Система “Трембіта” — це фундамент
взаємодії українських реєстрів, який
забезпечує використання даних
електронними сервісами.
Що про неї потрібно знати
Партнерський проєкт
У медіа, соцмережах та урядових повідомленнях дедалі частіше зʼявляється тема електронних реєстрів та їхнього захисту. Йдеться про державні реєстри з різноманітною інформацією про фізичних та юридичних осіб. Це інформаційна основа для надання сучасних електронних послуг та роботи тієї ж Дії.
Тож чи в безпеці наші дані? LIGA.net поспілкувалась з фахівцями Академії електронного управління, що впроваджують фінансований Європейським Союзом проєкт DT4UA, який допомагає українському уряду здійснювати цифрову трансформацію з урахуванням європейських стандартів, та розповідає, як влаштовані електронні реєстри та чи варто непокоїтися за безпеку своїх даних.
Система “Трембіта” — це фундамент взаємодії українських реєстрів, який забезпечує використання даних електронними сервісами. Що про неї потрібно знати?
У медіа, соцмережах та урядових повідомленнях дедалі частіше зʼявляється тема електронних реєстрів та їхнього захисту. Йдеться про державні реєстри з різноманітною інформацією про фізичних та юридичних осіб. Це інформаційна основа для надання сучасних електронних послуг та роботи тієї ж Дії.
Тож чи в безпеці наші дані? LIGA.net поспілкувалася з фахівцями проєкту DT4UA, який допомагав українському уряду здійснювати цифрову трансформацію з урахуванням європейських стандартів, та розповідає, як влаштовані електронні реєстри та чи варто непокоїтися за безпеку своїх даних.
Реєстри – це інформаційна основа, яка забезпечує надання швидких і якісних електронних послуг.
Задача цифровізації — ліквідація довідок, витягів та інших “папірців”, які вимагають державні службовці при наданні публічних послуг без реінжинірингу. Це можливо завдяки тому, що переважна більшість відомостей вже знаходяться у державних реєстрах і головне першочергове завдання полягає в ідентифікації особи, яка замовила послугу. Саме такий підхід реалізований у Дії, коли після ідентифікації та підтвердження особи з державних реєстрів надаються відомості, які необхідні для надання електронних сервісів. Наприклад, при реєстрації ФОП після ідентифікації фізичної особи Дія підтягує місце реєстрації, яке далі використовується для формування заяви та визначення місця податкового обліку.
Ключове у реєстрах — ідентифікація, яка забезпечує привʼязку даних про одну і ту саму людину у різних реєстрах до “спільного знаменника”. Це зробить неможливими помилки у наданні послуг та випадки шахрайства чи використання чужих даних.
Є й антикорупційна складова. Працює Державна електронна система з питань будівництва, яка об’єднує в себе кілька реєстрів. Це реєстр будівель і споруд, єдиний державний реєстр адрес, інші реєстри, які були в Державної архітектурно-будівельної інспекції України. Система допомагає отримати дозволи на будівництво без хабарів завдяки тому, що всі будівельні послуги доступні онлайн. І загалом спрощує обмін даними щодо будівництва — за 2023 рік через систему “Трембіта” пройшло понад 6,4 млн транзакцій у будівельній сфері.
Очікує свого вирішення на рівні реєстрів проблема підтвердження багатодітності. За словами Олега Бурби, наразі в державному реєстрі актів цивільного стану необхідно проводити додаткову роботу для визначення кількості дітей у людини. Цю проблему має вирішити використання ідентифікаторів осіб у реєстрі.
Питання ідентифікації — це ключове у розбудові електронних реєстрів. Ідентифікатор забезпечує 100% впевненості, що інформація у різних реєстрах стосується саме конкретної людини.
Ключовий елемент екосистеми українських електронних реєстрів — це система “Трембіта”, яка забезпечує звʼязок між реєстрами та інформаційними системами. Вона допомагає отримати електронне свідоцтво про народження дитини, завантажити у Дію закордонний паспорт чи отримувати сервіси для ВПО та послуги єВідновлення.
Прототип “Трембіти” — естонська платформа X-ROAD. Сама ж Трембіта”” почала працювати у 2020 році, і за цей час кількість транзакцій у неї вже понад 5,5 мільярдів. Щороку їх кількість зростає — від 1,5-2,5 млн обмінів даними на день у 2022 році до 15 мільйонів обмінів на добу у 2024 році.
“Трембіта” охоплює всі базові реєстри, зокрема, Єдиний державний демографічний реєстр, реєстр юросіб, ФОП та громадських формувань, земельний кадастр, реєстр адрес, будівель та споруд, тощо. Станом на 31 березня 2024 року, 229 органів державної влади, місцевого самоврядування та суб’єктів господарювання приєдналися до “Трембіти”, загальна кількість підключених реєстрів — 125. Серед учасників “Трембіти” держателі основних електронних реєстрів: Мінʼюст, МВС, ДМС, Податкова, Міноборони, Національна служба здоровʼя.
Найбільш на слуху зараз — реєстр військовозобовʼязаних “Оберіг”, який для збору відомостей з інших реєстрів також використовує взаємодії на основі “Трембіти”. У цьому випадку систему використовують, щоб звірити реєстр військовозобовʼязаних з іншими реєстрами. Так можна буде позбутися випадків, коли повістка приходить людині, що померла або вже не живе за цією адресою.
Реєстр військовозобовʼязаних функціонує з 2015 року, і мета інтеграцій з іншими реєстрами — підвищити якість даних в “Оберезі”, пояснює Олег Бурба. Але є й безпекові питання.
Через специфічну, цікаву для ворога інформацію, реєстр військовозобовʼязаних є дуже привабливою ціллю для атак. Це змушує вживати підвищені заходи
щодо безпеки “Оберега.
“Це дані про військово-облікову спеціальність, де людина служила, які навички має. Якщо щось станеться, то ворог зможе більше дізнатися про нашу оборонну здатність в прямому сенсі. І це змушує вживати більш підвищені заходи захисту — цей реєстр більш закритий”, — додає співрозмовник.
У період війни особливо популярними стали цільові, таргетовані атаки, до яких хакери готуються — дізнаються з відкритих джерел (публікацій, наявної нормативно-правової бази) про особливості ведення певного реєстру, потенційних користувачів, знаходять їх через соцмережі, пояснює Юрій Копитін. Мета зловмисників — методом фішингу розповсюдити шкідливий код, щоб потім досягти своєї цілі.
“Будь-який актив є вразливим за замовчуванням — це і фізичне середовище, і обладнання, і бази даних, і програмне забезпечення. Але найбільш вразливі люди. Може відбутися атака через підрядників, які налаштовують програмне забезпечення – їхні комп’ютери можуть бути слабкіше убезпечені, ніж сама система реєстру”, — каже фахівець. Є проблемою й відсутність кваліфікованої робочої сили, яка веде реєстри, застаріла документація, недотримання інструкцій. Також велику загрозу становить фізичне пошкодження реєстру внаслідок ракетних атак по центрам обробки даних, додає Копитін.
Як мінімізувати ці ризики? Хоча в ЄС відсутнє єдине технічне рішення щодо захисту реєстрів та єдина нормативно-правова база, кожна країна має власні способи захисту.
Україна активно приєднується та вже є учасником європейської спільноти в частині кіберзахисту — на звʼязку з командами CERT (кіберреагування) інших країн. Це дозволяє активніше використовувати міжнародні напрацювання у захисті цифрової інфраструктури, комунікувати різним відомствам між собою про інциденти та кіберзагрози.
Від функціонування реєстрів у державі та житті залежить багато речей. Це може бути зрив певних операцій — наприклад, через те, що прикордонник не зможе вчасно отримати відомості про військовозобов’язаного, людина буде певний час чекати на кордоні.
Існують також такі ризики, як репутаційна шкода, втрата інтелектуальної власності.
Багато реєстрів зберігають комерційну таємницю, особливо, якщо це стосується патентів. І витік може призвести до певних юридичних і нормативних наслідків.
Фахівець згадує і про фінансові втрати: “Багато хто не бажає інвестувати у безпеку, але по факту з часом доводиться витрачати кошти на усунення наслідків кібератак. Наприклад, на відновлення даних. Не варто забувати і про психологічні та емоційні наслідки для людей, чиї дані отримав зловмисник”.
“Але українці не мають причин сильно хвилюватися. У нас серйозно підходять до цього питання”, — додає Юрій Копитін та пояснює, що в Україні всі інформаційні системи державних органів, в тому числі реєстри, зобовʼязані мати комплексну систему захисту інформації. І вони її мають. Особливо це стосується базових реєстрів, де захист — “на високому рівні”: “Кіберзахист – це не стан, це процес. Це постійна боротьба тих, хто намагається щось дістати з реєстрів, і тих, хто намагається захистити. Важливо, щоб цей процес регулярно відбувався, і над цим активно органи влади працюють”.
Власне, система “Трембіта” і є одним із засобів захисту, який використовується для безпечного обміну даними між реєстрами. Вона забезпечує конфіденційність даних, щоб ніхто не міг переглянути їх в процесі передачі, та автентичність, щоб можна було впевнитися, що дані отримано саме від потрібної установи, додає співрозмовник.
У рамках проєкту EU4DigitalUA було розроблено концепцію створення “Трембіти” версії 2.0, яка надає довгострокове бачення розвитку з урахуванням загроз безпеки, які постійно модернізуються. Цей план базується на міжнародних стандартах, зокрема на базі стандарту ISO 27002. Наразі ж проєкт DT4UA втілює цей план в життя та відстежує нові типи загроз.
Проєкт DT4UA фінансується Євросоюзом та реалізується Академією електронного управління (eGA, Естонія) у тісній співпраці з Міністерством цифрової трансформації України.
Дата публікації: 23.05 2024 р.
Керівник проєкту: Євген Фролов
Автор: Лев Шевченко
Редактор: Ірина Денисюк
Дизайн та верстка: Юлія Теплюк
© 2024 Всі права захищені.
Інформаційне агентство ЛІГАБізнесІнформ