Застосунок "Дія": захист персональних даних і безпека

11226 переглядів
Субота, 08 лютого 2020, 15:46
Михайло ФедоровМихайло Федоров
віцепрем'єр-міністр – міністр цифрової трансформації України

Смартфон кожної людини містить масу персональної інформації – фото, контакти, листування, історія пересувань, банківські картки з можливістю NFC-оплат. Про захист всього цього піклується як сам користувач, так і виробники смартфонів, операційних систем і додатків.

Когось з користувачів захист персональних даних хвилює більше, когось – менше. Але вже точно абсолютно байдужих до цього питання людей не існує.

Команда Мінцифри – такі ж люди, у яких є смартфони. При цьому ми не тільки розуміємо важливість захисту персональних даних, а й несемо за неї відповідальність перед українцями при розробці своїх продуктів.

Днями ми презентували нашу улюблену "дитину" – мобільний застосунок "Дія", завдяки якому українці можуть завантажити в смартфон електронні версії своїх документів: вже зараз – посвідчення водія і техпаспорт, через місяць – ID-карти, біометричні паспорти та студентські.

І моє щире бажання, як людини, і обов'язок, як міністра, – розвіяти побоювання з приводу захисту даних в "Дії".

Тому, розповім вам, як ми дбаємо про безпеку застосунку "Дія".

1. Всі користувачі проходять ідентифікацію через банки, в яких обслуговуються

Коли користувач тільки завантажив "Дію", перше, що він робить – авторизується з програми за допомогою технології BankID.

Ця технологія дає громадянину можливість пройти ідентифікацію через свій банк, у якому зберігається необхідна інформація про клієнта.

Такий спосіб ідентифікації є досить надійним і його застосування – традиційна практика для багатьох розвинених країн світу.

До нашого застосунку підключені популярні Приватбанк, а також система BankID Національного банку України, в яку входять 12 банків.

До банківських систем пред'являються високі вимоги безпеки.

2. "Дія" пройшла масштабне тестування

Забезпечити високий рівень захисту застосунку нам багато в чому дозволила співпраця з компанією EPAM – одним зі світових лідерів у сфері IT-розробок. Наш партнер приділяє чимало уваги питанню захищеності інформації.

Архітектура "Дії" побудована таким чином, що на серверній частині програми не здійснюється постійне зберігання персональних даних користувачів. При цьому інформація в каналах передачі даних передається в зашифрованому вигляді, а на деяких етапах використовується подвійне шифрування.

Захист персональних даних у мобільному застосунку "Дія" виконаний за кращими практиками безпеки для рішень такого типу, використано підхід "глибокого захисту" (defense-in-depth).

Крім того, разом з IT-фахівцями EPAM ми серйозно підійшли до тестування нашого за стосунку. Зокрема провели так звані пен-тести, тобто тестування безпеки програми.

По суті ми спробували, в тому числі із залученням зовнішніх ІТ-фахівців, "хакнути" "Дію", щоб виявити всі вразливі місця. Це дозволяє мені сказати, що "Дія" на сьогоднішній день є достатньо захищеним застосунком.

Loading...

3. Пред'явника документа можна перевірити

А тепер – важливий момент, на який хочу звернути увагу користувачів.

Механізм верифікації документів у "Дії" заснований на QR-коді, що генерується застосунком. Він не містить ніякої персональної інформації і є дійсним лише протягом 3 хвилин.

По суті – це такий тимчасовий лінк. А значить, ризик того, що хтось встигне сфотографувати ваш код і тим самим отримає доступ до вашого документа – мінімальний.

Важливо, що за допомогою QR-коду перевірити достовірність документів можуть не тільки представники поліції, але і ви самі.

За допомогою будь-якого смартфона, зі встановленим на ньому застосунком "Дія", можна зчитати QR-код з іншого смартфона (за допомогою камери або спеціального застосунку для зчитування QR-кодів) і переконатися в достовірності документа.

Цікавий факт – з точки зору безпеки, цифрові документи в смартфоні є більш захищеними, ніж фізичні. "Дія" дає можливість завантажити техпаспорт тільки власника авто. У той же час Єдиний транспортний реєстр містить записи-клони – не секрет, що це досить поширена практика в Україні.

4. Всі дані користувачів "Дія" знаходяться в Україні

Ще один дуже важливий момент – усі сервери мобільного застосунку "Дія" знаходяться в Україні. Тобто ніяка інформація про користувачів не йде за кордон.

Серверна частина системи розгорнута у хмарній інфраструктурі ще одного нашого партнера – компанії De Novo, що має необхідні сертифікати безпеки.

Єдиний раз, коли ми залучили закордонну компанію – лише для захисту від атак розподіленого доступу (DDOS-атак). Для цього ми використовуємо інфраструктуру компанії Amazon, яка частково розташована в Німеччині.

Читайте також: Держава в смартфоні стартувала: як працюватиме додаток "Дія" і чи варто переживати за безпеку

І наостанок хочу сказати: ми розуміємо, що забезпечення безпеки – це не результат, а процес.

Над "Дією" працює крута команда, ми постійно розвиваємо і покращуємо мобільний застосунок. Але на 100% убезпечитися від абсолютно всіх вразливостей неможливо.

Велика імовірність, що після всеукраїнського релізу будуть спроби зламати додаток. Проте ми готові до таких викликів і завдяки їм отримаємо додаткову можливість зробити нашу "Дію" ще більш захищеною.

Михайло Федоров, віце-прем'єр-міністр – міністр цифрової трансформації України, для УП

Колонка – матеріал, який відображає винятково точку зору автора. Текст колонки не претендує на об'єктивність та всебічність висвітлення теми, яка у ній піднімається. Редакція "Української правди" не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія. Точка зору редакції УП може не збігатися з точкою зору автора колонки.



powered by lun.ua
Гайда у художній музей на Мирослава Ягоду
Мистецтво Ягоди випадає з конвенційних рамок. Його твори не просто сповнені есхатологічних образів і християнської символіки – вони мають характер візіонерських прозрінь.
Як справи з реформою прокуратури? (FAQ)
Генеральна прокуратура vs Офіс генерального прокурора: атестація прокурорів, доля тих, "хто не пройшов", та ще деякі нюанси в контексті реформи прокуратури.
Звільнення, трудові спори, профспілки: що пропонує новий Трудовий кодекс
Як звільнятимуть та вирішуватимуть трудові спори у випадку прийняття нового Трудового кодексу?
Епідемія та корупція – вибухонебезпечна суміш!
Улітку 1829 року в Севастополі був встановлений карантин проти чуми, якому були піддані усі його жителі без розбору. Внаслідок карантину настав голод, пишно розцвіли спекуляція, зловживання флотських інтендантів і корупція у середовищі чиновників.
Фінпослуги у смартфоні. Які платіжні новації підготував Нацбанк
Наприкінці січня Національний банк оприлюднив проєкт закону про платіжні послуги. Які можливості він надасть українцям?
Ліквідація Верховного Суду України неконституційна: що тепер буде з судовою системою?
Розбираємося з Верховним Судом України, новим Верховним Судом і рішенням Конституційного Суду України.
Чому останні успіхи СБУ – недоречний піар?
Поєднання СБУ функцій контррозвідки та слідства створює умови для зловживань та впливає на ефективність. 
Якою може бути профільна школа: досвід Європи й перспективи України
Міністерство освіти й науки роками розробляє сучасні альтернативи, але незмінно стикається з опором політичних популістів і самих освітян, які бояться змін – великою мірою під впливом тих самих популістів.