Фраза «государство в смартфоне» для украинцев больше не пустой звук. В стране действует государственное приложение онлайн-услуг «Дія». Кроме масштабных планов по развитию, уже внедрены вполне конкретные функции.
Несмотря на эту «победу» пользователи жалуются на мелкие баги. Что делать, если «Дія» не действует, насколько быстро служба поддержки реагирует на жалобы и защищены ли данные украинцев в приложении.
Победа цифровизации над бумагой
Одним из пунктов предвыборной программы президента Владимира Зеленского стоял пункт о диджитализации. В феврале 2020 года было представлено приложение государственных онлайн-услуг «Дія». Обновления и возможности запестрели одно за другим: анонс запуска услуги «Статический QR», технология NFC-авторизации, процесс автоматической регистрации новых ФОП – неполный перечень того, чем занимается команда программы и Минцифры.
В конце марта 2021 года Верховная Рада приняла во втором чтении законопроект, который приравнивает цифровые паспорта в приложении «Дія» у бумажным. То есть документ в приложении – такой же документ, как пластиковый или бумажный.
В декабре 2020 года с помощью «Дія» предприниматели и наемные работники, деятельность которых подпадает под запрет в период усиленного карантина в январе, имели возможность получить 8 тыс. грн помощи. Услугой воспользовались менее 500 тыс. ФОП и наемных работников. 30 марта 2021 года Верховная Рада поддержала законопроект с аналогичной целью – поддержать ФОП и наемных работников во время очередного локдауна в Украине. Также через приложение можно даже записаться в очередь на вакцинацию против COVID-19.
В App Store и Play Market приложение оценили в 4,1 с 5. Из наиболее распространенных его проблем – исчезновение данных из программы, несвоевременное «подтягивания» информации, длинная верификация и некорректная работа приложения. Еще смартфон может не подтянуть документы, если он не подключен к интернету. Поскольку документы подтягиваются из реестра, цифровые паспорта – это не просто картинка паспорта в смартфоне. При проверке документов в «Дія» должен высветиться QR-код – человек, который пригласит проверку документов, должен воспользоваться им, и после чего на его смартфоне появятся нужные данные.
Еще одним «камнем преткновения» для пользователей может стать их смартфон и уровень его кибербезопасности.
Что делать, чтобы «Дія» действовала?
В пресс-службе рассказали, что действительно, иногда пользователи жалуются на то, что их документы не подтягиваются в приложение «Дія». Но такая проблема чаще всего возникает из-за того, что пользователь не обновил мобильное приложение до версии Дія 2.0.
Нужно загружать приложения только из официальных источников – Apple Store, Play Market и Huawei AppGallery. Если приложение не из этих источников, то данные с реестрам не подтянутся. Найти ссылки для скачивания можно на официальном сайте «Дія»
Дополнительно не стоит устанавливать программы, которые расширяли б стандартные возможности смартфона или имели доступ к его файловой системе, так называемые «root-права».
Если же самостоятельно проблему с приложением решить не удалось, следует обратиться в службу поддержки. Она готова помочь в случаях, когда:
- у пользователя возникли вопросы о том, как пользоваться цифровыми документами или об условиях оформления услуг;
- нужно узнать об особенностях отображения документов;
- уточнить сроки обработки заявок на услуги;
- возможные проблемные случаи.
«Обычно в мессенджерах команда поддержки отвечает на вопросы в течение 5 минут, чтобы помочь консультацией», – обещают в «Дія» и добавляют, что некоторые случаи могут занять больше времени. Например, если речь идет о проверке вместе с пользователем версии приложения, или корректности данных в банке, по которым данные из реестров подтягиваются в приложение или на портал.
Кибербезопасность
Все особенности, о которых предупреждают пользователи, оперативно передаются команде для их оперативного решения, сообщили в пресс-службе. Недавно IT-ресурс ebanoe.it получил анонимное письмо, в котором рассказывалось о «критической уязвимости» в «Дїя». Правда, речь шла не о приложении, а об одноразовом веб-сайте – странице приглашения на публичное мероприятие.
Коротко: на странице анонса были выложены в открытый доступ пароли к репозиториям исходного кода. С помощью них можно было загрузить исходный код.
«Ключевой момент в этой всей истории – никакого взлома не было, никто ничего не ломал. Люди просто ознакомились с тем, что лежало на поверхности в открытом доступе, и сообщили об этом», – рассказали на ІТ-ресурсе.
Позже уязвимость была закрыта, а папка с исходным кодом скрыта.
«Указанный инцидент не касается ни мобильного приложения, ни веб-портала «Дія». Инцидент касается одноразового веб-сайта (лендинг-пейджа) для информирования и регистрации на публичное мероприятие «Презентация Дія City», которое состоялось 5 апреля 2021 года», – отметили в «Дія».
В пресс-службе «Дія» добавили, что найденный неравнодушными представителями IT-сообщества «пароль к репозиториям исходного кода» на самом деле является служебным токеном для инсталляции готовых (скомпилированных) приложений. С использованием данного токена невозможно получить или модифицировать исходный код. Кроме того, использование такого токена возможно лишь в середине периметра защищенной инфраструктуры, а доступ извне заблокирован соответствующей настройкой firewall.
«Поэтому указанная уязвимость не привела и не могла привести к утечке информации из одноразового лендинг-пейджа, а тем более из ресурсов «Дія», — сообщили в пресс-службе и поблагодарили активистов IT-сообщества за бдительность и активную позицию.
Усиливают защиту и самого приложения. В декабря 2020 года команда Министерства цифровой трансформации на платформе Bugcrowd при поддержке агентства по международному развитию США (USAID) провела тестирование (багбаунти) на нахождение возможных ошибок в «Дія» с призовым фондом в 1 млн грн.
«Это был челлендж для «этических» хакеров со всего мира. Идея – «сломать» копию приложения и найти уязвимости в Дія 2.0. Этические хакеры со всего мира подтвердили надежность «Дія» во время проведения программы Bug Bounty. В приложении не выявили уязвимостей, которые бы влияли на безопасность. Найдено два технических бага низкого уровня, которые сразу были исправлены», – добавляют в пресс-службе.
Мобильное приложение получило аттестат соответствия Комплексной системы защиты информации (КСЗИ) на мобильное приложение Дія 2.0. Еще «Дія» успешно прошла 2 pen-теста «Дія» с партнерами USAID и Академией е-правительства Эстонии.