Мстислав Банік, "Дія": Українцям не варто боятися "цифрового рабства"

Коли у "Дії" з'являться нові COVID-сертифікати? Чи можна буде оформити субсидії та пенсії онлайн? І чому українцям не варто боятися "цифрового рабства". Про все це РБК-Україна розповів керівник із розвитку електронних послуг у Міністерстві цифрової трансформації Мстислав Банік.

Після запровадження нових карантинних обмежень "Дія" отримала чергову хвилю популярності серед українських користувачів. Якщо раніше COVID-сертифікат у застосунку хіба спрощував виїзд за кордон, то тепер у "червоних" зонах всередині країни він дає право не дотримуватися більшості заборон.

Паралельно із чергами на вакцинацію, після якої і можна отримати той самий сертифікат, почастішали і випадки їх підробки та навіть спроби зробити фейкову копію самої "Дії". Чому це неможливо, що загрожує таким "умільцям", які нові послуги і документи вже скоро з'являться у "Дії" та наскільки вона безпечна, розповів РБК-Україна один із керівників цього проекту Мстислав Банік.

– Почнемо з питання, яке "болить" кожному, в усіх соцмережах це обговорюють, на вулицях, у транспорті, – COVID-сертифікати. Скільки їх вже є?

– Наразі понад 3,5 млн COVID-сертифікатів уже люди завантажили через мобільний застосунок та портал "Дія". Міжнародний і внутрішній рахуються як один, "жовтий" і паперовий також. Тобто понад 3,5 мільйони українців уже створили COVID-сертифікати.

– При цьому понад 9 млн людей отримали хоча б одну дозу вакцини. Чому так мало з них створили сертифікати?

– Думаю, тут найголовніше те, що тільки нещодавно Україна почала входити в "червоні" зони і COVID-сертифікати стали дійсно щоденно необхідними. Ті, хто завантажував їх для подорожей, зробили це ще влітку та на початку осені. А зараз у зв'язку із карантинними обмеженнями пересічній людині, яка не планує подорож за кордон, все одно потрібний COVID-сертифікат.

– Ви згадали, що у нас більше людей пішли вакцинуватися, коли почалися "червоні" зони. І вочевидь, пішли генерувати COVID-сертифікати. В перший же день я, як і багато людей, зіткнувся із тим, що "Дія" лягла, послуги були недоступні.

– Це був один день такий. Через те, що надзвичайно велика, пікова кількість людей одночасно хотіла зайти в "Дію". Це питання не тільки із самою системою, бек-ендом. Кожного разу, коли ви заходите в "Дію", іде звернення до державних реєстрів за паспортом, податковим номером і так далі. Кожна дія в застосунку – це звернення.

Так ось в піковий вечір, коли скоріше за все у вас і не відображався розділ "Послуги", відбувалося 9 тисяч таких звернень на секунду. Це тривало протягом доби, тому навантаження і на реєстр ДМС і всі інші було надзвичайно великим. Але я вдячний нашій команді і команді всіх інших відповідних органів – всі збільшили свої потужності, щоби все працювало у штатному режимі.

– Тобто більше такі "падіння" нам не загрожують. Кожного дня вакцинується близько 250 тисяч людей, а зараз ви ще додасте сертифікати по ПЛР-тестам та для тих, хто перехворів.

– Так, готується запуск по ПЛР-тестам, там є своя особливість. Для того, щоби по ПЛР-тесту можна було створити COVID-сертифікат, потрібно щоби в систему "Електронне здоров'я", куди йде інформація про щеплення, відвантажували і дані про результати тестування. Зараз тільки одна мережа лабораторій готова це робити, інші поступово підключаються. Тому через кілька днів ми почнемо бета-тестування.

Важливий момент. Якщо у людини немає щеплення і вона хоче створити COVID-сертифікат на основі ПЛР-тесту – потрібно зайти на сайт лабораторії або у відповідний розділ у "Дії" та перевірити чи відвантажує саме ця лабораторія результати тестування у систему. Другий важливий момент: такий сертифікат діятиме 72 години з моменту, як дані про тест були завантажені в систему, а не коли ви вирішили його створити.

