Добавить новость
Новости России 
Август 2012
Сентябрь 2012
Октябрь 2012
Ноябрь 2012Декабрь 2012Январь 2013Февраль 2013Март 2013Апрель 2013Май 2013Июнь 2013Июль 2013Август 2013Сентябрь 2013Октябрь 2013
Ноябрь 2013
Декабрь 2013Январь 2014Февраль 2014Март 2014Апрель 2014Май 2014Июнь 2014Июль 2014Август 2014Сентябрь 2014Октябрь 2014Ноябрь 2014Декабрь 2014Январь 2015Февраль 2015Март 2015Апрель 2015Май 2015Июнь 2015Июль 2015Август 2015Сентябрь 2015Октябрь 2015Ноябрь 2015Декабрь 2015Январь 2016Февраль 2016Март 2016Апрель 2016Май 2016Июнь 2016Июль 2016Август 2016Сентябрь 2016Октябрь 2016Ноябрь 2016Декабрь 2016Январь 2017
Февраль 2017
Март 2017
Апрель 2017
Май 2017
Июнь 2017
Июль 2017
Август 2017
Сентябрь 2017
Октябрь 2017
Ноябрь 2017
Декабрь 2017
Январь 2018
Февраль 2018
Март 2018
Апрель 2018
Май 2018
Июнь 2018
Июль 2018
Август 2018
Сентябрь 2018
Октябрь 2018
Ноябрь 2018
Декабрь 2018
Январь 2019
Февраль 2019
Март 2019
Апрель 2019
Май 2019
Июнь 2019Июль 2019Август 2019Сентябрь 2019Октябрь 2019Ноябрь 2019Декабрь 2019Январь 2020Февраль 2020Март 2020Апрель 2020Май 2020Июнь 2020Июль 2020Август 2020Сентябрь 2020Октябрь 2020Ноябрь 2020Декабрь 2020Январь 2021Февраль 2021Март 2021Апрель 2021
1234567891011121314151617
18
19
20
21
22
23
24
25
26
27
28
29
30
Интернет |

Про Дию и виртуальные паспорта

На прошлой неделе меня пригласили на одесский городской телеканал, где я уже несколько раз светился в эфире, записать для новостного сюжета комментарий. Я с удовольствием приехал, наговорил минут 15, разумеется, в итоговый ролик попало не больше минуты, и сразу сделал себе пометку «А не написать ли развернуто на эту тему?». В общем, поскольку тема остаётся горячей, вот, собственно, что я про это все думаю.

Итак, Верховная Рада приняла закон, по которому электронные паспорта являются такими же официальными документами, как и бумажные паспорта или ID-карта, и должны приниматься наравне с бумажными оригиналами всеми организациями и учреждениями. В соцсетях восторги, мол, первая в мире страна, где можно предъявить паспорт в смартфоне и не надо носить с собой бумажку, ведь так и удобнее, и некоторые даже добавляют — надежнее. Разумеется, под электронными в первую очередь подразумеваются соответствующие записи в приложении «Дия», которые можно предъявить в виде QR-кода, который живет три минуты и представляет собой ссылку на запись в Едином реестре, по которой уполномоченный сотрудник может пройти и прочесть необходимую информацию.

Давайте я сразу перечислю, что я думаю о такой цифровизации, а потом разверну по пунктам.

«Паспорт» в приложении «Дия» показывает, что его разработчики плохо понимают суть процесса документирования личности. В погоне за модными фишечками — то есть возможностью вместо документа предъявить QR-код в смартфоне, — разработчики в очередной раз оцифровали хаос и сделали странный продукт. Решение очень уязвимо с точки зрения безопасности и контроля доступа к персональной информации граждан. Наконец, оно нереализуемо практически в полной мере, а частичная реализация лишь ухудшает все риски безопасности.

А теперь подробнее.

Удостоверение личности

Я много раз повторял одну и ту же фразу и всякий раз собеседники смотрели на меня удивлённо, как будто я сообщаю какое-то новое откровение. Вот эта фраза — «Когда вы говорите об удостоверении личности, вы чаще всего путаете документ и процесс».

