Як безпечно використовувати «Дія». Фото: Pixabay
Фраза «держава у смартфоні» для українців більше не пустий звук. У країні діє державний застосунок онлайн-послуг «Дія». Окрім масштабних планів із розвитку, вже впроваджені цілком конкретні функції.
Попри цю «перемогу» користувачі скаржаться на дрібні баги. Що робити, якщо «Дія» не діє, наскільки швидко служба підтримки реагує на скарги, та чи захищені дані українців у застосунку.
Перемога цифровізації над папером
Одним із пунктів передвиборчої програми президента Володимира Зеленського був пункт про діджіталізацію. У лютому 2020 року було презентовано застосунок державних онлайн-послуг «Дія». Оновлення та можливості зарясніли одне за одним: анонс запуску послуги «Статичний QR», технологія NFC-авторизації, процес автоматичної реєстрації нових ФОП – неповний перелік того, чим займається команда програми та Мінцифри.
Наприкінці березня 2021 року Верховна Рада ухвалила у другому читанні законопроєкт, який прирівнює цифрові паспорти у додатку «Дія» до паперових. Тобто документ у застосунку – такий же документ, як пластиковий або паперовий.
У грудні 2020 року за допомогою «Дія» підприємці і наймані працівники, діяльність яких підпадала під заборону в період посиленого карантину у січні, мали можливість отримати 8 тис. грн допомоги. Послугою скористалися щонайменше 500 тис. ФОП і найманих працівників. 30 березня 2021 року Верховна Рада підтримала законопроєкт із аналогічною метою – підтримати ФОП і найманих працівників під час чергового локдауну в Україні. Також через застосунок можна навіть записатися в чергу на вакцинацію проти COVID-19.
В App Store і Play Market додаток оцінили в 4,1 із 5. З найпоширеніших його проблем – зникнення даних із програми, несвоєчасне «підтягування» інформації, довга верифікація та некоректна робота застосунку. Ще смартфон може не підтягнути документи, якщо він не підключений до інтернету. Оскільки документи підтягуються з реєстру, цифрові паспорти – це не просто картинка паспорта в смартфоні. При перевірці документів у «Дія» повинен висвітитися QR-код – людина, яка запросить перевірку документів, повинна скористатися ним, і після чого на його смартфоні з'являться потрібні дані.
Ще одним «каменем спотикання» для користувачів може стати їхній смартфон та рівень його кібербезпеки.
Що робити, щоб «Дія» діяла?
У пресслужбі The Page розповіли, що дійсно, іноді користувачі скаржаться на те, що їхні документи не підтягуються у застосунок «Дія». Але така проблема найчастіше виникає через те, що користувач не оновив мобільний застосунок до версії Дія 2.0.
Потрібно завантажувати додаток тільки з офіційних джерел – Apple Store, Play Market та Huawei AppGallery. Якщо застосунок не з цих джерел, то дані з реєстрів не підтягнуться. Знайти посилання для скачування можна на офіційному сайті «Дія»
Додатково не варто встановлювати програми, які б розширювали стандартні можливості смартфону або мали доступ до його файлової системи, так звані «root-права».
Якщо ж самостійно проблему з додатком вирішити не вдалося, варто звернутися до служби підтримки. Вона готова допомогти у випадках, коли:
- у користувача виникли питання про те, як користуватися цифровими документами або про умови оформлення послуг;
- потрібно дізнатися про особливості відображення документів;
- уточнити строки обробки заявок на послуги;
- можливі проблемні випадки.
«Зазвичай у месенджерах команда підтримки відповідає на запитання протягом 5 хвилин, щоб допомогти консультацією», – обіцяють у «Дія» та додають, що деякі випадки можуть зайняти більше часу. Наприклад, якщо йдеться про перевірку разом із користувачем версії застосунку, чи коректність даних у банку, за якими дані з реєстрів підтягуються в застосунок чи на портал.
Кібербезпека
Всі особливості, про які попереджають користувачі, оперативно передаються команді для їхного оперативного вирішення, повідомили у пресслужбі. Нещодавно IT ресурс ebanoe.it отримав анонімний лист, у якому розповідалося про «критичну уразливість» у «Дія». Щоправда, йшлося не про додаток, а про одноразовий вебсайт – сторінку запрошення на публічний захід.
Коротко: на сторінці анонсу були викладені у відкритий доступ паролі до репозиторіїв вихідного коду. За допомогою них можна було завантажити вихідний код.
«Ключовий момент у цій всій історії – ніякого злому не було, ніхто нічого не ламав. Люди просто ознайомилися з тим, що лежало на поверхні у відкритому доступі, і повідомили про це», — розповіли на IT ресурсі.
Пізніше вразливість була закрита, а папка з вихідним кодом прихована.
«Зазначений інцидент не стосується ані мобільного застосунку, ані веб-порталу «Дія». Інцидент стосується одноразового вебсайту (лендинг-пейдж) для інформування та реєстрації на публічний захід «Презентація Дія City», що відбувся 5 квітня 2021 року», – наголосили у «Дія».
У пресслужбі «Дія» додали, що знайдений небайдужими представниками ІТ-спільноти «пароль до репозиторіїв вихідного коду» насправді є службовим токеном для інсталяції готових (скомпільованих) додатків. Із використанням даного токену неможливо отримати чи модифікувати вихідний код. Крім того, використання такого токену можливе лише у середині периметру захищеної інфраструктури, а доступ ззовні заблокований відповідним налаштуванням firewall.
«Тож, зазначена вразливість не призвела та не могла призвести до витоку інформації з одноразового лендинг-пейджу, а тим паче з ресурсів «Дія», – повідомили у пресслужбі та подякували активістам ІТ-спільноти за пильність та активну позицію.
Посилюють захист і самого застосунку. У грудні 2020 року команда Міністерства цифрової трансформації на платформі Bugcrowd за підтримки агентства з міжнародного розвитку США (USAID) провела тестування (багбаунті) на знаходження можливих помилок у «Дія» з призовим фондом в 1 млн грн.
«Це був челендж для «етичних» хакерів з усього світу. Ідея — «зламати» копію застосунку і знайти уразливості в Дія 2.0. Етичні хакери зі всього світу підтвердили надійність «Дія» під час проведення програми Bug Bounty. У застосунку не виявили вразливостей, які б впливали на безпеку. Знайдено два технічних баги найнижчого рівня, які одразу були виправлені», – додають у пресслужбі.
Мобільний застосунок отримав атестат відповідності Комплексної системи захисту інформації (КСЗІ) на мобільний застосунок Дія 2.0. Ще «Дія» успішно пройшла 2 pen-тести «Дія» із партнерами USAID та Академією е-урядування Естонії.