– А для тих, хто перехворів, коли з'являться сертифікати?

– Чекаємо на них в листопаді. Хотілося б на початку місяця, але не хочу загадувати. Там також є особливість із внесенням даних про те, що людина хворіла на COVID, і потім зробила тест, який підтвердив одужання. Тут є роль і медичної системи. Тому чекаємо в листопаді, щоби там були повноцінно всі дані.

– Ще є невелика категорія, про яку казав міністр охорони здоров'я, це ті люди, у яких є протипоказання до вакцинації. Що з ними буде?

– Основним локомотивом всіх цих процесів є Міністерство охорони здоров'я, яке визначає і перелік даних, і які COVID-сертифікати є, і які щеплення тощо. Відповідно, як тільки вони фінально сформують своє бачення щодо протипоказань, то прийдуть до нас із технічним завданням, щоби ми в "Дії" реалізували такий функціонал.

– Тоді трохи філософське питання. Ви кажете: зараз ми почнемо бета-тестування, можливо для тих буде, а для тих пізніше… Однак у людей розуміння таке: "червона" зона вже зараз і хочеться вийти в магазин чи ще кудись вже зараз. Чи можна пришвидшити процес чи попереджати людей? Бо часто у вас виходять трохи "сирі" продукти, які можливо можна було б притримати та не анонсувати наперед. Адже таким чином ви втрачаєте довіру громадян до самого концепту цифрової держави.

– Ми були б щасливі не анонсувати деякі продукти наперед. Оскільки в багатьох продуктах ми виступаємо лише технічними розробниками. Дійсно, як ви правильно сказали, по ПЛР-тестам і всім цим речам анонсував саме міністр охорони здоров'я. Саме тому ми "пушимо" максимально команду МОЗ, щоби ці речі були реалізовані якомога швидше. Тому що наша система, з точки зору "Дії", готова, але треба ще мати, що там відображати.

Це стосується не тільки COVID-сертифікатів, але і великої кількості інших функцій, бо "Дія" стала дійсно важливим інструментом і для людей і для органів державної влади. Так часто буває, що якийсь міністр чи керівник певної ланки може анонсувати певний продукт, який буде працювати в "Дії", але це станеться через рік, або ми взагалі ще не встигли це обговорити.

Це класно, що всі вже чекають, що в "Дії" це буде, але багато роботи має проводитися саме на їхньому боці. Тому так, ми розуміємо, що є проблема, що люди чекають. Наша підтримка багато спілкується із тими, хто перехворів, і них вже зараз є потреба у конкретному сертифікаті. Але станом на сьогодні МОЗ не готове відвантажувати такі дані і нам немає з чого формувати цей сертифікат. Тому прошу тільки набратися терпіння і трошечки почекати.

– Про терпіння ще така ремарка. Ми спеціально до нашої розмови опитували людей у Facebook, що їх найбільше дратує чи бентежить у "Дії". Більшість згадала про цю "гімнастику для шиї", яка потрібна щоби отримати Дія.Підпис і потім підвантажити COVID-сертифікат. Коли нарешті і наскільки спроститься цей процес?

– Це не просто "гімнастика", щоби отримати COVID-сертифікат, хоча так може здатися (сміється, – ред.). Насправді це перший зрозумілий випадок, коли через мобільний застосунок треба скористатися Дія.Підпис – це електронний ключ, і його значущість надзвичайно важлива. За допомогою нього у майбутньому можна буде продавати нерухомість, оформлювати автомобілі і так далі.

Навіщо потрібна ця "гімнастика для шиї"? Наші нейромережі мають впевнитися, що перед телефоном жива людина. Саме тому треба порухатися, тому що фотографію чи 3D-модель ти не зможеш так скерувати, аби отримати підтвердження особи. Далі ми живе обличчя порівнюємо з обличчям в біометричному закордонному паспорті або ID-карті. Тому це такий відповідальний процес.

Зараз ми працюємо на тим щоби спростити саму процедуру отримання COVID-сертифікату і прибрати або зменшити тривалість верифікації через Дія.Підпис на цій функції. Думаю, що протягом цього тижня вже стане відомо, що саме планується.

Треба розуміти, що тут, на жаль, не так як в бізнесі: опрацювали, переробили і запустили в продакшн. Всі функції, те як працює мобільний застосунок "Дія" і замовлення COVID-сертифікату зокрема – визначаються відповідними нормативними актами. До того як Кабінет міністрів проголосує за певне рішення, яке має спростити процес, ми не можемо це запустити.

– На моменті, коли ви почали казати про нейронні мережі, які зчитують обличчя, я вже бачу як до нас в коментарі у YouTube біжать прихильники теорій змови і кажуть: у біометричних паспортах уже є наші відбитки, зараз ще й у вас наші цифрові обличчя – нас заганяють у "цифрове рабство", тепер ніякого захисту персональних даних, ніякої конфіденційності.

– У людей завжди є різні думки. Що таке "цифрове рабство" я взагалі не розумію. Тому поясню про безпеку "Дії". Є дані, які потрапляють в реєстр, коли ми отримуємо закордонний біометричний паспорт або ID-карту. До речі, раджу ID-карту, тому що це набагато безпечніше ніж паперовий паспорт. Я сам її отримував, це навіть набагато простіше, ніж я думав, інструкція у нас є на YouTube.

Коли ти оформлюєш такий паспорт, тебе фотографують, але ця фотографія набагато якісніша ніж у наших паперових паспортах, і беруть відбитки пальців. Це частина безпеки в державному розумінні. А що стосується "Дії", то у нас на серверах немає жодних даних. Ми просто передаємо дані через свій сервер. Коли людина авторизувалася в "Дії", ми робимо запит до відповідного реєстру і через наш сервер ці дані йдуть до користувача. Тобто "Дія" – це таке віконечко, через яке людина запитує свої ж документи.

– Якраз уточню. Люди, коли роблять цю "гімнастику для шиї", часто переживають чи ніде це фото не зберігається. Бо не завжди це їхні найкращі фото.

– Ні, це ніде не зберігається. Ми і не маємо права на це і мали би бути просто нескінченні розміри сховища для того, щоби це зберігати. У нас фіксується сам факт підпису і кожної операції, і це більш важливо. Зараз цей підпис вже використовується не тільки для отримання COVID-сертифікату, але і для того, щоби підписати копію паспорта, наприклад. Тому це теж частина безпеки – логування, фіксація історії використання.

Жоден з нас не зможе порахувати скільки разів в минулому скидав собі в месенджери скани свого паспорта, нам це здавалося дуже діджитальним. Однак в "Дії" це працює так, що кожна копія паспорта, кожний вхід на наш портал, на сайт податкової, кожний COVID-сертифікат – все це фіксується, коли, де і на якому пристрої був накладений цей підпис.

– Людей трішки теж можна зрозуміти. З дитинства кажуть: нікому не давай свій паспорт та ідентифікаційний код, бо підуть і оформлять кредит, перепишуть квартиру і так далі. А тут раптом все це в одному телефоні. Якщо я загубив його, що далі?

– Улюблений мій приклад. Я завжди проводжу порівняння між звичайним паспортом і паспортом в "Дії". Що відбувається якщо ти загубив звичайний паспорт? Шахрай знайшов, вклеїв фотографію туди і далі може робити із ним все, що завгодно.

Єдине, що може тебе врятувати, це якщо цей паспорт вчасно потрапив у реєстр втрачених документів і організація, наприклад банк, куди його принесли, перевіряє цей реєстр. В іншому випадку ти навіть не дізнаєшся ніколи, яке далі було життя у цього паспорта. Мені навіть розповідали історію про людину, яка 8 років жила з таким паспортом, просто для того, щоби почати нове життя.

