Фото с сайта: pixabay.com
Идея запуска приложения "цифрового паспорта" является своевременной, но необходимо тщательно проработать все вопросы, связанные с кибербезопасностью. Такого мнения придерживаются опрошенные ТАСС эксперты.
Ранее Минкомсвязь сообщила о разработке нормативной базы для проведения на территории Москвы с 1 июля 2020 года до 31 декабря 2021 года эксперимента по использованию мобильного приложения "Мобильный идентификатор" вместо паспорта. Граждане, активировавшие приложение в пилотных отделениях МФЦ, смогут использовать QR-код для получения отдельных государственных, муниципальных и иных услуг.
Директор Института развития интернета (ИРИ) Антон Ключкин отмечает удобство и практичность в возможности не носить с собой бумажный паспорт. "Также это укладывается в процессы цифровизации, которые идут во всем мире. Собственно практически нет никакого отличия между ID-картой, действующей во многих странах мира, и QR-кодом. В первом случае информация считывается с чипа, во втором она заложена в изображении", - сказал он.
Ключкин напомнил, что более 86 млн человек в России используют мобильный интернет. "В целом разговоры о введение цифровых паспортов активно ведутся в России, наверное, последние лет семь. Сейчас, возможно, найдено одно из самых оптимальных решений, прежде всего, по стоимости, так как понятно, что QR-код в разы дешевле физической карты с чипом. Конечно, многие задаются вопросом, как эти данные будут защищены, где они будут храниться, что будет, если вдруг база, не дай Бог, попадет не в те руки", - отмечает эксперт, уточнив, что защита такого приложения должна быть максимальной.
Такое же мнение высказала и генеральный директор компании "Датамания" (дочерняя компания Фонда развития интернет-инициатив, ФРИИ) Светлана Белова. "Цифровой паспорт - это очень нужная и очень правильная для граждан РФ инициатива. Но сейчас мы оцениваем ее создание в том виде, в котором было заявлено, весьма скептически. Судя по описаниям, появившихся в СМИ, это отнюдь не цифровой паспорт, а некий паллиатив, похожий на аналог pаypass для пластиковых карт, или, судя по описанным кейсам, это замена логин-пароля QR-кодом", - сказала она, уточнив, что главный вопрос для анонсированного проекта это защищенность личной безопасности граждан.
"Резонно предположить, что в этом приложении личные данные будут зашифрованы. В том случае уровень безопасности должен быть такой, чтобы ключи шифрования личных данных в этом приложении не смог бы достать ни сам оператор инфраструктуры, ни пользователь мобильного приложения. Не говоря уже о третьих лицах. То есть даже если ваш телефон похитили, никто не смог бы получить доступ к вашей информации. Сотрудники оператора тоже не смогли бы скачать базу и продать ее", - добавила эксперт.
Возможные риски
По мнению Беловой, в анонсированном приложении компания видит возможность скомпрометировать данные, так как обработка данных на мобильном устройстве идет в недоверенной среде, так как операционная система у пользователей иностранного производства. "Технические задания для такого рода решений должны разрабатываться с учетом требований регулятора, ответственного за безопасность и защиту данных, он же должен контролировать внедрение", - полагает она.
Эксперт лаборатории практического анализа защищенности компании "Инфосистемы Джет" Александр Вознесенский считает, что важно предусмотреть угрозу компрометации данных как со стороны злоумышленников из интернета, так и со стороны команд разработки и эксплуатации так как украденные данные могут быть проданы в даркнете.
"С учетом недавних новостей о некорректной работе приложений, выпущенных в спешке под эпидемиологическую ситуацию, многие пользователи поначалу, скорее всего, будут относиться к приложению с недоверием, однако со временем, по мере появления информации об исправлении дефектов, отношение будет меняться в лучшую сторону. Особенно, если разработку приложения доверят крупной IT-компании с программой Bug Bounty. Такие программы предполагают подключение сторонних ИБ-специалистов к выявлению и исправлению уязвимостей, что способствует повышению уровня защищенности продукта", - сказал он.
Готовность инфраструктуры
Главный аналитик Ассоциации электронных коммуникаций (РАЭК) Карен Казарян уверен, что быстро приступить к оказанию услуг на базе "Мобильного идентификатора" не получится: к этому не готова существующая инфраструктура. "Мобильная идентификация, Mobile-ID, - стандартизированное решение для хранения данных в телефоне, которое было разработано международной ассоциацией GSMA, однако без sim-карт с защищенной криптографией оно работать не может", - утверждает он.
По словам Казаряна, таких sim-карт, соответствующих российским стандартам, пока нет. Стандарты для них должна утверждать Федеральная служба безопасности, поскольку база электронных удостоверений личности автоматически становится критической информационной инфраструктурой, объясняет эксперт.
Гендиректор компании "Датамания" Светлана Белова полагает, что если руководствоваться черновиком документа, который несколько часов был в сети, то для мобильной идентификации будет создана пилотная инфраструктура. "Говорить о ее готовности нельзя, так как авторы проекта только собираются ее создавать. На чем именно? Если эта та же самая инфраструктура, которая используется приложением для пропусков москвичей во время эпидемии COVID-19, то она уже себя скомпрометировала, уже были сбои и утечки данных, которые связаны со штрафами", - рассуждает она.
Ранее глава Минкомсвязи РФ Максут Шадаев сообщил, что приложение безопасно, так как оно не будет хранить данные россиян, а только будет открывать по QR-коду доступ к публичной части учетной записи пользователя на Госуслугах для осуществления идентификации.
О пилоте
В рамках пилотного проекта использовать приложение в качестве паспорта можно будет москвичам от 18 лет, имеющим верифицированную учетную запись на портале госуслуг и действующий паспорт. Для получения и активации мобильного приложения гражданин должен обратиться в один из пилотных многофункциональных центров и предоставить необходимые документы.
Мобильное приложение может применяться как при личном, так и при удаленном обращении за предоставлением государственных, муниципальных и иных услуг в рамках эксперимента. Срок действия активации мобильного приложения соответствует сроку действия паспорта.
Блокировка приложения может наступить, в частности, в случаях утраты, замены, хищения смартфона с установленным и активированным мобильным приложением, выявления фактов активации или применения мобильного приложения без согласия гражданина, утраты или замены паспорта, выявления противоправных действий, осуществляемых с применением мобильного приложения.
Печать