Розробник Дії про "Україну в смартфоні": в США наші досягнення називають революцією. Інтерв'ю

На масштабному заході Diia Summit 2.0, що проходив у Києві в травні ідеологи та виконавці амбітної мети – створення "держави у смартфоні" – звітували про досягнення та анонсували нові розробки та послуги. Серед них – і заявлений президентом Зеленським перехід до режиму "paperless" вже до Дня Незалежності.

Наскільки реально зробити державні послуги дійсно зручними та доступними? Що вже вдалося зробити в напрямі цифровізації країни і коли українці зможуть голосувати на виборах онлайн? Скільки коштувало державі створення застосунку Дія і чи здатна вона захистити персональні дані громадян? Про це, а також про особливості роботи застосунку "Вдома", перспективи цифрових паспортів і "революційні досягнення" України OBOZREVATEL розповів Мстислав Банік, керівник з розвитку електронних послуг у Міністерстві цифрової трансформації.

– Нещодавно президент Зеленський пообіцяв: вже до цього Дня Незалежності Україна перейде в режим "без паперів" і жоден чиновник не зможе вимагати в людини жодної довідки. Наскільки це реально взагалі?

– Абсолютно реально. Насправді держава в різних формах знає про людину все. І відмова від довідок забезпечується налагодженням взаємодії між державними реєстрами. Коли є можливість ідентифікувати людину за документом, тим же цифровим паспортом, зокрема, кожен чиновник може отримати необхідні дані про цю людину з реєстрів.

Крім того, ми зараз працюємо над тим, щоб частину морально застарілих довідок прибрати взагалі. Бо, наприклад, довідку про склад сім’ї наче й прибрали, але нотаріуси чомусь досі намагаються її вимагати. Якщо ж держслужбовці матимуть доступ до даних – режим "paperless"стає абсолютно реальним.

Однак паралельно з відмовою від довідок держава має працювати з наповненістю реєстрів даними. Тому що якщо мова йде про нерухомість, то відповідний реєстр, що запущено з 2013 року, має лише близько 30% даних.

– І як цю проблему можна вирішити?

– Допомогти в цьому можуть самі українці. На Diia Summit 2.0 17 травня ми презентували послугу із внесення даних про свою нерухомість. Людина просто онлайн заповнює відповідні поля у спеціальній формі своїми даними, ці дані потім розбираються і завантажуються в реєстр. Додатково потрібно завантажити скан документу про право власності – і БТІ вже на місці звірить отриману інформацію з тим, що у них є в паперових архівах, запрувить цю інформацію – і вона з’явиться в реєстрі.

Власне, проблема наповненості реєстрів наразі стоїть в Україні досить гостро. Тому для нас дуже важлива участь саме громадян, які нададуть свої документи для того, щоб ми їх верифікували і вони з’явилися в реєстрах.

З цією проблемою ми зіштовхнулися, наприклад, коли запускали електронні посвідчення водія. Ви, певно, читали тоді, що всього в Україні нараховується 9,5 млн водіїв. Ми спершу могли відобразити 2,5 мільйони. Додали фотографії з ID-карток і біометричних закордонних паспортів – стало 5,5 млн. Всі інші документи були видані до 2014-го року, і не всі вони були в реєстрі. Ці дані якось там в Excel спочатку з паперу мігрували, потім з Excel мігрували в загальний реєстр, щось загубилося, десь хтось під час ручного введення плутав дані… Як наслідок, люди мали проблеми. У нас у міністерстві є людина, в якої у водійському заламінованому посвідченні збігалося тільки прізвище, ім’я та по-батькові. Все решта – не збігалося. Ні категорії, ні навіть орган видачі.

– А як таке може бути?

– Спершу була картотека. Потім у МРЕО взялися цю картотеку переводити в Excel, і десь, вочевидь, сплутали з іншою людиною. Бо велика кількість документів. І все – так воно і потрапило в реєстр.

Але для водійських посвідчень та техпаспортів ми теж створили можливість самостійної верифікації. Людина просто в кабінеті водія заповнює дані, фотографує документ із обох сторін. А компетентна структура вже знаходить відповідність у папері десь в архівах чи фрагменти даних у реєстрі щодо цього документу, додає поля, яких бракує – і верифікує документ.

– Повертаючись до "держави без паперів". Чи не відчують певних незручностей, скажімо, пенсіонери, переважна більшість із яких навряд чи зможе самотужки завантажувати якісь документи, аби заповнити прогалини в реєстрах?

– Ми офлайн у будь-якому разі не прибираємо, тобто ми не дискримінуємо. Але ми намагаємося зробити його максимально зручним. Жоден державний орган не матиме права вимагати від людини якихось довідок. Натомість чиновники мають звернутися до органу, який ту чи іншу довідку видає – і отримати інформацію звідти, якщо з якихось причин її немає в реєстрі.

– Ви згадали про дискримінацію. Чи не була, на вашу думку, дискримінаційною ситуація з виплатою допомоги від держави ФОПам, які постраждали внаслідок карантину? Адже заяви на отримання тих 8 тисяч гривень приймалися лише через застосунок Дія, а час на їх подачу тоді, в грудні, був обмежений…

– Ця послуга в принципі розроблена електронною. На відміну від більшості класичних послуг, які надає держава. Зазвичай береться паперова основа, те, що працює в офлайні, далі ми робимо реінжиніринг – і ця послуга з’являється в онлайні. У цьому випадку йдеться про переробку вже наявного "багажу".

