«Орієнтовно з 21 серпня українці зможуть спокійно їхати за кордон із цифровими ковід-сертифікатами». Як вони працюють, які дані містять і наскільки безпечні — розповідає розробник «Дії» Мстислав Банік

Автор:
Оксана Коваленко
Редактор:
Катерина Коберник
Дата:
«Орієнтовно з 21 серпня українці зможуть спокійно їхати за кордон із цифровими ковід-сертифікатами». Як вони працюють, які дані містять і наскільки безпечні — розповідає розробник «Дії» Мстислав Банік

Facebook / Mstyslav Banik

У квітні 2021 року премʼєр-міністр Денис Шмигаль заявив, що Єврокомісія та Україна разом працюватимуть над цифровими ковід-сертифікатами. Премʼєр анонсував, що в такому документі буде інформація про вакцинацію, ПЛР-тести і про те, коли людина перехворіла на ковід. З того часу багато країн Євросоюзу, зокрема Німеччина, Франція, Данія, ввели такі сертифікати. Вони не тільки дають право потрапити до країн, де діють ковід-обмеження, але і стали перепусткою в громадські місця. Приміром, у Франції без такого сертифіката не можна потрапити в кафе, на виставку тощо. В Україні онлайн-сертифікати Міністерство цифрової трансформації почало тестувати в липні цього року в додатку «Дія». Запуск анонсували на кінець липня. Під час тестів завантажити сертифікати вийшло тільки у половини добровольців. А 19 серпня ЄС визнав українські міжнародні онлайн-сертифікати. Як вони працюють, чим внутрішні сертифікати відрізняються від міжнародних і якою інформацією українці будуть ділитися з митниками і не тільки — у бліцінтервʼю Мстислава Баніка, керівника з розвитку електронних послуг Мінцифри.

Яка саме інформація буде в електронному ковід-сертифікаті?

Є два види ковідних сертифікатів — український внутрішній і міжнародний. У внутрішньому буде вказане прізвище, імʼя та по-батькові, дата народження, фотографія і термін дії щеплення.

Що стосується міжнародного сертифіката, то в ньому фотографії не буде. Там буде імʼя і прізвище англійською, дата народження, частково інформація про серію і номер закордонного паспорту і інформація про вакцину — її назва, дата останнього щеплення, термін дії сертифіката, і хто згенерував сертифікат [у нашому випадку «Дія»]. Це та інформація, яка знадобиться при перетині кордону.

Учора [19 серпня] стало відомо, що Європейський Союз визнав українські міжнародні електронні сертифікати, коли вони запрацюють?

Так, тепер прикордонник будь-якої країни ЄС може відсканувати QR-код на сертифікаті і бути впевненим, що документ дійсний і що людина має щеплення. Всі технічні тестування ми пройшли минулого тижня. Рішення ЄС про визнання наших сертифікатів вступає в дію з 20 серпня. Нам потрібна буде доба, щоб перемкнути всі налаштування з тестового середовища на продуктове, в якому працюють прикордонники. І десь із суботи, 21 серпня, українці зможуть спокійно їхати з відповідними сертифікатами в «Дії».

Які вимоги були в ЄС?

Вони стосувалися технічних особливостей. Наприклад, щоб ковідний сертифікат можна було перевірити навіть без інтернету. Крім того, оскільки в ЄС багато країн і в кожній своя власна електронна медична система, було важливо не інтегрувати їх. Чому? Бо медичні дані ― це найчутливіша інформація про людей, і прикордонник, умовно на кордоні з Румунією, не повинен ходити в наш електронний реєстр здоровʼя і перевіряти інформацію про щеплення. Тож QR-код у сертифікаті не просто містить інформацію, він підписаний відповідними електронними ключами. Пристрій, яким прикордонник буде зчитувати ковідний сертифікат, перевіряє не тільки достовірність інформації, а й достовірність ключа.

Тобто, щоб зчитати цю інформацію, потрібна спеціальна апаратура?

