Безпека мобільного застосунку Дія

Щодо мобільного застосунку Дія існує безліч запитань, особливо – про захист персональних даних користувачів. Ми не лише розуміємо важливість захисту персональних даних, а й несемо за це відповідальність перед українцями.

Тому відповідаємо на головні запитання про безпеку застосунку Дія та пояснюємо, чому користуватися цифровими документами безпечно, а витік даних практично неможливий.

Чи можливо витягнути дані з Дії?

Дія не зберігає персональних даних користувачів, а лише в разовий запит ідентифікованого громадянина відображає інформацію з реєстрів. Через Дію неможливо оцифрувати документи, завантажити їх чи зробити щось подібне. На смартфонах Android навіть нереально зробити скрін із застосунку. Дія – це винятково віддзеркалення вже наявних у громадян документів. 

Архітектура застосунку Дія побудована таким чином, що на серверній частині взагалі не здійснюється зберігання персональних даних користувачів. При цьому інформація в каналах передачі даних передається у зашифрованому вигляді, а на деяких етапах – використовується подвійне шифрування. Усі сервери мобільного застосунку Дія розташовані в Україні, тобто ніяка інформація про користувачів не йде за кордон. Серверна частина системи розгорнута в хмарній інфраструктурі, яка має необхідні сертифікати безпеки, у тому числі – КСЗІ. Єдине місце, де було залучено зарубіжну компанію, – це захист від атак розподіленого доступу (DDOS-атак). Для цього було використано інфраструктуру компанії Amazon, яка частково розташована в Німеччині.

Крім того, важливо зауважити, що мобільний застосунок Дія пройшов низку позитивних аудитів – як приватних, так і державних (ДССЗЗІ).

Як здійснюється захист персональних даних? 

Захист персональних даних у мобільному застосунку Дія виконаний за кращими практиками безпеки для рішень такого типу – використаний підхід "глибокого захисту" (defense-in-depth). Також проведено відповідні пен-тести, тобто тестування безпеки застосунку компанією EPAM. 

Які тести пройшов застосунок Дія? 

Дію тестувала внутрішня команда EPAM, яка не була залучена до розроблення. Для них це був новий, незнайомий продукт, що дозволило зберегти об'єктивність дослідження. Всього – близько 20 експертів із кібербезпеки, серед яких – і фахівці EPAM Security Competence Center. З точки зору безпеки вони перевіряли і production backend, і мобільний застосунок. Також разом із компанією EPAM команда Дії проводила тестування, до якого залучали білих хакерів, щоб виявити вразливі місця. Тому застосунок Дія є доволі надійним та захищеним. 

Чи можливо отримати персональні дані та доступ до банківських рахунків через BankID? 

Коли користувач встановлює Дію, перше, що він робить, – проходить ідентифікацію за допомогою технології BankID. Однак безліч людей бояться, що через BankID зловмисники зможуть дістати доступ до банківських рахунків. 

Банки зберігають про користувачів два типи інформації: personal identifiable information (PII) – і personal credit card information (PCI). За вимогами безпеки ці дані мають зберігатися окремо і з різними API. Для роботи застосунку Дія користувач надає доступ суто до personal identifiable information (PII). Усі банки, що належать до системи BankID Національного банку України, у тому числі Приватбанк, повідомляють, до яких саме даних буде відкрито доступ, і лише сам користувач може надати згоду на передачу цієї інформації про себе. Йдеться про ПІБ, паспорт, ІПН, телефон, адресу і електронну пошту. Перевірити цей перелік можна на сайті https://id.gov.ua. 

Отримана інформація передається на смартфон користувача у вигляді зашифрованого і підписаного криптопримітива. Він не розшифровується на пристрої, а лише слугує ключем, за яким застосунок отримує доступ до документів. 

Які дані передаються через QR-код?

Для того щоб перевірити достовірність документів у Дії, використовується QR-код. 

Багато користувачів турбуються про те, які дані передаються через нього. У QR-коді зашифрований одноразовий пароль, який дозволяє верифікувати документ. Він дійсний лише три хвилини. Ризик того, що хтось устигне сфотографувати ваш код, скористається ним упродовж трьох хвилин і так дістане доступ до вашого документу, – мінімальний.