Приложение "Дия": защита персональных данных и безопасность

37414 просмотров
Суббота, 08 февраля 2020, 15:46
Михаил ФедоровМихайло Федоров
вице-премьер-министр – министр цифровой трансформации Украины

Смартфон каждого человека содержит массу персональной информации: фото, контакты, переписка, история передвижений, банковские карты с возможностью NFC-оплат. О защите всего этого заботится как сам пользователь, так и производители смартфонов, операционных систем и приложений.

Кого-то из пользователей защита персональных данных волнует больше, кого-то – меньше. Но уж точно абсолютно равнодушных к этому вопросу людей не существует.

Команда Минцифры – такие же люди, у которых есть смартфоны. При этом мы не только понимаем важность защиты персональных данных, но и несем за нее ответственность перед украинцами при разработке своих продуктов.

На днях мы презентовали наше любимое дитя – мобильное приложение "Дия", благодаря которому украинцы могут загрузить в смартфон электронные версии своих документов: уже сейчас – водительское удостоверение и техпаспорт, через месяц – ID-карты, биометрический паспорт и студенческий.

И мое искреннее желание, как человека, и обязанность, как министра, – развеять опасения по поводу защиты данных в "Дие".

Поэтому расскажу вам, как мы заботимся о безопасности приложения "Дия".

1. Все пользователи проходят идентификацию через банки, в которых обслуживаются

Когда пользователь только установил "Дию", первое, что он делает – логинится с приложения с помощью технологии BankID. Эта технология дает гражданину возможность пройти идентификацию через свой банк, в котором хранится необходимая информация о клиенте.

Такой способ идентификации является достаточно надежным и его применение – традиционная практика для многих развитых стран мира.

К нашему приложению подключены популярные Приватбанк, Монобанк, а также система BankID Национального банка Украины, в которую входят 16 банков. К банковским системам предъявляются высокие требования безопасности.

2. "Дия" прошла серьезное тестирование

Обеспечить высокий уровень защиты приложения нам во многом позволило сотрудничество с компанией EPAM – одним из мировых лидеров в сфере IT-разработок. Наш партнер уделяет немало внимания вопросу защищенности информации.

Архитектура "Дии" построена таким образом, что на серверной части приложения не осуществляется постоянное хранение персональных данных пользователей.

При этом информация в каналах передачи данных передается в зашифрованном виде, а на некоторых этапах – используется двойное шифрование.

Защита персональных данных в мобильном приложении "Дия" выполнена по лучшим практикам безопасности для решений такого типа, использован подход "глубокой защиты" (defense-in-depth).

Кроме того, вместе с IT-специалистами EPAM мы серьезно подошли к тестированию нашего приложения, в том числе провели так называемые пен-тесты, то есть тестирование безопасности приложения.

По сути, мы попытались, в том числе с привлечением внешних ІТ-специалистов, "хакнуть" "Дию", для того, чтобы выявить все уязвимые места.

Это позволяет мне сказать, что "Дия" на сегодняшний день является достаточно защищенным приложением.

Реклама:

3. Предъявителя документа можно проверить

А теперь – важный момент, на который я хочу обратить внимание пользователей. Механизм верификации документов в "Дия" основан на QR-коде, генерируемом приложением. Он не содержит никакой персональной информации и является действительным только в течение 3 минут.

По сути – это такой временный линк. А значит, риск того, что кто-то успеет сфотографировать ваш код и тем самым получит доступ к вашему документу – минимален.

Важно, что с помощью QR-кода проверить достоверность документов могут не только представители полиции, но и вы сами.

С помощью любого смартфона, с установленным на нем приложением "Дия", можно считать QR-код с другого смартфона (с помощью камеры или специального приложения для считывания QR-кодов) и убедиться в достоверности документа.

Интересный факт – с точки зрения безопасности, цифровые документы в смартфоне являются более защищенными, чем физические. "Дия" дает возможность загрузить техпаспорт только владельцу авто. В то же время Единый транспортный реестр содержит записи-клоны – не секрет, что это достаточно распространенная практика в Украине.

4. Все данные пользователей "Дия" находятся в Украине

Еще один очень важный месседж – все серверы мобильного приложения "Дия" находятся в Украине. То есть, никакая информация о пользователях не уходит за границу.

Серверная часть системы развернута в облачной инфраструктуре еще одного нашего партнера – компании De Novo, которая имеет необходимые сертификаты безопасности.

Единственное место, где мы привлекли зарубежную компанию – это защита от атак распределенного доступа (DDOS-атак). Для этого мы используем инфраструктуру компании Amazon, которая частично расположена в Германии.

Читайте также: Государство в смартфоне: как будет работать приложение "Дия" и стоит ли переживать за безопасность

И в заключение хочу сказать: мы понимаем, что обеспечение безопасности – это не результат, а процесс.

Над "Дией" работает крутая команда, мы постоянно развиваем и улучшаем мобильное приложение. Но на 100% обезопаситься от абсолютно всех уязвимостей невозможно.

Наверняка после всеукраинского релиза будут попытки взломать приложение. Мы готовы к таким вызовам и благодаря им получим дополнительную возможность сделать нашу "Дию" еще более защищенной.

Михаил Федоров, вице-премьер-министр – министр цифровой трансформации Украины, для УП

Колонка – матеріал, який відображає винятково точку зору автора. Текст колонки не претендує на об'єктивність та всебічність висвітлення теми, яка у ній піднімається. Редакція "Української правди" не відповідає за достовірність та тлумачення наведеної інформації і виконує винятково роль носія. Точка зору редакції УП може не збігатися з точкою зору автора колонки.

Реклама:
Уважаемые читатели, просим соблюдать Правила комментирования
Реклама:
Информационная изоляция Донбасса или Еще один "грех" Facebook
Почему невозможно таргетировать рекламу в соцсетях по всей Украине (укр.).
̶Н̶е̶ для прессы. Почему Раде следует восстановить прозрачность
Как Банковая планирует дальше блокировать назначение Клименко руководителем САП
Руководство страны может попытаться использовать ручную комиссию сейчас, затянув назначение Клименко на несколько месяцев и переиграть уже даже утвержденные результаты (укр.).
Кредиты и ипотека во время войны
Как государство поддерживает тех, у кого есть кредиты в банках и что делать, чтобы не допустить массового банкротства после войны? (укр.)
Зеленое восстановление транспорта: удобно для людей
Какие принципы следует учесть при восстановлении городов, чтобы улучшить систему общественного транспорта? (укр.)
Запустите малую приватизацию в условиях войны. Что для этого нужно?
Зачем возобновлять процесс приватизации во время войны? (укр.)
Оккупанты воруют украинское зерно: поименный список мародеров
Кто помогает вывозить и какие компании покупают у россиян украденное украинское зерно? (укр.)