Как состыковать государственную и коммерческие системы идентификации
Регулирование / Статьи
персональные данные экономика
17.11.2022

Снять IT-швы

Как состыковать государственную и коммерческие системы идентификации

Уровень цифровой зрелости российских информационных систем находится в той стадии, когда они должны быть связаны между собой бесшовными операциями с помощью сквозной идентификации, считают в Центробанке и Минцифры. Благо, что ресурс для этого есть – в начале ноября число подтвержденных учетных записей на «Госуслугах» достигло 100 млн. Приведет ли такой подход к росту количества киберинцидентов, каковы его риски и нужно ли законодательно регламентировать подобное взаимодействие – в материале RSpectr.

МАСШТАБ ПРОНИКНОВЕНИЯ

Какие бы цифровые продукты в России ни запускали, если не будет сквозной идентификации, при которой клиент может свободно переходить с одной услуги на другую, они останутся неэффективными, заявила на форуме Finopolis 11 ноября первый замглавы Центробанка РФ Ольга Скоробогатова. Она убеждена, что

регуляторам нужно реализовать вопрос привязки идентификатора «Госуслуг» к коммерческим аналогам

Система идентификации, которая формируется на Едином портале государственных услуг (ЕПГУ), имеет уже большой масштаб проникновения в отечественные IT-системы, отметил на форуме глава Минцифры РФ Максут Шадаев.

По его словам,

государству нужна единая система надежной и безопасной идентификации, к которой можно будет просто подключиться. Для этого важно обеспечить бесшовность перехода пользователя из портала госуслуг в другие системы

По словам GR-директора Ассоциации больших данных (АБД) Ирины Левовой, простота проникновения между стыками цифровых платформ действительно является актуальной потребностью. Причем не только из государственной в коммерческие системы, но и обратно, пояснила она RSpectr.

Ирина Левова, АБД:

– Мы оцениваем эту идею положительно, но многое зависит от реализации с точки зрения безопасности данных, действительно бесшовного взаимодействия, а также готовности мощностей ЕПГУ для работы с бизнесом.

При этом, заметила она,

бесшовность может привести к тому, что у портала «Госуслуги» появится общий доступ ко всем данным пользователей

Российская система безопасной идентификации предполагается как централизованная – профиль на «Госуслугах» можно использовать как опознавание на других сервисах, отмечают опрошенные RSpectr эксперты.

Но у централизованного источника информации о человеке, используемой банками, мобильными операторами и другими сферами бизнеса, есть множество слабых мест, отметил консультант по вопросам персональных данных Александр Партин. Он выделил ключевые риски обязательного использования идентификатора «Госуслуг» – Единой системы идентификации и аутентификации (ЕСИА). Очевидно, что

база, в которой сконцентрированы огромные объемы информации о многих людях, становится очень привлекательной для взлома

Александр Партин, консультант по вопросам персональных данных:

– Учитывая, что контроль за информацией будет не у человека, а у оператора ЕСИА и государства, любая ошибка, неточность или устаревшая информация могут сильно навредить пользователю. При этом даже простое обновление информации может завязнуть в бюрократических процедурах. Например, как быстро среагирует система на сообщение человека о потере своего паспорта?

Кроме того, у государства появится возможность накапливать массивы сведений о личной жизни человека за счет анализа информации о том, в каких компаниях или программах он регистрируется и какие данные туда предоставляет, обращает внимание эксперт.

ВЕРИФИЦИРУЙ ЭТО

За границей функционируют системы, похожие на российскую ЕСИА, например, SingPass в Сингапуре или итальянская SPID. Однако иностранные платформы, в отличие от «Госуслуг», построены на обратном принципе децентрализации учетных данных, обратил внимание руководитель отдела аналитики «СёрчИнформ» Алексей Парфентьев. Например, такой подход используют коммерческие техногиганты в собственных экосистемах, напомнил он в беседе в RSpectr. При этом во многих сторонних сервисах поддерживается возможность авторизации по учетным записям этих экосистем.

Таким образом, констатирует эксперт,

у пользователя остается выбор: довериться удобству бесшовности или создать изолированную учетную запись

Алексей Парфентьев, «СёрчИнформ»:

– Этот способ популярен не только на иностранных сервисах – отечественные тоже активно его используют. Наработки подобного взаимодействия между коммерческими сервисами и госсектором у нас есть – например, между Сбером и «Госуслугами», когда по учетной записи банка можно идентифицироваться на портале.

Но из российских коммерческих экосистем, которые уже успели создать собственные идентификаторы, нельзя будет бесшовно перейти на сайт ЕПГУ, обратил внимание RSpectr технический директор HFLabs Никита Назаров. При этом человек, который авторизовался в «Госуслугах» через ЕСИА, сможет беспрепятственно перейти в банковскую экосистему. Свободное взаимное проникновение станет возможным после того, как идентификаторы коммерческих структур будут сопоставлены с государственным.

Эксперт подчеркивает, что

сейчас никто не говорит о том, что в ЕСИА будет передаваться вся информация, которую гражданин предоставил о себе в какой-то экосистеме. Речь идет именно о сопоставлении идентификаторов

При этом технически состыковать бизнес-системы и «Госуслуги» несложно, так как они в основном используют открытые стандарты: OpenID и OAuth, пояснил он. Проблемы могут возникнуть в организационной части.

Никита Назаров, HFLabs:

– Экосистемные идентификаторы при таком подходе теряют свою ценность, так как верифицированные государством учетные записи по определению обладают большей значимостью для бизнеса. Если с помощью ЕСИА можно авторизоваться где угодно, то зачем отдельно регистрироваться в банке, страховой компании и интернет-магазине?

Он не исключает, что экосистемы будут сопротивляться и предлагать двустороннюю интеграцию.

Эксперт обратил внимание, что

процесс идентификации через «Госуслуги» добавит прозрачности в части управления согласиями на обработку персональных данных

Человек сможет сразу указать, кому и какие сведения он передает, а в случае необходимости – отозвать согласие.

Настроить авторизацию через ЕСИА – нетривиальная задача для бизнеса. В феврале 2022 года «Авито» стало первой площадкой, реализовавшей верификацию аккаунта через «Госуслуги» с помощью приложения «Госключ», напомнил Никита Назаров. По его мнению, сложность кроется главным образом в использовании аппаратных средств обеспечения защиты. Поэтому, убежден он,

без ослабления требований к установке оборудования, сертифицированного ФСБ, массовая интеграция коммерческих сервисов с ЕСИА невозможна

В целом, в ЕСИА не появится ничего нового, кроме связки нескольких ID. Это лишь дополнительная информация о том, что человек пользуется не только порталом ЕПГУ, но и имеет учетные записи в других экосистемах, полагает представитель HFLabs.

ПРАВИЛА СТЫКОВКИ

Действительно, каждая компания, использующая авторизацию по ЕСИА, получает часть учетных данных с аккаунта «Госуслуг», при необходимости дополняя полученную информацию данными непосредственно от пользователя, пояснил RSpectr эксперт по продвижению продуктов информационной безопасности в компании RAMAX Group Леонид Дутлов.

При этом защита данных будет находиться все так же в зоне ответственности соответствующих компаний, пояснил RSpectr технический директор Crosstech Solutions Group Никита Андреянов.

Для описания процесса использования ЕСИА с целью идентификации и аутентификации пользователей, в том числе для коммерческих компаний, существует специальный регламент, рассказал Леонид Дутлов.

C 1 января 2023 года в силу вступит новый стандарт ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации». Стандарт дает методическую основу для формирования данных о пользователе в коммерческой и государственной системе и не требует никаких изменений и дополнений в действующем законодательстве, отметил в беседе с RSpectr руководитель аналитического отдела компании «Аладдин Р.Д.» Александр Бойко.

При этом на уровне законодательства установлены нормы по регламенту взаимодействия между отдельными государственными информационными системами (ГИС). Например, ЕСИА оказывает соответствующие сервисы многим ГИСам, отметил он.

Александр Бойко, «Аладдин Р.Д.»:

– Для коммерческих систем нет необходимости использовать всю информацию ЕСИА, при этом само взаимодействие и доступ к информации пользователей этой системы должны быть строго дозированными.

По словам эксперта,

вопрос совместимости государственной и коммерческих платформ переходит из законодательной плоскости в технологическую – на уровень совместимости используемых средств и технологий

По его мнению, законодательная основа, определяющая необходимость проведения идентификации, уже существует и острой потребности принципиально что-то менять сейчас нет.

Тимур Халудоров

Изображение: RSpectr, Adobe Stock

Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании