- Тип
- Эксклюзив
- Категория
- Общество
- Дата публикации
Мошенничество, кража личности и пропущенный самолет: в чем опасность электронных паспортов
Совсем недавно Верховная Рада одобрила закон, согласно которому электронный паспорт гражданина Украины и цифровой загранпаспорт в государственном приложении "Дія" будут иметь такую же юридическую силу, как их бумажные аналоги. Как похвастался глава Минцифры Михаил Федоров, Украина станет первой страной в мире, где электронные паспорта будут равны физическим.
В то же время эксперты по кибербезопасности отмечают, что другие более продвинутые государства не без причины не спешат внедрять такую идею, а также указывают на большие проблемы с безопасностью у украинских цифровых документов. Delo.ua рассказывает, почему использование электронных паспортов — это достаточно удобно, но может нести определенные риски.
Как завести, пользоваться и в чем удобство электронного паспорта
До этого е-паспорта в Украине тоже можно было использовать в рамках эксперимента, предусмотренного постановлением Кабмина за прошлый год. Однако акт ограничивал сферы применения цифровых документов и действовал временно — только до конца 2021 года.
Принятый же закон по факту разрешает использование е-документа во всех сферах, где принимают обыкновенную книжечку или ID-карту, но пока не дает права пересечь с ним границу или съездить на временно оккупированные территории.
Также акт должен отправить в прошлое бумажки с идентификационным кодом и требование прописки в паспорте: закон предусматривает наличие в е-паспортах информации о месте жительства и код налогоплательщика. Сейчас закон ждет подписи президента и, вероятно, ее получит — Зеленский давний сторонник диджитализации.
Если документ подпишут, уже с 23 августа все украинские государственные организации будут обязаны принимать паспорта в "Дії", если предъявитель пожелает предъявить именно цифровую версию. То есть можно будет больше не беспокоиться, если забыл паспорт дома. В частности, документ в телефоне можно использовать:
• для подтверждения личности полиции;
• во время поездок на поезде или полетов на самолете;
• в магазинах для подтверждения возраста;
• для получения посылок на почте и услуг связи;
• для идентификации личности в банках и совершения банковских операций;
• для получения госуслуг в приложении "Дія" или в админорганах;
• при возврате товара;
• в библиотеках;
• для получения медицинских услуг.
Если на смартфоне уже установлено приложение "Дія", загружать паспорт дополнительно не нужно — программа сама подтягивает в аккаунт данные реестра Миграционной службы. Чтобы подтвердить свою личность, пользователю необходимо включить интернет на телефоне и нажать на отображаемый сервисом паспорт — действие сгенерирует QR-код и штрихкод, которые можно считать сканером или другим устройством с установленной на нем "Дієй".
Как поясняют в Минцифры, документы в приложении работают по принципу people-to-people — то есть каждый может самостоятельно проверить подлинность цифрового документа. Это означает, что не только у условного полицейского получится выяснить легальность паспорта, но и у любого рядового украинца. В правом верхнем углу приложения есть считыватель, которым можно просканировать QR-код другого пользователя. Для этого нужно просто навести камеру смартфона на код. Е-паспорт проверится автоматически, а приложение оповестит вас о результате проверки. При этом надо понимать, что считывание не передает персональные данные.
В то же время в Минцифры подчеркивают, что частные компании при сканировании не смогут видеть всю информацию о человеке — только позволенную им. Так, супермаркетам будет доступно фото и возраст, а, например, банкам разрешат запрашивать полноценную копию паспорта. Для этого ведомство будет подписывать с предприятиями соответствующие документы на право сканировать QR-код документа и извлекать из него какую-то информацию. Уровень доступа будет зависеть от вида экономической деятельности компании, тем нужно будет совершить определенную техническую интеграцию. В министерстве сообщили, что в 2020 году к системе подключились около 100 компаний, а в 2021 хотят привлечь тысячу. Полный список партнеров "Дії" можно посмотреть тут.
Почему в Минцифры считают е-паспорта безопасными
Первый замминистра цифровой трансформации Алексей Выскуб уверяет, что приравнивание е-паспортов к бумажным не является поспешным или опрометчивым, а четко продумано организационно, юридически и технически, а также испытано на практике — все-таки почти год цифровые паспорта в "Дії" использовали около 5 млн украинцев.
По его словам, за безопасность цифрового паспорта отвечали сразу несколько компаний. ІТ-компания EPAM разрабатывала архитектуру сервиса и проводила его аудит, компании по кибербезопасности ISSP и GroupFS проводили тестирование, компания по криптографии ІІТ строила комплексную систему защиты информации, профильные департаменты Госслужбы связи и СБУ изучали соответствующие документы и архитектуру, а белые хакеры платформы Bugcrowd проверяли сервис на наличие ошибок и будут регулярно делать это в будущем.
Развенчивая популярные заблуждения, в Минцифре утверждают, что подделать электронный паспорт невозможно, поскольку нельзя подделать само приложение "Дія". Руководитель по развитию электронных услуг в Минцифре Мстислав Баник в комментарии для "Фокуса"пояснил, что программу можно скачать только с App Store или Play Market, а если она встречается в других магазинах приложений — значит, это ненастоящий сервис.