З отриманням 8 тисяч допомоги ситуація інша. Послуга цифрова, офлайнових аналогів у неї не існує. І ми просто пішли тим шляхом, яким рухається весь світ: нові сервіси запроваджуються за таким принципом.

Послуга з отримання восьми тисяч гривень, як на мене, є дуже показовою з точки зору використання електронних послуг. Бо в грудні, коли була перша хвиля, за два тижні ми отримали понад 480 тисяч заяв. І це говорить про те, що коли людині треба, коли вона бачить особисті переваги чи вигоду в цьому – вона з легкістю починає користуватися саме цифровою послугою.

– А ще це говорить про те, що людина мала доступ до інтернету. А така можливість в Україні досі є не в усіх. Як просувається анонсоване міністерством розширення покриття?

– Наша мета – до 2023-го року забезпечити покриттям 95% населення і автошляхів швидкісним інтернетом. Для населених пунктів ідеться як про мобільний, так і про фіксований оптичний, для доріг – лише про мобільний, звісно.

Що ми для цього робимо? Як ви знаєте, минулого року відбувся перерозподіл частот у діапазоні 900 МГц, який дозволив мобільним операторам покривати більшу площу швидкісним інтернетом. Крім того, найбільші оператори мобільного зв’язку об’єднали зусилля – і, наскільки мені відомо, у важкодоступних місцях іноді встановлюють обладнання декількох операторів на одній щоглі. Це дозволяє не витрачати зайвих ресурсів.

Наразі завершився прийом заявок на отримання державної субвенції для підключення фіксованого інтернету в об’єктах соціальної інфраструктури в селах. Простіше кажучи, громади можуть звернутися з заявою щодо підключення до інтернету лікарні, школи, дитсадка тощо і вказати орієнтовну вартість такого підключення.

Що маємо на виході? На виході, по суті, оператор фіксованого інтернету заходить у територіальну громаду і, розвиваючи бізнес, він уже будуватиме далі там мережу. А люди зможуть до неї підключатися.

Ми вже маємо досить непогану статистику щодо населених пунктів, у яких з’явився мобільний інтернет.

Тільки за квітень 2021 року мобільні оператори підключили до 4G 1739 населених пунктів, у 575 містах та селах 4G з'явився вперше, 205,6 тис. українців отримали 4G вперше. Завдяки реалізації проєкту LTE900, який стартував у липні 2020 року, понад 9,1 млн українців отримали 4G (15 тис населених пунктів). Водночас понад 2,4 млн українців отримали 4G вперше (7 тис населених пунктів). Загалом по країні 23 708 міст та сіл уже мають 4G.

Крім того, є ще й амбітні цілі щодо фіксованого інтернету.

– Чому ж тоді було так багато скарг від підприємців, які так і не змогли отримати цю допомогу від держави?

– Знаєте, ми ці всі скарги розбирали. І я можу пройтися ключовими з них.

Найбільша група скарг надходила від людей, які насправді не відповідали вимогам, встановленим для отримання цієї послуги. Наприклад, у претендента на отримання матеріальної допомоги впродовж останніх трьох місяців основним мав бути КВЕД із затвердженого переліку, у нього не повинно було бути заборгованості в сплаті ЄСВ тощо. Але було чимало людей, які за місяць до подання заяви змінили КВЕД – і потім обурювалися "мені не дають отримати допомогу". Або не сплачували соціальний внесок – і відповідно не потрапили у вибірку від Пенсійного фонду як підприємці, що мають право на отримання допомоги.

Звернення від людей, які реально не підходили під затверджені вимоги, складали десь 80-90% від усіх скарг. Решта отримали відмову з інших причин. Наприклад, наймані працівники деяких ФОПів чи юросіб не отримали допомогу, бо роботодавці невчасно подали відповідну звітність. Дедлайн подачі звітності щодо найманих працівників був 10 грудня. А ми маємо, наприклад, мережу кінотеатрів, де роботодавець по одній юрособі подав звітність 17 грудня, по іншій – 24-го. Відповідно, їхні працівники не потрапили до вибірки від ПФУ, сформованої згідно з чинним законодавством. І вони почали виходити у ЗМІ з заявами, що ми не даємо їм можливості отримати ті 8 тисяч. Хоча насправді винен у цьому роботодавець.

Потім Пенсійний фонд встиг зробити ще нову вибірку тих, хто потрапляв, і, здається, там подача заяв була до 31-го грудня, по-моєму, 31-го грудня вранці у нас була остання вибірка.

Або був ще масовий кейс із будівельною мережею. Там відбулось придбання однієї юридичної особи іншою. І одна з них перебувала в процесі ліквідації. З одного боку, люди, які там працювали, ще не стали працівниками нового підприємства, а старе перебувало в процесі ліквідації. А наймані працівники з підприємства, що ліквідується, не могли подаватися на допомогу… Там ми теж вигадували "колеса", щоб допомогти цим людям.

І є ще одна сумна насправді річ. Для отримання послуги треба було відповісти на два основних питання. Перше – чи є ви зараз найманим працівником або ФОПом. І друге – вкажіть IBAN-рахунку, на який зарахувати кошти.

