м
Главная » ЭКОНОМИКА » «Вы не контролируете свой смартфон»: обратная сторона цифровизации

«Вы не контролируете свой смартфон»: обратная сторона цифровизации

О полной защите данных пока говорить рано

Поделиться

Наверное, каждый человек, столкнувшийся в свое время с позднесоветской или ранней постсоветской государственной машиной, навсегда получил серьезную психологическую травму. Бесконечные справки, копии документов, справки о справках и копии справок о документах, выданные одними государственными органами, обязательно заверенные другими государственными органами, нужно было нести в третьи государственные организации, при этом дождаться приемных часов, правильно заполнить многостраничные анкеты, продраться через бесконечные очереди, успеть в отведенные сроки подачи и не упустить тот факт, что все справки и справки о справках имеют срок годности. Неудивительно поэтому: общение с государством хотелось свести к минимуму.

Наверное, каждый человек, столкнувшийся в свое время с позднесоветской или ранней постсоветской государственной машиной, навсегда получил серьезную психологическую травму. Бесконечные справки, копии документов, справки о справках и копии справок о документах, выданные одними государственными органами, обязательно заверенные другими государственными органами, нужно было нести в третьи государственные организации, при этом дождаться приемных часов, правильно заполнить многостраничные анкеты, продраться через бесконечные очереди, успеть в отведенные сроки подачи и не упустить тот факт, что все справки и справки о справках имеют срок годности. Неудивительно поэтому: общение с государством хотелось свести к минимуму.

Сервис «одного окна» стал гигантским шагом в нужном направлении. А портал Государственных услуг — настоящей революцией. Портал, который интегрирует все официальные государственные данные гражданина, собирая их в «цифровой профиль», позволяет удаленно аутентифицировать человека, подтверждая однозначно, что это именно тот самый человек, позволяет по запросу третьих лиц автоматически предоставлять (или отказывать) им доступ к отдельным персональным данным. Наше цифровое будущее вообще, согласно апологетам цифровизации, видится исключительно светлым. В полностью цифровом государстве ближайшего полувека, по мнению ученых-футурологов, собственно «государства» как организации не будет, все государственные услуги будут оказываться как бы сами собой, на основании решений искусственного интеллекта и цифрового следа человека, его общения в социальных сетях, мессенджерах умного дома, города. Например, вы только-только встретили свою любовь, а данные уже предсказали день вашей свадьбы, ИИ забронировал дворец бракосочетаний, а умный бюджет запланировал увеличение расходов на материнский капитал и медицинскую поддержку новорожденных. Что самое удивительное, все эти чудеса действительно возможны. Но между возможностью и реализацией — пропасть.

Недоверие к цифровым технологиям, увы, в массе своей вполне обоснованно. Хотя число случаев взлома тех же Госуслуг неизвестно, аналитики сходятся во мнении: оно не единично. На популярных социальных сайтах достаточно жалобных историй, не всегда со счастливым концом, про взлом учетных записей и оформление кредитов на украденные персональные данные с последующим обналичиванием через такие же украденные подставные счета. В прошлом году компания DeviceLock опубликовала информацию: взломанные учетные записи Госуслуг продаются в даркнете по цене всего от 4 до 40 рублей. Взятый на ваше имя кредит даже не самое страшное, что может случиться при доступе злоумышленников к вашим данным. Кража вашей электронной подписи в принципе может лишить вас всего вашего движимого и недвижимого имущества. Случаи мошенничества с электронными подписями уже привели к пересмотру законодательства в этой сфере!

Почему же такое происходит? Почему при взаимных интересах нашего общества и государства созданное у нас цифровое решение оставляет желать лучшего? Притом что стратегические цели цифровых преобразований поставлены верно и выделено достаточно денег? В конце концов сам факт существования национального проекта цифровой экономики свидетельствует о высоком уровне стратегического планирования. Далеко не у каждого развитого государства есть национальные планы цифровизации. Таких планов нет, например, в США. Можно сослаться, конечно, на банальные истины, что и в коммерческом секторе большинство ИТ-проектов в целом не очень успешно (до 70% ИТ-проектов имеют проблемы), или на то, что «у нас всегда бардак». Я не буду этого делать. В случае с «цифровым профилем» проблемы ясны и конкретны. Во-первых, отсутствие законодательной базы. Основной законопроект, где вводилось понятие «цифрового профиля», был справедливо раскритикован за спорные определения понятий, отсутствие в нем освещения вопросов информационной безопасности и отсутствие ответственной организации. Он был отклонен. Новые предложения по регуляции пока отсутствуют. Во-вторых, увы, правильный и хороший интерфейс гражданина к Государственным услугам покоится на негодной и устаревшей инфраструктуре — единой системе межведомственного электронного взаимодействия (СМЭВ), которая в принципе не может обеспечить доставку данных в реальном времени. Именно из-за нее на портале Госуслуг вам приходится все время самому вводить свои персональные данные и привязывать свои документы к учетной записи, притом что все документы уже имеются в государственной системе, которая постфактум их, конечно, верифицирует. Разумеется, новая система межведомственного обмена данными разрабатывается (Национальная система управления данными), но из-за сложности и дороговизны на начальном этапе она также будет во многом основываться на СМЭВ, что не сильно улучшит положение.

Третья проблема — стремление сделать аутентификацию в Госуслугах простой, доступной и дешевой, увы, остается благим пожеланием, ибо противоречит принципам безопасности. Аутентификация с помощью смартфонов и SMS не безопасна в принципе. SMS — не безопасный транспорт, при этом мобильный оператор, передающий SMS, никакой юридической ответственности ни перед кем не несет. Наверное, поэтому взлом через клонирование SIM-карт один из самых популярных. Главная проблема смартфонов — в том, что на самом деле вы, владелец, не контролируете его. Смартфон контролируют его производитель и производитель операционной системы для него. Они имеют возможность удалять и ставить любые приложения без вашего ведома. Аутентификация с помощью биометрии более защищена, но тоже не панацея. При использовании биометрии трудно соблюсти баланс простоты, дешевизны и цены. Простые системы, основанные на голосе и видео, недостаточно надежны. Системы Deep Fake, основанные на искусственном интеллекте, подделывают с высокой точностью как ваш голос, так и ваш внешний вид. Можете убедиться в этом на примере сериала «Мандалорец», где голос и внешний вид Люка Скайвокера созданы без участия актера Марка Хэмилла. А сложные системы требуют дорогих чувствительных камер и микрофонов. Системы, основанные на других биометрических признаках, заведомо дороже, так как требуют специального оборудования. Но, главное, несмотря на все свое удобство, биометрия создает дополнительные риски самим фактом своего сбора и хранения. Если злоумышленник украдет ваши биометрические данные, то как вы в случае мошенничества докажете, что это были не вы?

Четвертая проблема в том, что отсутствует единая точка обращения по комплексным проблемам, связанным с цифровизацией. Цена ошибок в цифровом мире очень велика. Наверное, вы сталкивались с проблемой, когда в банке оператор вынужден был вам сказать, что, на его взгляд, «здесь все неправильно», но он ничего не может сделать, потому что «программа так показывает»? Например, если вам регулярно выписывают разные штрафы за вашего полного тезку (не единичный случай!), куда вы должны обратиться? В автоинспекцию? В налоговую? Если на вас выписали кредит с использованием Госуслуг, то в схеме были задействованы, например, микрофинансовая организация, банк, провайдер Интернета, сотовый оператор… Никто из них, разумеется, не склонен признавать проблему. А полиция в достаточной степени загружена другими проблемами и не в силах помочь оперативно. Впрочем, к счастью, эта проблема осознана и, вероятно, будет в ближайшее время решена.

И, наконец, пятая проблема — не столько проблема, сколько потенциальное решение проблемы аутентификации, которое почему-то отсутствует в ее повестке. У нас давно разрабатывается паспорт нового образца, в виде в первую очередь защищенной смарт-карты. В мире доступ к государственным услугам с помощью смарт-карт реализован давно и успешно. Примерами и пионером служат Эстония и Гонконг, реализовавшие такие схемы еще в прошлом десятилетии. В прошлом году Индия, сделавшая сначала ставку на биометрический доступ, стала переходить на доступ по документам в виде смарт-карт. У нас никакой связи проектов паспортов нового образца с порталом Госуслуг почему-то пока не предполагается.

Основная же ошибка портала — подключение при текущем состоянии безопасности финансовых услуг. Без такой возможности проблем у граждан было бы меньше.

Так каков ответ на вопрос, вынесенный в заголовок? Скажу: пока ваши данные защищены не на 100%, риск есть. Но прогресс неумолим, я верю, что большинство проблем будет решено уже в ближайшем будущем.

Полиция
США
Гонконг
Индия
Эстония

Источник