Якщо ми говоримо про використання «Дії» всередині країни, то в нас залишаються ті ж інструменти: «Дію» можна зчитати «Дією» — тобто телефоном, на якому є застосунок. З ковідними сертифікатами буде так само. А що стосується перетину кордону, то тільки уповноважені органи і особи матимуть право зчитувати цей сертифікат, бо це медична інформація.

У Франції, Чорногорії та інших країнах ковідні сертифікати потрібні для доступу в кафе, на виставки і в інші громадські місця. Чи відповідає наш сертифікат цим вимогам, чи зможуть його зчитувати там?

Ми будемо в єдиній інформаційній системі із Францією та іншими країнами. Якщо у французькому кафе зможуть перевірити сертифікат француза, — зможуть і український.

А в Україні, якщо буде новий локдаун, приміром, в кафе зможуть перевірити наші сертифікати?

У кафе зможуть. Треба зрозуміти, що Мінцифри в цьому випадку є технічним реалізатором, тому питання про те, як будуть використовувати сертифікати, краще уточнювати у Міністерства охорони здоровʼя.

Раніше говорили, що в ковід-сертифікатах буде інформація про негативний ПЛР-тест, а також про те, чи хворіла людина на ковід. Чи буде така інформація у внутрішніх українських сертифікатах і чи є така вимога для міжнародних?

Стосовно внутрішніх сертифікатів, наскільки мені відомо, таких планів немає. По міжнародних ― це наступні кроки нашої розробки.

Ця інформація буде в одному сертифікаті чи в трьох окремих?

Це три різних сертифікати. Можна або отримати два щеплення, або зробити тест — такий сертифікат діятиме 72 години, або мати підтвердження, що ти перехворів і маєш антитіла.

Сертифікат про щеплення почне діяти з 21 серпня, а коли два інші?

Протягом осені, точніше поки не можу сказати.

Інформація про хвороби людини охороняється законом. Навіть роботодавець не має права питати про діагноз співробітника. А в сертифікаті, над яким ви працюєте, буде інформація про те, чи хворіла людина на ковід. Це не порушує закон?

Важливо ― це не ми надаємо інформацію, а сама людина, адже ковідний сертифікат не виникає сам. Якщо людина не хоче, вона може його не генерувати. І предʼявляє сертифікат не «Дія», а людина.

Щодо безпеки. Якщо ми показуємо комусь QR-код з певною інформацією, чи є можливість, що треті особи отримають іншу інформацію, яка є в «Дії»?

У відповідь Мстислав перелічив всі здобутки «Дії» у сфері безпеки — два конкурси Bug Bounty і атестат відповідності Комплексної системи захисту інформації на мобільний застосунок «Дія 2.0».

У липні ви оголосили, що проводите тестування ковід-сертифікатів. Наприкінці липня заступник міністра Олексій Вискуб говорив, що половина людей не змогла згенерувати сертифікати через помилки лікарів — вони неправильно вносили дані в електронну систему здоровʼя.

Людський фактор був. Сертифікат може не відображатися, якщо лікар взагалі не вніс дані про щеплення, або вніс їх із помилками. Ми виявили це під час бета-тестування і розробили технічний алгоритм. Він буде перевіряти інформацію в системі електронного здоровʼя і повідомляти користувачу, що це за помилка, і що треба звернутися до лікаря, який робив щеплення.

Проблема в тому, що з часом знайти лікаря, який робив щеплення, досить складно — я сама зіткнулася з такою ситуацією.

Так, але ніхто, крім нього, не має доступу в базу. Змінити інформацію може лише він і за виняткових обставин — головний лікар.

Скільки коштувала розробка сертифікатів? Це були гроші з державного бюджету чи грантові?

Ковідні сертифікати розробляє інхауз-команда на базі Державного підприємства «Дія». Якогось екстра фінансування Міністерство не робило. Команда працювала в межах зарплат.