолжили работать с этой же архитектурой. Мы привлекали европейские компании, которые искали уязвимости в системе. Поиском уязвимостей занимались и наши СБУ, и киберполиция. А в декабре 2020 года мы провели Bug Bounty. Агентство по международному развитию США (USAID) выделило миллион гривен призового фонда: за каждый уровень уязвимости предусматривалась выплата определенной фиксированной суммы. Подрядчиком по организации Bug Bounty USAID определил авторитетную американскую платформу Bugcrowd, которая специализируетсяя как раз на кибербезопасности. Эта компания и должна была выбрать участников.

В Bugcrowd нам предложили формат проведения этого Bug Bounty. Они проанализировали ситуацию и пришли к выводу, что на том этапе нет смысла приглашать к участию всех. Вместо этого определили критерии, которым должны соответствовать специалисты по кибербезопасности, которые будут искать уязвимости. Я уже всех этих критериев не помню. К примеру, там было требование, что претендент должен иметь опыт нахождения уязвимостей высокого уровня за последние полгода. То есть, речь шла о самом высоком уровне компетенций.

Далее Bugcrowd отобрала на своей платформе таких специалистов. Мы создали им копию Дії, сгенерировали туда два миллиона фейковых пользователей – и предоставили им доступ к этой копии. Они начали искать уязвимости. Конечно, мы волновались. Потому что вроде как и обо всем позаботились, и пентесты прошли, и все супер – но волнение было.

– Нашли они что-то?

– Никаких уязвимостей, которые были бы связаны с персональными данными, с утечками или чем-то таким они не нашли. Был найден, например, краш приложения, когда оно сворачивалось или закрывалось при нажатии каких-то кнопок. Или по VIN-коду можно было узнать информацию о страховке, об автогражданке. Но это публичная информация, которая есть на сайте Моторного (транспортного) страхового бюро Украины.

Других уязвимостей не было.

Так мы убедились, что система надежно защищена. Хотя были готовы, что действительно что-то может найтись. Ведь работали лучшие специалисты по кибербезопасности в мире – но им ничего не удалось найти. Мы подтвердили, что Дія безопасна.

Но это та история, когда нельзя убедиться в безопасности системы раз и навсегда. Проверять надо на протяжении всей истории существования приложения.

Сейчас мы запустили новые продукты, у нас появился Дія.Підпис, что очень важно с точки зрения как раз безопасности. Поэтому сейчас мы анонсировали новый долгосрочный Bug Bounty. Он продлится полгода. Там тоже будет призовой фонд. Но в этот раз мы решили не ограничивать никого – присоединиться может любой, кто захочет попробовать найти какие-то уязвимости в Дія.

Так работает весь мир. Специалист находит уязвимость, обращается к технической команде, техническая команда проверяет – и человек получает призовой фонд, а найденная им уязвимость исправляется. Все это потом публикуется в отчетах, которые есть в открытом доступе.

– Сколько денег вообще потрачено на создание Дії?

– Я уже упоминал, что первую версию нам делала EPAM. Делали они это совершенно бесплатно – на патриотизме. Антонюк (Юрий Антонюк, председатель "EPAM Украина". – Ред.) выделил команду специалистов компании, которая работала с нами.

– А если бы они работали за деньги – о какой сумме речь бы шла?

– По их оценкам, только зарплаты составили бы примерно 500-600 тысяч евро.

– То есть, себестоимость Дії – где-то до миллиона евро?

– Да. Но EPAM сделали это бесплатно. Это была принципиальная их позиция. Плюс они имиджево выигрывали, сделав огромный шаг в направлении диджитализации страны. И знаете – мне очень понравилось с ними работать. Мы же понимаем, какого уровня там специалисты. Сначала мы работали с ними четко в рабочий график. А дальше ты, бывало, пишешь в технический чат какой-то вопрос в час ночи – а тебе тут же отвечает главный архитектор EPAM. Говорю: Евгений, что вы здесь делаете, уж ночь, у вас же семья. А он отвечает: просто не могу остановиться... Это реально было очень классно.

А дальше мы создали государственное предприятие "Дія", в котором работают инхаус-разработчики. У нас уже нет тендеров на внешних подрядчиков, все делают наши специалисты. Цена вопроса – исключительно в их заработной плате.

– Зарплаты у них рыночные?

– Да. Они чисто на зарплате.

– Каков годовой бюджет ГП "Дія"?

– Честно говоря, не помню точных цифр. Однако это не засекреченная информация, она есть в открытом доступе.

– Сколько людей работает в этом ГП?

– Разработчиков, мне кажется, от 20 до 30, но есть ведь еще AdminStaf, который работает с бумагами, документами, другие задачи выполняет.

– То есть это не большая компания?

– Да. Но все драйвовые и все кайфуют от того, что мы делаем. У меня в команде в министерстве основной критерий отбора людей – чтобы они на самом деле получали удовольствие от нашей работы. Поэтому у нас нет ни одного человека, который работает с 9 до 18, а после – не отвечает на звонки. Все почти круглосуточно на связи, и я в своей команде воспитываю понимание: если ты работаешь в министерстве – ты обязан чувствовать ответственность за то, что делаешь. И делать что-то действительно значимое, а не просто ходить на работу.

Разработчик Дії об "Украине в смартфоне": в США наши достижения называют революцией. Интервью

– Давайте поговорим о приложении "Вдома". Оно реально имеет очень много странных глюков. У кого-то не скачивается. Кто-то не может зарегистрироваться. У кого-то "теряются" результаты тестов – и человек, которому в лаборатории подтвердили, что COVID-19 у него нет, не может снять режим самоизоляции... При этом непонятно, к кому обращаться. Потому что в техподдержке посылают в Центр общественного здоровья, а в ЦОЗ говорят: мы приложение не администрируем ...

– Была политическая воля сделать приложение, которое будет трекать. Мы изучили опыт других стран. Практиковать британскую историю, когда к человеку, который должен находиться на самоизоляции, по несколько раз в день приезжает полиция, не хотелось. Это слишком дорого и слишком сложно – для всех.

Так родился совместный проект, в котором участвует и Минздрав, и ЦОЗ как отдельная структура, и пограничники, и МВД... И мы в этом проекте отвечаем только за техническую разработку.

Если говорить, например, о снятии. Человек сдал тест. Лаборатория его результаты передает Центру общественного здоровья. ЦОЗ исправляет эти данные, унифицирует их (потому что каждая лаборатория тот же номер мобильного телефона, например, пишет в разном формате) – и загружает. А мы их сверяем – и на базе этого происходит снятие с изоляции.

Казалось бы, все просто. Но, к сожалению, никто не работает в этом направлении нормально. Нас забрасывают жалобами люди, которые получили письма и неделю не могут сняться с самоизоляции. Мы стараемся им в ручном режиме как-то помогать, но...

– Как? К вам нельзя достучаться. Ни одного контакта.

– Есть чаты, с помощью которых наш суппорт отвечает за нашу часть. Но мы не можем отвечать за ситуации, которые возникли на стороне ЦОЗ – не лучшей структуры для того, чтобы отрабатывать такие вещи.

И, чтобы вы понимали, обмен данными происходит не автоматически. Аккумулируют данные люди. И когда я говорю, что мы сожалеем, что приняли в этом участие и работаем с "Вдома" – я это говорю потому, что мы свою работу выполнили. Когда был баг с уведомлениями год назад – мы его исправили. Когда некоторое время назад возникли вопросы по регистрации, поскольку в De Novo, где у нас хранилище, в G Cloud произошел сбой оборудования большой и пока они его меняли, у нас в Борисполе "подвисли" 300 пассажиров из самолета, только что прилетевшего – мы сделали из этого выводы. И сейчас работаем над созданием параллельного хранилища, которое будет синхронизировано с существующим и обезопасит нас от повторения таких ситуаций... Мы усваиваем уроки. Но в случае с "Вдома", к которому причастна целая куча государственных органов, мы стали "мальчиками для битья": за все глюки, сбои и проблемы по лицу бьют только нас.

– Вы читали отзывы пользователей, скажем, в Play Маркете?

– Я знаю их, наверное, наизусть. И могу утверждать, что большинство этих отзывов – ложные. В каком плане? Никто не хочет, чтобы его трекали. Это естественно, ведь в нашем обществе существует убеждение, что любое государственное приложение – это некий "большой брат", который за тобой все время следит.

И где-то через месяц после запуска "Вдома" мы наблюдали массовое игнорирование людьми уведомлений приложения. Конверсия, то есть активность после отправки уведомлений фиксировалась на уровне 60%. При этом люди, которые их игнорировали, говорили: я ничего не слышу, мне не приходят никакие оповещения и так далее. Но только когда после отсутствия реакции на оповещение к людям начал выезжать патруль полиции, который проверял их пребывание дома – в первый же день конверсия стала 96%.

– Часто ли выезжает полиция в таких случаях? Как это вообще работает?

– Мы не трекаем человека все время. Сутки, кроме ночного времени, делятся на несколько слотов. И в случайное время в каждом тайм-слоте человек получает уведомления. Он делает фото, с которым подтягивается геолокация. Мы эти данные берем – и сверяем с адресом, который человек указал для прохождения самоизоляции.