Що відбувається, якщо ти втратив телефон? Шахрай має підібрати код доступу у твій телефон, далі ще код доступу в "Дію", Face або Touch ID – і після трьох невдалих спроб всі документи з телефону видаляються. Тоді треба заново авторизуватися, Bank ID і весь цей шлях, який скоре стане навіть трохи складнішим і безпечнішим.

Навіть якщо з трьох спроб шахрай підібрав пароль і йде з цим розблокованим телефоном і "Дією" туди, де можна взяти кредит, там так само мають порівняти його обличчя, а завантажити іншу фотографію у застосунок не можна, вона підтягується з демографічного реєстру. Далі в кожному документі у "Дії" на звороті є QR чи штрих-код, що дозволяє сформувати копію документу, але застосунок дасть це зробити тільки після тієї ж "гімнастики для шиї" та пін-коду від Дія.Підпис.

Жоден шахрай не зможе пройти цей крок. Людина навіть не зможе в супермаркеті алкоголь чи сигарети купити з твоїм загубленим телефоном, тому що обличчя буде відрізнятися. Тому цифрові документи – це безпечніше, ніж носити паперові із собою з ризиком їх загубити.

Також важливо, що ці дані на телефоні зберігаються там, де операційна система, користувач туди не може потрапити. Якщо на телефоні з Android є root-права або "джейлбрейк" на iPhone, то на такому пристрої неможливо авторизуватися в "Дії". Сам застосунок перевіряє чи є такі доступи на цьому смартфоні, якщо так, то він вважає, що цей пристрій не є безпечним для використання документів.

– Зійшлися на тому, що це безпечно. Тоді наступне питання: чому цих документів так мало? Наші читачі у Facebook запитують, коли в "Дії" з'являться посвідчення учасника бойових дій (УБД), свідоцтво про шлюб, права власності на нерухомість тощо.

– Хороше питання. Розказую. Найголовніше те, що майже всі документи, які доступні в "Дії", можна віднести до тих, що посвідчують особу: водійське, студентський, паспорт внутрішній та закордонний. Додатково техпаспорт на автомобіль та автоцивілка. Над посвідченням УБД працюємо зараз із Мінветеранів, це не таємниця…

– Коли з'явиться?

– Якщо Мінветеранів встигне, то цієї осені, прямо зараз йде робота над цим. Якщо ні, то вже навесні. Але сподіваємося, що восени.

Що стосується свідоцтва про шлюб і так далі, то це не є дані на кожний день, відверто кажучи. Однак витяг такого документу можна буде створити через вебсайт порталу "Дія" (нагадаю, що у нас є не тільки мобільний застосунок) – це ми презентуємо вже наприкінці листопаду на Diia Summit (презентація нових сервісів "Дії", проводиться Мінцифрою двічі на рік, – ред.) А ось дані про вашу нерухомість та землю вже відображаються на порталі, якщо вони є в реєстрі.

10-20-30 років тому ніхто про електронні реєстри не думав. До 2013 року, якщо говорити про реєстр нерухомості, це все були папери, БТІ, нотаріуси і так далі, тому цих даних здебільшого в реєстрі немає. Вони часто є тільки в паперових архівах.

Як приклад, коли я йшов на державну службу, то подавав декларацію, де вказав нерухомість, в якій я є співвласником разом з батьками з 90-их років. І НАЗК мені надіслало запит: чому я вказав нерухомість, якої не існує. А це все тому, що це старий документ 1996-го року і він є тільки в БТІ.

– Що з цим робити?

– Ми зараз пілотуємо послугу із верифікації даних по нерухомості. Як це працює? Ви на порталі "Дія" через веб завантажуєте скани ваших документів на нерухомість, підтримуються, по-моєму, будь-які документи з 33-го чи 37-го року. Паралельно треба заповнити адресу, площу, всі основні дані про цю нерухомість в онлайн-форму. Потім БТІ отримує цю заявку, перевіряє в архівах чи це справжній скан документу і справжня інформація, і далі дані про нерухомість з'являються в реєстрі. Поки що це пілот, можливо наступного року зможемо вийти на масштаб всієї України.

