информбезопасность сервисы технологии цифровизация

3.2.2021

Вход по идентификатору

Мобильное приложение заменит паспорт гражданина

Проекты по запуску электронных копий основных документов россиян начались в прошлом и продолжатся в наступившем году. Технология была испытана во время первой волны коронавируса на онлайн-пропусках с QR-кодом. Сегодня Минцифры внедряет «Мобильный идентификатор». Тем не менее общество не вполне готово к проведению эксперимента по запуску «цифровых двойников» (ЦД) документов, считают эксперты рынка. Они также утверждают, что существует достаточно рисков при хранении сведений о гражданине в приложении.

ДЛЯ ЭКСПЕРИМЕНТА НУЖНЫ ЗАКОНЫ

Проект по созданию ЦД может стартовать в 2021 году, сообщал глава Минцифры РФ Максут Шадаев в конце прошлого года. Замминистра Олег Качанов на Гайдаровском форуме в январе уточнял, что инициативу планируют реализовать на территории IT-продвинутых регионов. Начало эксперимента недавно подтверждал и вице-премьер правительства РФ Дмитрий Чернышенко.

В мобильном приложении будет размещен как гражданский паспорт, так и паспорт транспортного средства (ПТС), водительское удостоверение, справка о регистрации по месту жительства, сообщил в беседе с RSpectr директор по направлению «Цифровое государственное управление» АНО «Цифровая экономика» (АНО ЦЭ) Кирилл Емельянов.

Кирилл Емельянов, АНО «Цифровая экономика»:

– Варианты использования сервиса существенно расширяются, что удобно для всех – людям не надо будет носить с собой бумажные копии. Станет достаточно сотового телефона. Для госорганов и бизнеса автоматизируется процесс удостоверения статусов граждан, снизятся риски человеческого фактора при верификации документов.

Если раньше чиновники могли запросить их оригиналы, опасаясь коррекции копий с помощью фотошопа, то вскоре требование бумажных вариантов будет незаконным, объяснил RSpectr генеральный директор IT-компании Omega Алексей Рыбаков.

Новшества по созданию ЦД рынок ждал давно, с момента запуска приложения госуслуг, уточнил эксперт.

Алексей Рыбаков, Omega:

– В ближайшее время законодатели должны скорректировать тысячи нормативно-правовых актов федерального, регионального и муниципального уровня (в частности, Положение о паспорте гражданина РФ. – Прим. RSpectr). В их отсутствие должностные лица продолжат требовать бумажные копии ради соблюдения формальных правил.

Так сейчас действуют сотрудники МВД в рамках эксперимента, о нем ведомство договорилось с Минцифры в ноябре 2020 года.

В конце января в правоохранительных органах уточнили, что появление QR-кодов не отменяет обязанности владельцев машин иметь при себе бумажные водительские права и ПТС

По словам представителей ведомства, данная норма указана в «Правилах дорожного движения». Пока в них не внесли изменения, управлять транспортными средствами без стандартного пластика не разрешается, несмотря на тот факт, что пилот по внедрению документов в QR-формате МВД уже начат.

В официальном комментарии МВД говорится, что сегодня для проверки электронных документов предполагается использование исключительно мобильных устройств сотрудников полиции с установленным на них сертифицированным программным обеспечением.

В РЕЖИМЕ QR-КОДА

В столице эксперимент предусмотрен с 1 июля 2020-го по конец текущего года. Проект постановления правительства по использованию приложения «Мобильный идентификатор» находится на стадии согласований.

В документе перечислены участники пилота. Это МВД, Минэкономразвития, ФСБ, ФСТЭК, ФСИН, правительство Москвы, многофункциональные центры (МФЦ) столицы, «Ростелеком». АНО ЦЭ также включена в проект в качестве представителя бизнеса, уточнил К.Емельянов.

Кирилл Емельянов, АНО «Цифровая экономика»:

– Сейчас предмет эксперимента расширяется, статус его повышен, Минцифры России готовит проект указа президента.

«Мобильный идентификатор» будет использовать подтвержденную учетную запись гражданина в федеральной ГИС «Единая система идентификации и аутентификации», а также его биометрический профиль – образцы данных лица и голоса

Участие в эксперименте будет для россиян добровольным.

Созданная под проект межведомственная рабочая группа после подписания постановления утвердит требования:

– к инфраструктуре приложения, включая требования по обеспечению его информационной безопасности (ИБ);

– к мобильным устройствам.

Сервис сможет применяться гражданином как при личном обращении за предоставлением государственных и муниципальных услуг, так и для удаленного их получения. Для дистанционного использования нужно будет запросить ключ усиленной квалифицированной электронной подписи (УКЭП).

Участвующие в эксперименте МФЦ позднее определит правительство – таких центров в Москве должно быть не менее двух.

В проекте документа указан также перечень сервисов с применением УКЭП, где может пригодиться «Мобильный идентификатор». В их числе:

госрегистрация физлиц в качестве ИП,
прием заявлений в полицию о преступлениях,
предоставление выписок из Росреестра об объектах недвижимости,
распоряжение средствами накопительной пенсии в Пенсионном фонде,
заключение трудовых договоров и т.д.

В ряде услуг УКЭП не нужна, это:

информирование гостиницами МВД о регистрации постояльцев,
подтверждение совершеннолетнего возраста гражданином РФ при покупке алкогольной или табачной продукции;
покупка билетов и регистрация на ж/д и авиарейсы и т.д.

В ИНТЕРЕСАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

«Мы видим два основных варианта реализации подтверждения личности в цифровом виде», – рассказал RSpectr директор департамента ИБ Московского кредитного банка (МКБ) Вячеслав Касимов.

Во-первых, это документы, подписанные электронной подписью правительства. Во-вторых, аналог платежных карт с подтверждением их оригинальности с помощью чипа.