Ми навіть зробили підказку. В 52 банках взяли інструкцію, як дізнатися IBAN. Окремо її розмістили, дали посилання, мовляв, якщо не знаєш свій IBAN – тисни сюди і дізнайся, де його подивитись. І знаєте що? Були люди, які казали: "Я скористався генератором IBANу і не зміг отримати кошти, бо виявилось, що він не згенерував мій рахунок". Або звернення на кшталт "я вказав IBAN-рахунок моєї сестри і отримав відмову".

Хоча йшлося лише про те, аби вказати номер рахунку, на який держава зарахує кошти.

Ми ніби максимально спростили, але, на жаль, було багато таких.

І зовсім мало скарг стосувалися якраз цифровізації. Маю на увазі підприємців, які реєструвалися ще до 2001 року, коли відбулася зміна кодифікатора КВЕДів. І десь при зміні податкова не провела автоматичну зміну старого КВЕДу на новий, тож людина не змогла отримати допомогу – через відсутність у реєстрі актуальної інформації.

Кілька звернень таких було. Але вони допомогли виявити проблему – і наступного разу ці люди можуть подаватися без проблем.

– Чи багато взагалі проблем виявляється в ході цифровізації? І чи завжди охоче міністерства діляться своїми реєстрами – чи, можливо, хтось їх "зажимає"?

– Не можу сказати, що хтось "зажимає" реєстри чи ще щось. Питання швидше у технічній готовності до підключення й залученості команди.

Коли ми запускали водійські посвідчення – в Міністерстві внутрішніх справ провели незначні допрацювання і запустились. Так само – реєстр міграційної служби. Їм довелося провести певні оновлення. Бо реєстр, наприклад, не працював уночі. Та й пропускну здатність треба було збільшувати. Бо коли до реєстру звертається, умовно кажучи, тисяча реєстраторів – це одна справа. А коли цифровим документом користується 5 мільйонів людей – геть інша…

Але є зовсім застарілі реєстри. І з ними ще треба добряче попрацювати.

– Як ви їх зв’язуєте, якщо вони написані різними мовами, у них різна логіка?

– Крім вдосконалення щодо пропуску, який зрозумілий, є така річ, яка називається "Трембіта". Вона з’єднує між собою різні реєстри і забезпечує між ними безпечний обмін даними. І переважно потрібні лише незначні допрацювання в наявних реєстрах, аби з цією "Трембітою" працювати.

– Скільки реєстрів загалом існує в Україні?

– 341 реєстр. Всі вони різні, на жаль. Але ключові з них, – понад 80, – уже вдосконалені, підключені до "Трембіти", обмін між ними налагоджений. Утім, роботи багато. Бо у держави, на жаль, була звичка в кожному органі влади створювати окремий реєстр.

– Це зрозуміло. Вони коштують мільйон доларів – ясно, що це вигідно. Потім ще "роялті". Скажіть, виявляли ви якісь корупційні кейси?

– Було. Основний і найбільш показовий корупційний кейс був з реєстром ДАБІ…

– Там роялті було велике чи вартість реєстру?

– Гірше. Коли ми підібралися до будівельних послуг, з’ясувалося, що реєстр ДАБІ розташований у Європі. Ба більше – він у приватній власності. Довелося проводити окрему спецоперацію СБУ разом з іншими державними органами для того, щоб перевезти цей реєстр в Україну.

Ми його перевезли, розвернули – і побачили, що там велика кількість backdoor, "чорних ходів", які дають можливість робити якісь корупційні речі. Там була їх ціла купа, починаючи від найпростішого. Наприклад, базове повідомлення. Воно може відбутися яким чином: ще в старому реєстрі людина автоматично протягом там десяти днів могла отримати позитивну відповідь на своє мале будівництво, наприклад, гараж. Але люди не отримували відповідних сповіщень. Водночас не всі знали, що це відбувається автоматично і що такі сповіщення і не мали приходити. Натомість спрацьовував скрипт, його бачила спеціально навчена людина. Вона телефонувала громадянину, що звертався, і казала: нічого не виходить, але є один варіант… І таких речей була просто неймовірна кількість.

– Скажіть, будь ласка, ми через Дію зможемо голосувати?

– Сподіваюся, що в майбутньому – так. Скільки часу для цього знадобиться – складно сказати. Ми ж з вами чудово розуміємо, наскільки це, по-перше, велика відповідальність, а по-друге – що це має бути максимально безпечно і прозоро, аби не залишити можливості будь-яких зловживань, не допустити виникнення backdoor. Ідеться про високу відкритість і надійний захист інформації водночас.

Електронна демократія – це доволі широке поняття. І онлайн-голосування – це її вершина. Ми почали рухатися до електронної демократії з запровадження електронних петицій. Це базовий інструмент, до якого ми зараз підключаємо громади. Електронні петиції – це інструмент для людей, за допомогою якого вони можуть впливати на місцеву владу. На щастя, петиції не анонімні, тому нам не треба вигадувати якусь надскладну систему. Єдина вимога – все має бути безпечно. У нас є Дія.Підпис, за допомогою якого ми точно ідентифікуємо людину. Тож вона, наприклад, не зможе проголосувати за ту чи іншу петицію двічі і так далі.

Але від петицій до виборів онлайн – довгий шлях. Бо відповідальність у плані голосування – надзвичайна. Ми не можемо припуститися жодного неправильного кроку, щоб нічого не дискредитувати і щоб усе точно було чесно.

– На Diia Summit 2.0, що відбувся у травні в Києві, Мінцифра розповіла про те, що вже зроблено. А назвіть нам, скажімо, 5 найфантастичніших, найдивовижніших послуг, які ви запустите згодом, про які мрієте. Щось таке, чим Україна пишатиметься, чого нема навіть в Естонії чи США?

– Маленька ремарка. Торік з Естонії, яка вважається піонером взагалі в електронних послугах, до нас приїздила делегація. І мені сподобався вислів одного з членів цієї делегації, який сказав: "Так, ми стали піонерами, запустили електронні послуги, але це було давно". Вони приїздять до нас обмінюватися досвідом. Зокрема, ми консультували естонців, як запускати електронні послуги в мобайл.

Щодо США, ми багато спілкуємося з іноземними партнерами, зокрема, й зі Штатами. І там є людина, яка багато років працює саме на державній службі. Так от, зо два місяці тому ми спілкувалися з цією людиною в Zoom – і ця людина сказала, що якби в США запустили хоча би половину того, що вже зробили ми, для них це була б надзвичайна революція.

Отож, щодо найбільш революційних речей, які ми будемо запускати чи навіть уже запустили. Перше – це Дія.Підпис. Це цифровий підпис, який дозволяє підписувати смартфоном через Дію. Ми генеруємо ключ, а підпис відбувається за допомогою звірки обличчя з обличчям у демографічному реєстрі, і пін-коду.

Чому це важливо і революційно? Бо це відчиняє двері до мобайлу. Тримати електронний ключ у хмарному сховищі – не найбезпечніший варіант. А тут ти можеш за допомогою мобільного телефона отримати будь-які державні послуги.

Наразі в Україні загалом створено 7,2 мільйони цифрових ключів. Більшість з них – це люди, яким такі ключі потрібні для електронного документообігу: державні службовці, ФОПи, бухгалтери, директори підприємств… А запитайте пересічного громадянина, чи знає він, що таке електронний ключ? Більшість нізащо не здогадається, що воно таке. А це велика перепона для побудови "держави в смартфоні". Свого часу це питання активно дискутувалося в тій же Естонії – там у них ці ключі фізичні.

Ми зробили максимально просту й зрозумілу для людей річ. От у тебе є Дія, ти можеш відсканувати QR-код і підписати своїм обличчям, грубо кажучи. Тому це надзвичайна революція, яка дає нам дуже багато можливостей.

Друге, революційне, як на мене досягнення, яке буде продовжуватися – автоматичний ФОП. Ми повністю прибрали чиновника із процесу отримання державної послуги. Там зараз ще залишилася обробка в податковій, але і це ми з часом приберемо. І будемо далі розширювати обсяг послуг. Наразі автоматична тільки реєстрація, але у найближчих планах – автоматичне внесення змін.

Зараз відкриття ФОП забирає лічені хвилини. Людина заходить на портал, заповняє десять полів, підписує обличчям – і щойно система на боці Мінюсту звірила відповідність усіх даних, відбувається реєстрація. Далі автоматом заява іде до податкової. І це велика революція друга.

– А закрити так само ФОП можна?

– Автоматично – ні. Але відкрити та внести зміни, зокрема, і щодо КВЕДів, які ми запустили ще 15 квітня минулого року, можна онлайн уже зараз.

Третє важливе наше досягнення – це якраз історія з paperless. Для громадян це означає, що у них не будуть вимагати довідки і додаткові документи. А для держави революційність цієї історії полягає в обміні даних між реєстрами. Ми хочемо створити такі умови, коли людина, яка приходить у будь-який державний орган для отримання послуги офлайн, могла би просто дати відсканувати QR-код на своєму паспорті в Дії – і їй більше нічого не треба було би робити.

– Іншими словами, йдеться про те, що один департамент МВС зможе взяти довідку про несудимість людини в іншого департаменту МВС, не ганяючи саму людину, не змушуючи чекати на створення цієї довідки чи платити за прискорення?

- Саме так. Це найважливіша з дрібниць, які ми хочемо запустити.

Коли ми починали працювати над Дією, відчували певну недовіру з боку інших державних органів та структур, для яких діджиталізація – це було щось нове і незрозуміле. Держструктури звикли працювати в старій парадигмі. Але зараз вони всі залучені до процесу. І на останньому саміті заступник міністра МВС Гончаров, наприклад, анонсував запуск послуги з заміни водійського посвідчення онлайн. Людина просто замовляє новий документ через Дію – і отримує його на пошту. Їй навіть з дому виходити для цього не потрібно буде.

Ці наші досягнення – це лише початок. Бо якою б класною не була перемога, ходити з транспарантом про досягнення до того, як вони будуть масштабовані на всі сфери, – зарано.

Наша мета – поставити це все на потік. Ми прибираємо чиновника в окремих процесах. Наступний крок – автоматизація максимальної кількості послуг і прибирання чиновника звідти. Так, наразі вже 4 з 12 будівельних послуг надаються без участі чиновників – у планах прибрати їх із будівельних послуг взагалі. Ми хочемо масштабувати ті принципи, яких уже досягли з одними міністерствами – на всі органи влади.

– Одне з ключових питань, що турбує людей у контексті цифровізації, – це питання безпеки. Як ви уникаєте отих backdoor’ів, як їх перевіряєте? Як можете гарантувати людям, що їхні персональні дані не з’являться завтра у продажу на Петрівці чи в даркнеті? Ми ж усі чудово знаємо, скільки там продається баз даних із державних реєстрів, зокрема, і сучасних.

– Ну, по-перше, даних паспортів чи будь-яких інших документів в Дії на сервері немає…

– Питання стосувалося системи загалом, а не Дії.

– Загалом, коли ми підключаємось до нового реєстру, наші фахівці проводять його аудит і бачать, чи є там якісь backdoor’и, ризики незрозумілі, ще щось. Крім того, перш ніж ми починаємо працювати з реєстром і надавати послуги, пов’язані з ним, починає працювати така проста річ, як логування. Раніше державні службовці могли заходити до реєстрів безконтрольно і не тільки скачувати інформацію, а часом навіть вносити зміни до реєстру. І ніхто б не міг їх потім "вичислити". Ніяких записів не відбувалося.

Зараз ми запровадили логування. І кожен вхід, кожна дія фіксується за КЕБом відповідного чиновника.

Крім того, ми обмежили доступ до реєстрів. Раніше до того ж будівельного реєстру мала доступ величезна кількість людей, але ми більшість із них позбавили такої можливості і залишили для роботи з даними реєстру лише уповноважених верифікованих осіб.

Найперше ми дбаємо про безпеку. А вже потім підключаємо до Дії різноманітні сервіси, які на цьому будуються.

Найбільший ризик наразі – це людський фактор. Навіть у тому скандалі, коли Дію звинувачували у зливі даних, спрацював саме людський фактор. І з Дією та хайпова історія ніяким чином не була пов’язана. Міністерство внутрішніх справ за тими даними, що були злиті щодо водійських документів, навіть знайшло людину, яка була причетна до зливу. Вона на час, коли було злито дані, у них уже навіть не працювала.

Тому безпека полягає в логуванні, зменшенні кількості доступів і у відповідальності.

– Серед поширених претензій до Дії – те, що сам застосунок був запущений вже давно, але масштабний пошук багів та виявлення глюків розпочинається тільки зараз. Чому так?

– Не тільки зараз. Ми запустилися минулого року. Першу версію Дії, в тому числі, й архітектуру всієї безпеки, контрбезпеки нам розробляла компанія EPAM. Це потужна міжнародна компанія з великим офісом в Україні. І повірте: питанню безпеки вони приділили величезну увагу. Бо серед клієнтів EPAM – потужні європейські компанії. І якби вони допустили вразливості з точки зору безпеки в нашому проєкті – вони би втратили своє ім’я та репутацію.

Коли ми перебрали Дію на себе – продовжили працювати з цією ж архітектурою. Ми залучали європейські компанії, які шукали вразливості в системі. Пошуком вразливостей займалися і наші СБУ та кіберполіція. А в грудні 2020 року ми провели Bug Bounty. Агентство з міжнародного розвитку США (USAID) виділило мільйон гривень призового фонду: за кожен рівень вразливості передбачалася виплата певної фіксованої суми. Підрядником з організації Bug Bounty USAID визначив авторитетну американську платформу Bugcrowd, що спеціалізується якраз на кібербезпеці. Ця компанія і мала обрати учасників.

У Bugcrowd нам запропонували формат проведення цього Bug Bounty. Вони проаналізували ситуацію і дійшли висновку, що на тому етапі немає сенсу запрошувати до участі всіх. Натомість обрали критерії, яким мали відповідати фахівці з кібербезпеки, які шукатимуть вразливості. Я вже всіх цих критеріїв не пам’ятаю. Приміром, там була вимога, що претендент повинен мати досвід знайдення вразливостей найвищого рівня впродовж останніх пів року. Тобто, йшлося про найвищий рівень компетенцій.

Далі Bugcrowd відібрала на своїй платформі таких фахівців. Ми створили їм копію Дії, згенерували туди два мільйони фейкових юзерів – і надали їм доступ до цієї копії. Вони почали шукати вразливості. Звісно, ми хвилювалися. Бо наче і про все подбали, і пентести пройшли, і все супер – але хвилювання було.

– Знайшли вони щось?

– Жодних вразливостей, які були би пов’язані з персональними даними, з витоками чи чимось таким вони не знайшли. Було знайдено, наприклад, краш застосунку, коли він звертався чи закривався при натисканні якихось кнопок. Або що за VIN-кодом можна дізнатися інформацію про страховку, про автоцивілку. Але це публічна інформація, яка є на сайті Моторного (транспортного) страхового бюро України.

Інших вразливостей не було.

Так ми впевнилися, що система надійно захищена. Хоча були готові, що дійсно щось може знайтися. Бо ж працювали найкращі фахівці з кібербезпеки у світі – але їм нічого не вдалося знайти. Ми підтвердили, що Дія безпечна.

Але це та історія, коли не можна переконатися в безпечності системи раз і назавжди. Перевіряти треба впродовж всієї історії існування застосунку.

Зараз ми запустили нові продукти, в нас з’явився Дія.Підпис, що дуже важливо з точки зору якраз безпеки. Тому зараз ми анонсували новий довгостроковий Bug Bounty. Він триватиме півроку. Там теж буде призовий фонд. Але цього разу ми вирішили не обмежувати нікого – долучитися може будь-хто, хто захоче спробувати знайти якісь вразливості в Дії.

Так працює весь світ. Фахівець знаходить вразливість, звертається до технічної команди, технічна команда перевіряє – і людина отримує призовий фонд, а знайдена нею вразливість виправляється. Все це потім публікується у звітах, які є у відкритому доступі.