– Звучить як космос. Пора вже переходити до електронних хабарів, бо як же БТІ буде виживати.

– В електронній формі хабарів не треба (сміється, – ред.). Є норми, в яких знаходиться чиновник. А на прикладі послуги з відкриття ФОП через "Дію" ми взагалі прибрали чиновника, зараз за пару секунд це робить система і все.

– Ви згадали, що наприкінці листопада відбудеться презентація нових послуг на Diia Summit. Проанонсуйте щось таке найцікавіше, для людей.

– Найцікавіше, для людей – субсидія. Всі давно чекали, коли з'явиться можливість оформити субсидію через "Дію", це дуже чутлива і важлива тема – 1,4 млн людей щороку подають документи на субсидію. І зараз нарешті Міністерство соціальної політики готове повністю до запровадження електронних послуг. Тому в листопаді презентуємо субсидію та інші соціальні послуги.

– Ще, здається, верифікація пенсіонерів?

– Там буде цілий пул послуг, які стосуються соціального страхування.

– Тобто це послуги, які здебільшого розраховані на людей старшого віку, а ви їм пропонуєте користуватися додатком у смартфоні чи порталом в інтернеті. Як бабусі до нього доберуться?

– Через сайт, через комп'ютер. Можна прийти, думаю, до будь-якої бібліотеки зараз в Україні і скористатися "Дією". Звісно хочеться, шоби онуки чи діти могли із цим допомогти. Однак і офлайн в будь-якому випадку це буде існувати, тому що є люди, які хочуть зайти до ЦНАП або все-таки цю пригоду пережити і поїздити по кільком установам. Ми в жодному разі не дискримінуємо людей, які хочуть зробити все офлайн, але в онлайні через портал це буде набагато зручніше.

Крім того, що повинен бути комп'ютер з інтернетом, є ще ж питання цифрових навичок. Тому нас є портал osvita.diia.gov.ua – це "Цифрова освіта", там де пояснюється від найпростішого, як користуватися інтернетом і сплачувати онлайн "комуналку", наприклад.

– Повертаючись до питання безпеки. У "Дії" з'явився клон. Продають доступ до застосунку ніби-то із повним пакетом документів як в "Дії". На власному досвіді скажу, що навіть після повернення з-закордону в мене подивилися тільки на наявність документів у "Дії", однак не перевіряли їх достовірність. Як змусити відповідальних осіб хоча б сканувати ці документи?

– Це можна посилити тільки через внутрішні додаткові інструктажі та відповідальність. Є ще момент звикання, бо зараз деякі області тільки перейшли в "червону" зону. Але поліція дійсно перевіряє сертифікати, по ТРЦ та закладам харчування проводяться рейди. Поліція може зайти навіть в магазин взуття і перевірити наявність COVID-сертифікатів у відвідувачів та співробітників. Такі ситуації є.

Щодо шахрайського застосунку, який схожий на "Дію". З точки зору роботи з документами цей застосунок не має нічого спільного з "Дією". Вони просто взяли наш дизайн. Там немає підключення до реєстрів, ніяких справжніх документів, він просто завантажує картки із можливістю редагування даних.

Однак важливо знати, що кіберполіція вивчала цей застосунок. Він отримує доступ до банківських даних, всієї інформації в телефоні, починаючи від смс та дзвінків. І використання такого застосунку навіть для покупки алкоголю, якщо ти неповнолітній, вважається використанням підробних документів. За це можна отримати адміністративний штраф і навіть умовний строк.

– Якраз хотів запитати, що загрожує розробникам і, найголовніше, користувачам таких "фейків"?

– Оскільки документи в "Дії" визначені як повноцінні аналоги паспортів, то відповідно і покарання за їх підробку таке ж саме. Здається, до 5 чи 6 років за підробку, і за використання теж є штраф, по-моєму, до 34 тисяч гривень, і зараз в роботі посилення покарання до двох років позбавлення волі.

– Існує й інша проблема. Коли людина користується справжнім сертифікатом, але щеплення насправді не відбувалося. Лікар за "винагороду" вилив вакцину, вніс дані про щеплення до медичного реєстру. Така людина отримала сертифікат, однак вона не захищена і несе небезпеку для оточуючих. Наскільки масштабна ця проблема і що відбувається з такими сертифікатами, коли схему розкривають?

– Ця проблема існує. Масштаб її оцінити доволі складно. Бо той факт, що вам лікар робить щеплення – це медична таємниця. Є якась кількість таких випадків, правоохоронні органи абсолютно точно ними займаються. Відповідальність за це теж є, лікар карається, до 3 років ув'язнення, і 170 тисяч гривень може бути штраф.

До пошуку таких недоброчесних лікарів і медичних працівників залучене МОЗ, оскільки це їхні безпосередньо підлеглі. На жаль, якщо вони правильно вносять всі дані про несправжнє щеплення до реєстру, то вони будуть відображатися і у "Дії". Однак разом із МОЗ ми зараз пропрацьовуємо механізм видалення COVID-сертифікату після того, як є підтвердження того, що він був не справжній.

– А як це можна підтвердити?

– Якщо людина не перехворіла, ввійшла в змову із лікарем, придбала справжній номер вакцини, не маючи самого щеплення, то поки вона не захворіє ми не зможемо ніяк це виявити. Проте якщо людина потрапила до лікарні із COVID і тест показує, що насправді в неї не було щеплення, але є сертифікат – з цього моменту може починатися розслідування.

Кожне щеплення підписується електронним ключем лікаря. Умовно пацієнту внесли дані про справжню вакцинацію, однак не зробили йому укол. Він потрапляє до лікарні, визначається, а це не складно, за словами медиків, що щеплення в нього не було. Тоді одразу зрозуміло, який лікар пішов на змову.

– Тобто випадків видалення сертифікатів ще не було?

– Ще не було, але ми дуже близькі до цього. До кінця року вже можна буде виявляти такі випадки і видаляти дані про несправжню вакцинацію.

– Певно вже заключне питання. Ми говоримо про нові послуги, про те, що держава рухається до глобальної цифровізації. Одна з ідей, які звучать, це електронні вибори. За нашою інформацією, керівництво держави поставило вашій команді завдання визначити наскільки це реально в осяжній перспективі. Чи є прогрес у цьому напрямку?

– В цілому, з точки зору електронної демократії, у нас є петиції, які зараз допрацьовуються. Ми працюємо над функціоналом опитувань. Але до самого виборчого процесу вони не мають зараз відношення. Тому що технічний код опитувань не може відповідати виборчому процесу.

За світовим досвідом тут виникає питання електронних бюлетенів і анонімізації при підрахунку. Ми зараз частково вивчаємо, які форми електронної демократії можемо запровадити в "Дії", крім петицій, можливо якісь із них в майбутньому зможуть лягти в основу саме електронних виборів. Але скажу точно: цілі чи завдання запровадити до 2023 чи 2024 року можливість електронних виборів – немає.

– Але в принципі, чи можливо технічно, щоби вже наступні президентські вибори пройшли в електронному форматі?

– Я думаю, що ще ні. Це доволі складний і тернистий шлях. З виборами не можна дати в штангу. Навіть в Естонії, яка доволі давно практикує електронний формат виборів, вони проходять паралельно в офлайні, і навіть більше в офлайні. Тому сказати, що наступні президентські чи парламентські вибори у нас будуть в онлайні – я не можу. Можливо буде якась окрема пілотна дільниця, щоби протестувати шлях, яким рухається багато країн. Але сказати, що ми на цьому шляху і вже через пару років до цього дійдемо – поки цього нема.