Если после 5 уведомлений человек никак не реагирует и от него не поступает фото, данные автоматически передаются в Нацполицию. И ближайший патруль получает задание проверить самоизоляцию.

– Это реально работает сейчас?

– Реально работает. Есть примеры, когда ничего не происходит и полиция не реагирует. Но в большинстве случаев реакция есть. Полицейские могут позвонить человеку и выяснить, действительно ли он находится дома. А если патруль таки выезжает – конверсия вырастает мгновенно.

Другая распространенная претензия – не срабатывает фотоверификация. У нас есть такое понятие как "мастер-фото" – это та первая фотография, которую человек делает, чтобы подтвердить, что это он. Мы это мастер-фото ни с чем не сверяем. Но сравниваем с ним все последующие. И вот когда начинаешь разбираться, почему не срабатывает верификация, смотришь на мастер-фото – а там холодильник сфотографирован. И человек не может пройти верификацию последующую, потому что система не определяет, что это этот человек.

Были и совсем забавные случаи. Есть у нас кейс, когда человек своего младшего брата сфотографировал на мастер-фото и посадил дома на самоизоляцию...

– Как вы это выяснили?

– После обращения к суппорту – что-то там не сработало. Мы посмотрели мастер-фото – а там вместо взрослого мужчины 14-летний мальчик...

Я к чему веду. В начале у нас действительно были технические проблемы. Потому что мы имели очень мало времени на запуск и не успели все протестировать, в частности, те же уведомления или фотоверификацию. Но все эти вещи мы очень быстро починили. Реально очень быстро. И основная масса негатива по "Вдома" завязана как раз на том, что происходит на стороне ЦОЗ или лабораторий. У нас были случаи, когда человек нас просто насилует в течение 5 дней, говорит: моя лаборатория точно отправила результаты теста. А потом выясняется, что были государственные выходные – и лаборатория ничего не отправляла. Но людям же все равно, по чьей вине возникла проблема. И это правильно с точки зрения сервиса от государства – человеку безразлично, что там происходит в беке.

Но знаете, когда все хорошо, никто не пишет хороших комментариев. Пишут только плохое.

– Это тоже правда. У нас хорошее не принято писать. В конце концов, люди и на митинги в поддержку чего-то не ходят, только на протесты.

– Кстати, против нас уже и митинги были.

– Почему? "Билл Гейтс", "цифровизация", "чипы"?

– Берите выше. "Нет цифровом антихристу!". Помню, мы тогда не то что праздновали, но порадовались: наконец митинг, наконец признание.

– А если серьезно – уровень цифровой грамотности среди украинцев оставляет желать лучшего. Что с этим делать?

– Повышать этот уровень. Понимаете, та же история с 8 тысячами гривен – она же показательна. В том плане, что как только у человека появляется мотивация – все другие вопросы становятся не такими важными.

Людям свойственно считать – и я сам когда-то таким был, – что если они умеют пользоваться Фейсбуком и имейлом, значит, они имеют цифровую грамотность. Но это не так. И у нас есть отдельное направление работы – Дія.Цифрова освіта – направленное как раз на повышение цифровых навыков, в частности, у людей старшего возраста. Мы реализуем эту задачу в формате сериала, к которому присоединяются различные звезды. И просим показывать этот сериал своим бабушкам-дедушкам. Там разъясняются базовые вещи. Это очень важно и полезно.

Кстати, по цифровой грамотности – хочу привести забавный пример.

Мы тогда только запустили Дію – водительское и техпаспорт. И я ездил на один телеканал, они сняли сюжет об этих нововведениях, в котором журналисты расспрашивали у людей, слышали ли они об этом и как к этому относятся. Кстати, меня в том сюжете удивила бабушка, которая сказала, что то, что мы делаем – это супер, что ее время прошло, но за этим – будущее... Впрочем, сейчас не о ней. Среди людей, которых расспрашивали журналисты, был один человек лет 45-ти. Когда его спросили, как ему Дія, он сказал, что это очень классное приложение. Тогда журналист спрашивает: "Поставите себе?" – "Никогда в жизни. Не хочу, чтобы МВД узнало, которое у меня водительское удостоверение"...

Разработчик Дії об "Украине в смартфоне": в США наши достижения называют революцией. Интервью

Это как раз вопрос цифровой грамотности. Люди чаще всего предвзято относятся к Дія и не хотят ею пользоваться исключительно потому, что не понимают, как это работает. Мы стараемся объяснять, что у нас нет данных, которые можно украсть, они подтягиваются в Дію из соответствующих реестров. Или что прошел Bug Bounty. Но проблема в том, что если ты поедешь в любой райцентр за пределами Киевской области – ты можешь не найти там ни одного человека, который знает, что такое Bug Bounty.

– В свое время активно циркулировал слух, что над приложением "Вдома" кроме вас поработали еще и сотрудники спецслужб – и вставили туда прослушку и так далее. Понятно, что то же iPhone бы точно не пропустил бы ничего подобного...

– Смотрите, и в Play Маркете, и в App Store четко указано, какие доступы просит приложение. И когда человек говорит "вы меня трекаете", мы открываем App Store, где написано "ничего не требуется" или "требуется" FaceID ". Это же любой может посмотреть – это абсолютно открытая информация. Да и в настройках мобильного приложения это можно увидеть.

С точки зрения "прослушивания" через "Вдома": у нас нет доступа к микрофону, только доступ к камере и к геолокации. Это главное.

Кстати, по поводу страхов и предвзятости. Многие считают, что авторизация в Дія через BankID сделана с целью похитить их данные. Но на самом деле BankID – это система Национального банка Украины, которая в принципе была разработана как базовая защищенная система авторизации.

При авторизации через BankID человек использует свои логин и пароль от банкинга, а мы получаем фамилию, имя и отчество, и номер телефона, если понадобится. Мы его себе не сохраняем, но он в перечне данных. И самое главное – это налоговый номер, по которому мы дальше делаем все обращения в реестры.

Если посмотреть перечень данных при авторизации через тот же Моно или Приват24 – там видно, что Дія не берет финансовые данные. Но банки раз в полгода проверяют актуальность данных человека, в том числе, и налогового номера. Мы берем только эту информацию.

Кстати, мы сейчас запустили возможность авторизоваться по NFC. Это когда вы считываете свой паспорт, ID-карту – прикладываете на айфоне вверху чип NFC, там есть инструкция, сфотографировать, приложить – пройдет верификация, ваше лицо сверится с лицом в демографическом реестре. И все. Это можно сделать прямо в Дія.

– Кстати, о ID-карте. Ее владельцу до сих пор приходится постоянно носить с собой выписку о прописке...

– Мы сейчас убираем эту штуку.

– Это хорошо. Но банки эти ID-карты не очень хотят признавать. Им просто нечем это считывать. Почему под эти карты пока нет периферии? Почему когда человек приходит в банк, с его ID-карты делают ксерокопию?

– Для меня это тоже большой вопрос. А о прописке, то сейчас в Раде первое чтение прошел закон, который убирает штампы из паспортов-книжек и убирает эту выписку о регистрации. Основным источником данных должен быть государственный реестр. С 1 апреля Государственная миграционная служба у себя сохраняет финальную версию прописки людей. Большие города – такие, как Киев – у которых есть свои системы, отгружают их по API через обмен данными. Маленькие общины, села с помощью специального интерфейса ручками вводят эту информацию.

А в отношении банков... Знаете, когда мы запускали цифровой паспорт, очень активно отрабатывали с Нацбанком этот вопрос. В частности, и вопрос с ксероксом паспорта. Тогда очень серьезные баталии были по этому поводу – до фантазий отксерить мобильный телефон с открытой Дія или сделать "вечный QR-код", который можно было бы сканировать и получать копию... Выглядело все это так, как будто мы пытаемся понять, куда в Tesla заливать дизель.

Логика же на самом деле совершенно иная. Цифровой паспорт имеет QR-код – и мы разработали разные уровни допуска к этому коду. От элементарной проверки данных (как это делает охранник на входе в госструктуру или, скажем, курьер, который привез вам посылку) до широкого набора данных.

Если надо просто проверить личность, нужен только обычный смартфон с камерой, которой можно отсканировать QR-код. Или можно открыть Дію, где есть отдельная кнопка для этого.

С банками несколько иная история. Например, вы хотите открыть карту в ПриватБанке. Показываете сотруднику ваш QR-код, он его сканирует планшетом или с помощью другой техники, которая есть в банке. После этого вы в Дія получаете сообщение, что такое-то отделение банка просит копию вашего паспорта. Вы нажимаете кнопку "подтвердить" – и система генерирует не рисунок вашего паспорта, а набор данных с вашего документа на А4. Там указано, в частности, для кого именно и в какое время была создана эта копию. На нее накладывается КЭБ, то есть электронная подпись, которая фиксирует именно эту копию именно в этот момент времени. И в архив банка летит этот подписанный КЭБом pdf-файл, параллельно с этим подписаны метаданные раскладываются сразу в банковскую систему и заполняют поля...

– А банки об этом знают?

– Это с октября работает. Конечно, знают. У нас подключено огромное количество банков – и процесс подключения продолжается.