Так ли безопасна Дія, как о ней рассказывают? Отвечает министр цифровой трансформации

Минцифры проводит второй этап bug bounty приложения Дія. Хакнеш систему? (укр.)

Щосекунди у світі відбуваються тисячі кіберзлочинів. IT-гіганти, уряди, фінансові установи та навіть промислові заводи зазнають атак. Протистояння кіберзлочинцям – наша нова реальність та виклик XXI століття. Де б ви не жили і чим би не займалися, ви маєте знати ази кібергігієни.

Який би цифровий продукт ви не виготовляли, він завжди має бути у комплекті із надійною системою  захисту, яка має постійно оновлюватися і бути на крок попереду від можливих атак.

Якщо говорити про мобільний застосунок Дія, який розбудовує Міністерство цифрової трансформації, то його безпека для нас дуже важлива. Питання кіберзахисту потребує миттєвого оновлення рішень, бо щодня у сфері кібербезпеки з’являються нові тренди та можливості. Ми стараємося розширювати можливості та функції Дії, тому нам весь час потрібно посилювати захищеність застосунку, наприклад, ми проводимо тести. Саме тому вже вдруге запускаємо процедуру bug bounty Дії з призовим фондом $35 000.

Що таке bug bounty та як буде проходити процедура

Bug bounty передбачає винагороду за кожну знайдену вразливість системи. Це допомагає виявити можливі недоліки та усунути їх — стандартна практика для іноземних країн. Такі тести постійно проводять компанії Apple, Google, Facebook, Twitter, Microsoft. Також процедуру використовують і для тестування державних сервісів, як це робили уряди Швеції та Сінгапуру. Однак в Україні це все ще непопулярна практика.

Bug bounty Дії триватиме шість місяців, або ж до того моменту, коли вичерпається призовий фонд. Головний пріоритет цього етапу — тестування Дія.Підпису, електронного підпису у смартфоні. Не менш важливою буде перевірка створення електронних копій документів та їх шерингу.

Bug bounty буде проходити на платформі Bugcrowd – одній із найбільших міжнародних компаній, яка спеціалізується на кібербезпеці. Реєстрація – за посиланням.

Усі знайдені вразливості будуть проаналізовані командою спеціалістів Мінцифри. У разі підтвердження вразливості, буде виплачена винагорода.

Нагорода буде ділитися за декількома категоріями складності: за виявлення мінімальної вразливості — від $200 до $250. За виявлення критичної вразливості — від $4100 до $4500.

Це не перший етап bug bounty Дії – у грудні 2020 року перевіряли мобільний застосунок. Тоді участь брали лише "етичні хакери" — спеціалісти з пошуку програмних недоліків — з усього світу. Цього разу правила зміняться. Держава проведе відкритий для всіх охочих bug bounty, в якому зможе взяти участь кожен, незалежно від досвіду та кваліфікації.

Ми з командою часто отримуємо запитання щодо безпечності Дії та цифрових документів, які турбують українців. Тому в цій колонці відповідаємо на найпоширеніші з них.

Як мій паспорт потрапив у Дію та чи можна його підробити?

У Дії доступні одразу два цифрових паспорти — ID-картка та біометричний закордонний. Паспорт у  Дії є прямим відображенням даних з реєстру ДМС.

Час від часу, коли ви заходите в застосунок, Дія робить запит до реєстрів та показує вам інформацію, яка там про вас вже є. Саме тому під кожним документом вказується дата і час, коли востаннє оновлювались дані.

Крім того, дійсність документу можна перевірити через сканування унікального QR-коду — він дійсний упродовж трьох хвилин. Підробити, викрасти чи загубити паспорт завдяки цьому неможливо.

А якщо хтось викраде мій телефон та зможе проникнути в мій акаунт у Дії?

Це буде зробити дуже складно завдяки методу багатофакторної автентифікації. Для того, щоб отримати доступ до паспорта у втраченому телефоні, треба зламати код доступу до телефону та окремо код доступу до Дії. На це дається лише три спроби. Це убезпечує користувача від випадків перебору різних варіантів коду для входу.

Максимальний захист утворюють додаткові засоби безпеки, наприклад, вхід через відбиток пальця чи Face ID.

Проте, якщо ситуація зі зламом все ж трапилася, негайно заблокуйте свій обліковий запис в Play Market чи App Store та зверніться у службу підтримки.

А якщо я поділився електронною копією документу, чи можуть шахраї нею скористатися після шерингу?

Електронна копія документу — це не скан, або скріншот з Дії. Це PDF з текстом та фото, на якому також зазначено, коли й за чиїм запитом було створено цю копію. Саме тому повторно її використати неможливо.

Як це працює?

Компанія підключається до Дії, щоб отримувати цифрові копії документів. Ми перевіряємо компанію, і, якщо все добре, авторизуємо її. На звороті кожного документу є QR-код, строк життя якого — три хвилини. Старий код використати для запиту неможливо.

Після сканування людина отримує сповіщення у Дії. Там зазначено, хто й коли просить копію документу. Людина підтверджує запит, а в системі формується копія документу, підписується Дія.Підписом та відправляється зашифрованим каналом.

Важливо: копію отримує саме компанія, а не працівник. Він може навіть не мати доступу до копії.

Як Дія зберігає мої персональні дані і чи можливо їх викрасти?

Дія не зберігає персональних даних користувачів на своїх серверах, а лише відображає для користувача ті дані, які є у державних реєстрах. Тобто застосунок — це своєрідний транзит між держреєстрами та вашим смартфоном. Те, що ви бачите на екрані телефону  це та інформація, яку має про вас держава..

До речі, при bug bounty для тестувальників буде створено окреме тестове середовище —  копія застосунку Дія.

Тобто, навіть якщо будуть знайдені якісь вразливості у роботі застосунку, то "хакери" не зможуть ними скористатися. Тестувальники не матимуть доступу до зовнішніх інформаційних систем: держреєстрів, банківських систем (реєстрація у застосунку відбувається через BankID) та інформаційних систем вендорів (функціонал для шерингу документів).

Уже більш ніж півтора року ми змінюємо ставлення українців до публічних послуг — від реєстрації бізнесу до отримання свідотства про народження немовля. Робимо присутність держави у важливих життєвих подіях простою, зрозумілою та найголовніше — безпечною.

На сьогодні застосунком користуються вже понад 6 млн українців. Мінцифри робить все, щоб постійно підтверджувати захищеність Дії, адже чим більше людей довірятиме державним сервісам онлайн, тим більше ними користуватимуться.

Довітково. Реалізація bug bounty відбувається за підтримки міжнародної платформи Bugcrowd та проєкту агентства з міжнародного розвитку США (USAID) "Кібербезпека критично важливої інфраструктури України".