– Скільки грошей загалом витрачено на створення Дії?

– Я вже згадував, що першу версію нам робила EPAM. Робили вони це абсолютно безкоштовно – на патріотизмі. Антонюк (Юрій Антонюк, голова "EPAM Україна". – Ред.) виділив команду фахівців компанії, яка працювала з нами.

– А якби вони працювали за гроші – про яку суму йшлося б?

– За їхніми оцінками, тільки зарплати склали би приблизно 500-600 тисяч євро.

– Тобто, собівартість Дії – десь до мільйона євро?

– Так. Але EPAM зробили це безкоштовно. Це була принципова їхня позиція. Плюс вони іміджево вигравали, бо зробили величезний крок у напрямку діджиталізації країни. І знаєте – мені дуже сподобалося з ними працювати. Ми ж розуміємо, якого рівня там фахівці. Спочатку ми працювали з ними чітко в робочий графік. А далі ти, бувало, пишеш у технічний чат якесь питання о першій ночі – а тобі тут таки відповідає головний архітектор EPAM. Кажу: Євгене, що ви тут робите, вже ж ніч, у вас же родина. А він відповідає: просто не можу спинитись… Це реально було дуже класно.

А далі ми створили державне підприємство "Дія", в якому працюють інхаус-розробники. У нас уже немає тендерів на зовнішніх підрядників, все роблять наші спеціалісти. Ціна питання – викнятково в їхній заробітній платі.

– Зарплати у них ринкові?

– Так. Вони чисто на зарплаті.

– Який річний бюджет у ДП "Дія"?

– Чесно кажучи, не пригадую точних цифр. Однак це не засекречена інформація, вона є у відкритому доступі.

– Скільки людей працює в цьому ДП?

– Розробників, мені здається, від 20 до 30, але є ще ж AdminStaf, який працює з паперами, документами, інші задачі виконує.

– Тобто це не велика компанія?

– Так. Але всі драйвові і всі кайфують від того, що ми робимо. У мене в команді в міністерстві основний критерій відбору людей – аби вони насправді отримували задоволення від нашої роботи. Тому в нас немає жодної людини, яка працює з 9 до 18, а після – не беру слухавку. Всі майже цілодобово на зв’язку, і я у своїй команді виховую усвідомлення: якщо ти працюєш у міністерстві – ти маєш відчувати відповідальність за те, що робиш. І робити щось дійсно значне, а не просто ходити на роботу.

– Давайте поговоримо про додаток "Вдома". Він реально має дуже багато дивних глюків. У когось не скачується. Хтось не може зареєструватися. У когось "губляться" результати тестів – і людина, якій у лабораторії підтвердили, що COVID-19 в неї немає, не може зняти режим самоізоляції… Водночас незрозуміло, до кого звертатися. Бо в техпідтримці посилають до Центру громадського здоров’я, а в ЦГЗ кажуть: ми додаток не адмініструємо…

– Була політична воля зробити застосунок, який буде трекати. Ми вивчили досвід інших країн. Практикувати британську історію, коли до людини, яка має перебувати на самоізоляції, по кілька разів на день приїздить поліція, не хотілося. Це надто дорого і надто складно – для всіх.

Так народився спільний проєкт, у якому бере участь і МОЗ, і ЦГЗ як окрема структура, і прикордонники, і МВС… І ми в цьому проєкті відповідаємо винятково за технічну розробку.

Якщо говорити, наприклад, про зняття. Людина здала тест. Лабораторія його результати передає Центру громадського здоров’я. ЦГЗ виправляє ці дані, уніфікує їх (бо кожна лабораторія той же номер мобільного телефону, наприклад, пише в різному форматі) – і завантажує. А ми їх звіряємо – і на базі цього відбувається зняття з ізоляції.

Наче все просто. Але, на жаль, ніхто не працює в цьому напрямку нормально. Нас закидають скаргами люди, які отримали листи і тиждень не можуть знятися з самоізоляції. Ми намагаємося їм у ручному режимі якось допомагати, але…

– Як? До вас не можна достукатись. Немає контактів.

– Є чати, за допомогою яких наш супорт відповідає за нашу частину. Але ми не можемо відповідати за ситуації, які виникли на боці ЦГЗ – не найкращої структури для того, щоб відпрацьовувати такі речі.

І, щоб ви розуміли, обмін даними відбувається не автоматично. Акумулюють дані люди. І коли я кажу, що ми шкодуємо, що взяли в цьому участь і працюємо з "Вдома", я це говорю тому, що ми свою роботу виконали. Коли був баг зі сповіщеннями з рік тому – ми його виправили. Коли певний час тому виникли питання щодо реєстрації, бо в De Novo, де у нас сховище, в G Cloud відбувся збій обладнання великий і поки вони його міняли, у нас в Борисполі "підвисли" 300 пасажирів з літака, що прилетів – ми зробили з цього висновки. І зараз працюємо над створенням паралельного сховища, яке буде синхронізоване з наявним і убезпечить нас від повторення таких ситуацій… Ми засвоюємо уроки. Але у випадку з "Вдома", до якого причетна ціла купа державних органів, ми стали "хлопчиками для биття": за всі глюки, збої і проблеми по обличчю б’ють лише нас.

– Ви читали відгуки від користувачів, скажімо, в Play Маркеті?

– Я знаю їх, певно, напам’ять. І можу стверджувати, що більшість цих відгуків – неправдиві. В якому плані? Жодна людина не хоче, щоб її трекали. Це природно, адже в нашому суспільстві існує переконання, що будь-який державний застосунок – це такий собі "великий брат", який за тобою весь час слідкує.

І десь за місяць після запуску "Вдома" ми спостерігали масове ігнорування людьми сповіщень додатку. Конверсія, тобто активність після надсилання сповіщень фіксувалася на рівні 60%. При цьому люди, які їх ігнорували, казали: я нічого не чую, мені не приходять ніякі сповіщення і так далі. Але щойно після відсутності реакції на сповіщення до людей почав виїздити патруль поліції, який перевіряв їхнє перебування вдома, першого ж дня конверсія стала 96%.

– Чи часто виїжджає поліція в таких випадках? Як це взагалі працює?

– Ми не трекаємо людину весь час. Доба, окрім нічного часу, ділиться на кілька слотів. І у випадковий час у кожному тайм-слоті людина отримує сповіщення. Вона робить фото, з яким підтягується геолокація. Ми ці дані беремо – і звіряємо з адресою, яку людина вказала для проходження самоізоляції.

Якщо після 5 сповіщень людина ніяк не реагує і від неї не надходить фото, дані автоматом передаються в Нацполіцію. І найближчий патруль отримує завдання перевірити самоізоляцію.

– Це реально працює зараз?

– Реально працює. Є приклади, коли нічого не відбувається і поліція не реагує. Але в більшості випадків реакція є. Поліцейські можуть зателефонувати людині і з’ясувати, чи дійсно вона перебуває вдома. А якщо патруль таки виїжджає – конверсія виростає одразу.

Інша поширена претензія – не спрацьовує фотоверифікація. У нас є таке поняття як "майстер-фото" – це та перша фотографія, яку людина робить, аби підтвердити, що це вона є. Ми це майстер-фото ні з чим не звіряємо. Але порівнюємо з ним усі наступні. І от коли починаєш розбиратися, чому не спрацьовує верифікація і дивишся на майстер-фото, а там холодильник сфотографований. І людина не може пройти верифікацію наступну, бо система не визначає, що це ця людина.

Були й зовсім кумедні випадки. Є в нас кейс, коли чоловік свого молодшого брата сфотографував на майстер-фото і посадив вдома на самоізоляцію…

– Як ви це з’ясували?

– Після звернення до супорту – щось там не спрацювало. Ми подивились майстер-фото – а там замість дорослого чоловіка 14-річний хлопчик…

Я до чого веду. На початку в нас дійсно були технічні проблеми. Бо ми мали дуже мало часу на запуск і не встигли все протестувати, зокрема, ті ж сповіщення або фотоверифікацію. Але всі ці речі ми дуже швидко полагодили. Реально дуже швидко. І основна маса негативу щодо "Вдома" зав’язана якраз на тому, що відбувається на боці ЦГЗ чи лабораторій. У нас були випадки, коли людина нас просто ґвалтує впродовж 5 днів, каже: моя лабораторія точно відправила результати тесту. А потім з’ясовується, що були державні вихідні і лабораторія нічого не відправляла. Але людям же все одно, через кого виникла проблема. І це правильно з точки зору сервісу від держави – людині байдуже, що там відбувається в беку.

Але знаєте, коли все добре, ніхто не пише хороших коментарів. Пишуть тільки погане.

– Це теж правда. У нас хороше не заведено писати. Зрештою, люди і на мітинги на підтримку чогось не ходять, тільки на протести.

– До речі, проти нас уже й мітинги були.

– Чому? "Білл Гейтс", "цифровізація", "чіпи"?

– Беріть вище. "Ні цифровому антихристу!". Пам’ятаю, ми тоді не те що святкували, але потішилися: нарешті мітинг, нарешті визнання.

– А якщо серйозно – рівень цифрової грамотності серед українців залишається не найкращим. Що з цим робити?

– Підвищувати цей рівень. Розумієте, та ж історія з 8 тисячами гривень – вона ж показова. В тому плані, що як тільки у людини з’являється мотивація – всі інші питання стають не такими важливими.

Людям звично вважати – і я сам колись таким був, – що якщо вона вміє користуватися Фейсбуком та імейлом, отже, вона має цифрову грамотність. Але це не так. І у нас є окремий напрям роботи – Дія.Цифрова освіта, який спрямований якраз на підвищення цифрових навичок, зокрема, в людей старшого віку. Ми реалізуємо це завдання у форматі серіалу, до якого долучаються різні зірки. І просимо показувати цей серіал своїм бабусям-дідусям. Бо там роз’яснюються базові речі. Це дуже важливо й корисно.

До речі, щодо цифрової грамотності – хочу навести кумедний приклад.