Вячеслав Касимов, МКБ:

– В первом случае важно контролировать, чтобы не были скомпрометированы ключи, а во втором – технологии криптографических чипов.

Эксперт добавил, что при разработке мобильного приложения ключевыми являются риски корректной и безопасной работы самого приложения.

Вячеслав Касимов, МКБ:

– Надеемся, что инициатива будет внедрена после осуществления процедуры безопасной разработки, последующего тестирования на проникновения и анализа механизмов безопасности.

«Мобильное приложение подлежит блокировке в случаях выявления противоправных действий, осуществленных при его активации», – говорится в упомянутом проекте постановления правительства.

По мнению А.Рыбакова, «в будущем приложение с “цифровыми двойниками” объединится с приложением госуслуг. Это важно с точки зрения безопасности данных».

Сооснователь и генеральный директор CloudPayments Дмитрий Спиридонов отметил в разговоре с RSpectr следующие риски хранения всех сведений о гражданине в мобильном приложении:

– Взлом баз данных киберпреступниками с последующей утечкой персональных данных (ПД) россиян, а также их фальсификации.

– Нестабильная работа системы и, как следствие, невозможность предоставить услугу, за которой обратился человек.

– Утечка ПД граждан из-за недобросовестности сотрудников организаций, которые будут иметь доступ к этим данным.

– Формирование черного рынка данных для совершения мошеннических операций по украденным или поддельным документам.

Сейчас ПД можно купить «на каждом шагу», констатировал в беседе с RSpectr ведущий системный инженер Varonis Systems Александр Ветколь. По его словам, это, например, подтверждает «так называемое расследование Bellingcat, использующее продаваемые в даркнете базы данных неизвестного качества, и потому с сомнительной достоверностью содержимого».

Александр Ветколь, Varonis Systems:

– Встает вопрос адекватной проверки действительности цифровых подписей сайтов и приложений, в которых будут храниться эти двойники. Ведь фальсификация SSL-сертификатов (Secure Sockets Layer) не такое уж сложное дело для профессиональных хакеров. А бумажный документ подделать сложнее. Поэтому использовать ЦД вполне реально, но только в том случае, если есть возможность очного подтверждения легитимности этих документов биометрическими данными (не голосом) или их совокупностью.

Риск с ЦД может быть связан также с возможными двойниками официального приложения, говорит А.Рыбаков.

Алексей Рыбаков, Omega:

– Гражданин может его создать и включить в программу смоделированное изображение электронного профиля другого человека, причем может быть использован как реальный документ, так и с выдуманными данными. Это может касаться как вполне безобидных ситуаций вроде покупки алкоголя, так и более серьезных действий – продажи недвижимости или получения займов.

Глава Omega предложил, каким образом должностное лицо сможет подтвердить подлинность ЦД документа. Один из вариантов решения проблемы – возможность быстрой сверки двойника с информацией из государственной базы данных. Например, может применяться динамический QR-код, который постоянно меняется.

Алексей Рыбаков, Omega:

– При его считывании должностным лицом система определяет не только правильность ПД, но и новизну кода. В случае устаревания QR-шифра система не позволит сверить документ и его подтверждение будет невозможным. В таком случае гражданину придется предъявить бумажную копию.

ГОТОВО ЛИ ОБЩЕСТВО?

А.Рыбаков добавил, что

законодателям важно не только прописать список тех ситуаций и услуг, для реализации которых применимы ЦД документов, но и обучать граждан правилам поведения в интернете

Это связано с низкой раскрываемостью киберпреступлений – от 10 до 50% в 2020 году в зависимости от региона.

Общество не готово к проведению эксперимента по запуску ЦД – как технически, так и морально, считает Д.Спиридонов.

Дмитрий Спиридонов, CloudPayments:

– Необходима доработка существующего ПО для возможности принятия ЦД. Также не у всех жителей России – особенно это касается регионов – есть техническая возможность использования мобильных приложений, так как многие до сих пор предпочитают смартфонам кнопочные телефоны.

При пандемии весной пришлось экстренно дорабатывать процесс и вводить электронные пропуска по SMS ввиду отсутствия у части населения России возможности использовать QR-код, напомнил эксперт.

Технология цифровых пропусков с QR-кодом была отработана в период первой волны коронавируса, в свою очередь, неоднократно отмечал глава Минцифры.

Стоит отметить, что с октября 2020 года в Москве заработала система обязательных чек-инов для ночных клубов, баров и ресторанов. Эти заведения должны разместить QR-код, по которому посетители регистрируются перед тем, как войти в помещение.

В феврале 2021 года стало известно, что граждан Казахстана будут пускать в ряд общественных мест только по QR-коду. При этом людей разграничат по цветам (красный, желтый, зеленый), который присвоят в зависимости от того, болеют ли они коронавирусом и есть ли у них ПЦР-тест. Отраслевой регулятор страны для этой цели разработал приложение Ashyq. Итоги пилотного проекта позволят определить сроки тиражирования сервиса для входа в торгово-развлекательные центры, магазины, рестораны, кафе, вокзалы, аэропорты и т.д.

Д.Спиридонов добавил, что развитию инициатив с цифровизацией документов мешает общее недоверие населения к онлайн-услугам. Например, оставить трудовую книжку в бумажном варианте решили около 35 млн россиян, а на электронную согласились перейти только 5 миллионов.

Дмитрий Спиридонов, CloudPayments:

– Использовать цифровые паспорта и водительские удостоверения с большой долей вероятности пожелают еще меньше граждан страны, по большей части ввиду возможности манипуляций и мошеннических действий с ПД.

Д.Спиридонов заключил, что использованию электронных документов могут помешать перебои в каналах связи и даже банально разрядившийся телефон.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ: