В этом году в рамках Российского интернет-форума впервые прошел хакатон, в котором команда Далее заняла первое место. Расскажем о разработанном решении для защиты пользовательских данных.
17-19 апреля прошел Российский интернет-форум. Традиционно РИФ — это важная площадка для диалога о трендах, влиянии цифровых технологий на бизнес и будущем интернета.
Это ключевое для рунета событие прошло в 23 раз, и в этом году перепозиционировалось на трендовый формат фестиваля. Поэтому кроме традиционных секций, мастер-классов и воркшопов появились световое шоу, подкасты, вечеринка, а также впервые в рамках РИФа был организован хакатон.
Хакатон — это «марафон» разработки, во время которого команда специалистов — разработчиков, дизайнеров работает над решением проблемы в очень сжатый срок. В конце команда презентует свое решение, готовый цифровой продукт. Это возможность разработать проект в формате брейншторминга.
Темой первого хакатона стала защита пользовательских данных. В Рунете нет сайта, приложения или инструмента для безопасного хранения и передачи пользовательских данных. Этот вопрос актуален не только для физических лиц, но и для компаний, агрегирующих данные.
IT-компании собирают данные о пользователях и об их поведении, чтобы создавать более релевантные маркетинговые предложения и быть более точными в разработке стратегии.
Большинство пользователей просто не понимают, на что дают согласие, когда ставят галочку в графе обработки данных. Они используют один и тот же пароль на всех сайтах и тем более не знают, как защитить свои данные.
Пользовательские данные продаются на «сером» рынке, их передача никак не контролируется. Поэтому мы часто получаем уведомления и письма с сайтов, где не регистрировались.
На последней конференции F8 2019 Facebook говорили о необходимости безопасного хранения данных, доступ к которым будет закрыт даже для самого Facebook и для правительства.
Нынешняя ситуация вызывает следующие проблемы:
Помимо этого, нужно решить вопрос комфорта пользователя.
Организаторы хакатона предложили 3 направления для решения задачи:
Команды могли выбрать одно из трех направлений, и за 48 часов разработать прототип. Финальное решение презентовали жюри, в состав которого входили представители Роскомнадзора, Сколково, РОЦИТ, РАЭК, Selectel ИЭП РТЛабс, ООО «Гарда Технологии», REG.RU, МирТесен, Amer Sports Russia, АСИ, Tazeros Global Systems.
Мы выбрали третий подход к задаче: вспомнили, что вызывает у нас наибольшие проблемы в вопросе хранения данных. При этом обнаружили 3 основные проблемы:
Мы решили расширить понятие персональных данных и приблизили его к понятию «электронный кошелек».
В разработанном приложении можно хранить данные паспорта, банковских карт, пароли. Вся эта информация и контроль доступа к ней будут доступны в один клик с любого устройства.
У государственных и частных компаний, которые обрабатывают данные, тоже есть сложности:
Очень здорово, что Хакатон применителен к гос. сектору. Наш интерес в том, что мы делаем системы идентификации и аутентификации, поэтому для нас результаты вашей работы и ваши идеи будут очень актуальны. А на ваши вопросы мы сможем вам ответить, потому что наши проекты - это как один большой Хакатон.
При проектировании пользовательского пути мы основывались на опыте приложений со смежным функционалом: хранение паролей, двухэтапная авторизация, электронные кошельки.
Наше приложение разработано на PHP с использованием Laravel и его модулей.
Безопасность и загрузка части данных обеспечена за счет подключения к APIГосуслуг — сайта, где пользовательские данные хранятся в зашифрованном виде.
При регистрации формируется токкен, по которому сайт может запрашивать и отдавать данные пользователя. Пользователь со своей стороны может отозвать токкен, отключив доступ в настройках и перестать передавать данные.
Для удобства и безопасности использовали технологию OAuth, которая позволяет авторизоваться на разных сервисах, не раскрывая свой основной пароль.
После регистрации по номеру телефона пользователь попадает в интерфейс приложения, данные паспорта и снилс загружаются автоматически. Туда же можно добавить банковские карточки, билеты загрузятся из почты.
Мы стремимся к тому, чтобы приложение стало частью известного сервиса, который используется для авторизации и вызывает доверие, такого как Госуслуги и VK.
Помимо хранения и защиты данных, мы добавили дополнительный функционал. Это уведомления, маркетплейс данных, загрузка и обработка печатных документов.
Если новая компания запросила доступ, пользователю придет пуш-уведомление. Он сможет разрешить или запретить доступ к данным.
После того, как человек заполнил профиль, его данные попадают в маркетплейс. Например, регистрируется женщина, 45 лет, живет в Москве. Компания, которой нужны эти данные для таргетирования рекламы, может купить их, сделав ставку.
Таким образом получается не только сервис для безопасного хранения паролей, но и функционал управления: пользователю придет уведомление о том, что сервис запрашивает его данные, и может подтвердить или отклонить доступ.
В итоге появилось многофункциональное приложение с функциональностями электронного кошелька, авторизации и безопасной передачи данных.
На демонстрации прототипа жюри хакатона отметило проработанный пользовательский опыт, дизайн и оригинальность решения, а также потенциал бизнес-модели.
Мы благодарим организаторов за возможность пообщаться с экспертами и государственными заказчиками.
Может быть, это выглядело странно со стороны, но внутри это был незабываемый процесс работы над интересной задачей и общение с интересными людьми из других команд.