Дело в том, что правильно оформленный документ, удостоверяющий личность, — это лишь часть процесса. Второй необходимой частью в нём является сама личность — живой человек, предъявляющий правильно оформленный документ. И процесс заключается в сверке личности с документом, который выдан неким авторитетным органом. Если личность совпала с документом — всё в порядке, гражданин, проходите.

Проблема тут в том, что в этом процессе участвует еще один человек. Именно он осуществляет сверку и делает заключение о её успешности. Или наоборот. И участие именно этого человека критично для процесса — и именно это участие выпускается из виду нашими диджитализаторами, которые уверены, что сам по себе документ достаточно заменить записью в реестре или даже QR-кодом самим по себе.

В чем отличие бумажного документа от его цифрового аналога? В его уникальности. Когда вы держите в руках свой паспорт, вы можете быть практически уверены, что держите в руках единственный такой документ и ни у кого другого такого документа — с теми же параметрами, как имя с фамилией, номером, серией и другими сведениями в нём, — нет и быть не может. Водяные знаки, биометрические показатели, дорогая печать особым образом — это всё призвано сильно усложнить изготовление копии, если уж не получится сделать такое изготовление абсолютно невозможным. С точки зрения идентификации личности при этом справка на плохой бумаге с неразборчивой подписью работает не хуже — вспомните «пачпорта», которые оформлял шельмец-писец из «Формулы любви», или бумагу за подписью Ришелье, которую Атос отнял у миледи.

В чем отличие цифровой сущности от физической? В возможности быть скопированной, причем так, что получившаяся копия абсолютно идентична оригиналу. Понимая это, нормальные разработчики средств цифровой идентификации шифруют исходные сущности так, чтобы даже в случае копирования информация, находящаяся в документе, была бы недоступна неавторизованным пользователям — например, информация в вашей ID-карте закрыта несколькими паролями, которые известны только вам и вносятся при выдаче карты, причем это делаете вы сами. Теоретически, конечно, возможно перехватить этот ввод, но это рискованная затея, которая требует компрометации всего пункта выдачи документов.

Поэтому ID-карта — то есть фактически уже имеющийся цифровой паспорт, — вполне соответствует понятию документа — она уникальна, она содержит полную информацию о личности, более того, если бумажный паспорт можно украсть, то ID-карту красть менее полезно — в ней содержатся биометрические показатели типа отпечатков пальцев, а защита паролями делает часть функций недоступными для всех, кроме оригинального владельца.

А на практике?

Печальная правда заключается в том, что на сегодняшний день в Украине использование ID-карты в полной мере невозможно. Да, она содержит всю информацию, но для её считывания необходимы специальные ридеры и юридическое основание. Я много раз повторял людям, занимающимся этой цифровизацией — все усилия бессмысленны, пока действует инструкция Минюста, требующая от нотариусов ксерокопировать паспорт, документ о присвоении ИНН и, с тех пор как информация о месте регистрации перекочевала в чип ID-карты, — отдельную справку о месте регистрации, выдаваемую отдельно от паспорта. Обратите внимание, что идентификационный код ясно напечатан на пластике карты — но нотариусу нужна именно пожелтевшая справка, которая в моем случае выдана более 20 лет назад, напечатана на матричном принтере и на которой давно неразличима печать.

Что даст замена в этой схеме физического паспорта на электронный? А вообще ничего. Приходите 23 августа к любому нотариусу страны и проверьте — да, наверное, вы сможете предъявить паспорт в «Дие», который начнут как-то копировать нотариусы (впрочем, я даже в этом сомневаюсь), но не забудьте захватить справку о коде и справку про регистрацию — их в свежепринятом законе нет, как нет и поручения министерствам прекратить требовать документа про сведения, которые и так содержатся в реестрах и ID-карте.

Два пути

В соответствии с принятым законом, электронный паспорт — это фактически электронная копия информации, которая содержится в Едином реестре о гражданине. Причем, как мы уже знаем на практике, QR-код — это фактически ссылка на сам Реестр, позволяющая проверить подлинность информации. Иначе, разумеется, любой разработчик мобильных приложений был бы в состоянии собрать полную копию приложения «Дия», которая бы отображала любую информацию.

Внимание, вопрос — если подлинность информации может быть проверена только путём обращения в Реестр, в чем смысл вообще предъявления какой-либо копии, в смартфоне или ещё как-то? В одной из передач на том же телеканале руководитель разработчиков «Дии» мне подробно рассказывал, что вы можете предъявить водительское удостоверение в приложении, а если у вас нет интернета в смартфоне, то сотрудник полиции должен со своего планшета осуществить поиск в реестре и работать с полученной информацией. К сожалению, времени тогда оставалось мало, поэтому вопрос «А зачем тогда предъявлять что-то, пусть он сразу меня ищет?» я задать успел, а вот внятно продемонстрировать отсутствие ответа не получилось.

Но это именно то, что я называю «цифровизацией хаоса» — если информация в любом случае сверяется с Реестром, совершенно неважно, что я предъявлю — QR-код, фотоснимок информации о паспорте или кусок бумаги, где будут разборчиво написанны имя с фамилией. Придумывание еще одной сущности происходит лишь потому, что разработчики привыкли, что надо что-то предъявлять.

Путь, при котором вся информация содержится в реестре, можно условно назвать китайским — там действительно так происходит и вам достаточно показать лицо, чтобы вас идентифицировали. Для функционирования такой модели требуется полное покрытие населения и полное покрытие территории. Более того, покрытие территории подразумевает не только доступность информации в любой точке страны, но и доступность информации из реестров в любом учреждении, где она требуется. У нас нет ни первого, ни второго, ни, тем более, третьего.

Ну, казалось бы, и ладно — правда, победа смартфонов откладывается, поносим пока бумажные паспорта, но что в этом опасного-то?

Мир цифровых копий

Ну, во-первых, давайте сразу скажем, что смартфон — так себе устройство с точки зрения безопасности. У него довольно скромные способы защиты, при этом они постоянно конфликтуют с удобством, в результате у большого количества людей средства безопасности на смартфоне минимальны или вовсе отсутствуют. Чем мощнее и сложнее становятся смартфоны, тем выше их уязвимость и вирусы для них не вчера появились.

С точки зрения безопасности, хранить паспорт в смартфоне – равносильно ношению физического паспорта, расклеенного отдельными страницами по всей одежде, с рекомендацией для вящей безопасности клеить страницы на голое тело и не забывать одеваться.

Вы скажете — да ладно, мы же используем смартфоны для платежей и деньги особо не пропадают, в чем проблема так же хранить паспорт?

Совершенно верно, смартфоны и даже умные часы позволяют хранить в себе цифровые копии платежных карт и расплачиваться, просто поднося их к терминалу торговой точки. Правда, при этом они хранят эти копии в специальном хранилище, которое разблокируется только на момент транзакции и только самим пользователем — с идентификацией паролем, отпечатком пальца или лицом.

Но, что намного важнее, идентификация при этом производится через специальный терминал авторизованной организации (банка) путем автоматической сверки с реестром (аккаунтом в банке).

А теперь замените в этой схеме платежную карту на паспорт.

Инфраструктуры в виде терминалов и доступа к реестру у нас нет. При этом необходимость предъявлять паспорт как раз возникает в большем количестве случаев и мест — то есть такая инфраструктура должна быть даже более распространена по сравнению с карточными терминалами.

Однако с 23 августа вы имеете полное право предъявить паспорт в виде записи в приложении «Дия» и отказываться предъявлять бумажный.

При этом — вернитесь в начало статьи, — процесс идентификации личности проводит человек. Не компьютер в виде процессинга банка, не терминал, проверяющий корректность ввода пин-кода, а живой человек. Которому предъявили вместо физического документа изображение на экране смартфона, проверить которое он не может, поскольку — смотри выше, — инфраструктуры у нас нет.

Давайте я перефразирую в духе популярного мема — с 23 августа не только лишь вы имеете полное право предъявить свой паспорт в электронном виде, но и много кто имеет возможность предъявить ваш паспорт в электронном виде. Это может быть изображение на экране или картинка, выдаваемая самособранным приложением, имитирующим «Дию». Даже не обязательно к нему прикладывать средства убеждения типа портретов американских президентов — ведь способ проверить подлинность предъявляемого «документа» есть только один, а его (доступа к Реестру) в большинстве случаев у человека не будет.

Впрочем, даже в случае наличия доступа к Реестру последним звеном всё равно остается человек. Помните истории 90-х-2000-х про компании, регистрируемые на паспорта бомжей или умерших? А сейчас и паспорта в физическом виде не понадобится.

А если будет инфраструктура и любой, кому требуется проверить паспорт, получит доступ к Реестру?

А вот тут-то мы и увидим подлинный Хаос.

Вот еще и поэтому я говорю о бессмысленной цифровизации хаоса — потому что вместо тщательной и полномасштабной проверки существующей практики идентификации личности предлагается максимально облегчить этот процесс. Министр цифровизации не задаётся вопросом «Зачем отелю копия моего паспорта?» — он придумывает способ одним кликом отправить менеджеру отеля цифровую копию паспорта. Он не задается вопросом «Зачем нужна отдельная карточка налогоплательщика в Дие, при наличии идентификационного кода в электронном паспорте здесь же в Дие?» — он радуется возможности отдельно предъявить электронную карточку, потому что прикольно же, в смартфоне, рядом с приложением фейсбука есть еще и такой QR-код.

Конечно, вероятно, в архитектуре Реестра предусмотрена возможность документирования обращения к нему и можно будет посмотреть лог таких обращений. Тут возникают еще две проблемы. Во-первых, чем больше народу имеет права доступа к Реестру, тем менее полезны любые механизмы контроля доступа к нему. «Что знают двое, знает свинья», как говорил папаша Мюллер.

Во-вторых, вы же помните — цифровая копия неотличима от оригинала. Следовательно, получивший раз доступ к реестру с вашими данными, вполне может иметь эту информацию всегда, полностью и в идеальном качестве.

Что с этим делать?

С тенденцией реестризации всего живого, к сожалению, ничего. Видимо, к этому идёт всё человечество и с пути не свернёт.

С доступом к информации в Реестре вы тоже ничего не поделаете. Системы представительской демократии, к сожалению, лишены механизмов прямого влияния на радостных диджитализаторов, получивших возможность порулить.

Остаётся только один вектор защиты — не пользоваться. Не оставлять цифровых копий, не предоставлять доступа к ним, продолжать носить физические документы и предъявлять именно их.

И не удивляться новостям о том, что разработчики «Дии» в очередной раз в публичном месте оставили пароли доступа. Собственно, вся стратегия кибербезопасности в Украине вполне описывается двумя высказываниями соответствующих должностных лиц «Система безопасности развивается параллельно с цифровизацией» и «Роль кибербезопасности преувеличена».

P.S. Пожалуйста, проявите немного уважения и не приводите в пример Эстонию. Страна с населением одного, не самого большого, украинского города с территорией Волынской и Ровенской областей вместе взятых вряд ли может служить примером для всей Украины. А история с выборами, где примерно каждый раз находят уязвимости в электронном голосовании и где ни разу еще не проголосовало электронным способом более 45% от принявших участие в выборах — и подавно не пример.

The post Про Дию и виртуальные паспорта first appeared on БлоGнот.



Russian.city

Читайте также

Блоги |

10 стран мира дали старт челленжду #УХЛсмотрятвезде

Блоги |

Пасха «Сникерс»

Блоги |

Чудо-лепёшки с картофельно-мясной начинкой вкуснее беляшей и чебуреков



News24.pro и Life24.pro — таблоиды популярных новостей за 24 часа, сформированных по темам с ежеминутным обновлением. Все самостоятельные публикации на наших ресурсах бесплатны для авторов Ньюс24.про и Ньюс-Лайф.ру.



Разместить свою новость локально в любом городе по любой тематике (и даже, на любом языке мира) можно ежесекундно с мгновенной публикацией самостоятельно — здесь.