Ми тоді тільки-но запустили Дію – водійське і техпаспорт. І я їздив на один телеканал, вони зняли сюжет про ці нововведення, в якому журналісти розпитували у людей, чи чули вони про це і як до цього ставляться. До речі, мене в тому сюжеті здивувала бабуся, яка сказала, що те, що ми робимо – це супер, що її час минув, але за цим – майбутнє… Утім, зараз не про неї. Серед людей, яких розпитували журналісти, був один чоловік років 45. Коли його запитали, як йому Дія, він сказав, що це дуже класний застосунок. Тоді журналіст запитує: "Поставите собі?" – "Ніколи в житті. Не хочу, щоб МВС дізналося, яке в мене водійське посвідчення"…

Це якраз питання цифрової грамотності. Люди найчастіше упереджено ставляться до Дії і не хочуть нею користуватися винятково через те, що не розуміють, як це працює. Ми намагаємося пояснювати, що в нас немає даних, які можна вкрасти, вони підтягуються в Дію з відповідних реєстрів. Або що пройшов Bug Bounty. Але проблема в тому, що якщо ти поїдеш у будь-який райцентр поза межами Київської області, ти можеш не знайти там жодної людини, яка знає, що таке Bug Bounty.

– Свого часу активно циркулювала чутка, що над додатком "Вдома" окрім вас попрацювали ще й співробітники спецслужб – і вставили туди прослухування і таке інше. Я розумію, що той же iPhone точно не пропустив би нічого подібного…

– Дивіться, і в Play Маркеті, і в App Store чітко вказано, які доступи просить застосунок. І коли людина каже "ви мене трекаєте", ми відкриваємо App Store, де написано "нічого не вимагається" або "вимагається "FaceID". Це ж будь-хто може глянути – це абсолютно відкрита інформація. Та й у налаштуваннях мобільного застосунку це можна подивитися.

З точки зору "прослуховування" через "Вдома": у нас немає доступу до мікрофону, тільки доступ до камери і до геолокації. Це головне.

До речі, щодо страхів та упередженості. Багато хто вважає, що авторизація в Дії через BankID зроблена з метою викрасти їхні дані. Але насправді BankID – це система Національного банку України, яка в принципі була розроблена як базова захищена система авторизації.

При авторизації через BankID людина використовує свої логін та пароль від банкінгу, а ми отримуємо прізвище, ім’я та по-батькові і номер телефону, якщо знадобиться. Ми його собі не зберігаємо, але він є в переліку даних. І найголовніше – це податковий номер, за яким ми далі робимо всі звернення до реєстрів.

Якщо подивитися перелік даних під час авторизації через той же Моно чи Приват24 – там видно, що Дія не бере фінансові дані. Але банки раз на пів року перевіряють актуальність даних людини, зокрема, і податкового номеру. Ми беремо тільки цю інформацію.

До речі, ми зараз запустили можливість авторизуватися по NFC. Це коли ви зчитуєте свій паспорт, ID-карту – прикладаєте на айфоні вгорі чіп NFC, там є інструкція, сфотографувати, прикласти – пройде верифікація, ваше обличчя звіриться з обличчям у демографічному реєстрі. І все. Це можна зробити прямо в Дії.

– До речі, про ID-карту. Її власнику досі доводиться постійно носити з собою витяг про прописку…

– Ми зараз прибираємо цю штуку.

– Це добре. Але банки ці ID-карти не дуже хочуть визнавати. Їм просто немає чим це зчитувати. Чому під ці карти досі немає периферії? Чому коли людина приходить у банк, з її ID-карти роблять ксерокопію?

– Для мене це теж велике питання. А щодо прописки, то зараз у Раді перше читання пройшов закон, який прибирає штампи з паспортів-книжечок і прибирає цей витяг про реєстрацію. Основним джерелом даних має бути державний реєстр. З 1 квітня Державна міграційна служба у себе зберігає фінальну версію прописки людей. Великі міста – такі, як Київ – у яких є свої системи, відвантажують їх по API через обмін даними. Маленькі громади, села за допомогою спеціального інтерфейсу ручками вводять цю інформацію.

А щодо банків… Знаєте, коли ми запускали цифровий паспорт, дуже активно відпрацьовували з Нацбанком це питання. Зокрема, і питання з ксероксом паспорта. Тоді дуже серйозні баталії були з цього приводу – аж до фантазій відксерити мобільний телефон з відкритою Дією або зробити "вічний QR-код", який можна було б сканувати й отримувати копію… Виглядало все це так, наче ми намагаємося зрозуміти, куди в Tesla заливати дизель.

Логіка ж насправді абсолютно інша. Цифровий паспорт має QR-код – і ми розробили різні рівні допуску до цього коду. Від елементарної перевірки даних (як це робить охоронець на вході в держструктуру чи, скажімо, кур’єр, який привіз вам посилку) до широкого набору даних.

Якщо треба просто перевірити особу, потрібен лише звичайний смартфон з камерою, якою можна відсканувати QR-код. Або можна відкрити Дію, де є окрема кнопка для цього.

З банками дещо інша історія. Наприклад, ви хочете відкрити картку в ПриватБанку. Показуєте співробітнику ваш QR-код, він його сканує планшетом чи за допомогою іншої техніки, яка є в банку. Після цього ви в Дії отримуєте сповіщення, що таке-то відділення банку просить копію вашого паспорта. Ви натискаєте кнопку "підтвердити" і система генерує не малюнок вашого паспорта, а набір даних з вашого документа на А4. Там зазначено, зокрема, для кого саме і в який час було створено цю копію. На неї накладається КЕБ, тобто електронний підпис, який фіксує саме цю копію саме в цей момент часу. І в архів банку летить цей підписаний КЕБом pdf-файл, паралельно з цим підписані метадані розкладаються одразу в банківську систему і заповнюють поля…

– А банки про це знають?

– Це з жовтня працює. Звісно, знають. У нас підключено величезну кількість банків – і процес підключення триває.