Баник говорит, что при краже телефона злоумышленнику еще придется его разблокировать, а если ему это все же удастся — разблокировать необходимо будет и "Дію". Приложение же через три неудачные попытки ввода пароля или считывания отпечатка/лица автоматически закроет сессию. После этого пользователь, ошибся ли он или был мошенником, не сможет пользоваться программой без новой авторизации на другом устройстве.
Если же другое лицо сумеет пройти и эту меру безопасности, использовать украденный телефон с е-паспортом он сможет только для авторизации у компаний-партнеров. Любая такая операция будет зафиксирована в системе, а это, по словам Баника, поможет выявить злоумышленника. Также каждый пользователь при утрате смартфона может сообщить это в службу поддержки Минцифры и попросить завершить сессию — технические администраторы могут сделать это удаленно.
Что говорят о рисках использования цифровых паспортов эксперты
Опрошенные Delo.ua эксперты к новшеству отнеслись настороженно. Вопросы вызывают защищенность сессий передачи данных, надежность других звеньев процесса идентификации, влияние человеческого фактора и бесперебойность работы реестров. На их взгляд, совокупность этих проблем могут привести к многочисленным мошенничествам, кражам личности и бытовым недоразумениям. Вот, что говорят специалисты:
Обычный бумажный паспорт — физический объект, который трудно скопировать. Компьютеры же работают так, чтобы любую информацию было скопировать легко. "Цифровой паспорт" — это просто сессия к серверам "Дії", такая же сессия, которая позволяет Facebook или Google запомнить ваш компьютер, и не заставлять вас вводить пароль заново. Эту сессию можно из телефона украсть. Но если бумажных паспортов можно украсть один, два, десять, то телефонов можно взломать тысячи. Что позволяет накапливать огромное количество "документов", не отличимых от натуральных. Точно так же поступают и банки, но банк рискует заранее известной суммой денег, а стоимость рисков заложена в стоимость услуг.
Украденные цифровые "документы" (и цифровые подписи с флешек), естественно, будут использованы для мошенничества. Именно поэтому Украина и стала "первой в мире", потому, что страны с более развитыми наукой и технологиями и более высоким уровнем доходов не хотят рисковать благосостоянием и приватностью своих граждан. О введении цифровых паспортов подумывает Германия, но немецкое правительство договаривается с производителями мобильных телефонов о том, чтобы те встроили в телефон дополнительный чип (наподобие того, что стоит в ID-карте). Ведь сам по себе мобильный телефон недостаточно надежен, чтобы использовать его для хранения документов.
Приравнять" физический документ к чему-то в телефоне невозможно, поскольку первым вы владеете и распоряжаетесь, а вторым — нет. Другое дело — юридический статус, то есть способность или неспособность выполнять определенные сервисные функции, но даже здесь не получится это сделать полностью. Ведь суть использования паспорта — предъявление его лицом для прохождения собственной идентификации. Здесь все понятно: то, чем вы владеете, то вы и можете показать. После предъявления вы свою часть работы выполнили.
Но в случае с электронным документом, вы ничем не владеете, кроме собственного телефона, даже программой на телефоне. Предъявления как такового уже нет — решение о том, предъявили вы документ или нет, принимаете не вы, а противоположная сторона на основе возможностей своего телефона, которым она может или не может отсканировать код, подключиться к интернету и так далее. То есть фактически ваши гражданские права становятся зависимыми от того, есть ли у противоположной стороны плюсовой баланс на счету телефона. Поэтому называть это "приравниванием" или эквивалентом — откровенное преувеличение.
В операциях не принципиальных, вроде получения посылки с AliExpress за $2 — это неплохая дополнительная опция. Однако в отношении важных жизненных событий, таких как посадка на самолет, прохождение границы, банковские операции или нотариальные действия — рассчитывать на то, что чей-то телефон будет заряжен, интернет работающий, а у вас также ничего не разрядится, я не посоветовал бы никому.
Также есть риски, связанные с работой электронных реестров. Например, при сдаче электронного отчета в налоговую или декларации в НАПК в пиковые часы там все висит, тормозит и не работает. Или можно вспомнить, что реестр юридических лиц в этом году несколько дней находился на техническом обслуживании. А теперь представьте, что вы не можете ждать, пока реестр ответит, поскольку надо сесть на самолет уже сейчас.
Есть вопросы и к безопасности. Паспорт как документ выполняет две функции: обеспечивает ваше право идентифицировать себя и защищает от вероятности, что кто-то другой выдаст себя за вас. Чтобы это работало, важно именно то, что паспорт один (или два, если это зарубежный), но главное — он материальный и вы его контролируете. Пока вы ответственно храните паспорт, никто кроме вас его не предъявит. Если вы потеряли его или документ украли, вы можете легко это понять и немедленно заявить об этом соответствующим органам. Е-паспорт — не материальный, вы не знаете и не можете знать, на скольких еще телефонах он доступен. То есть вам будет неизвестно, сколько экземпляров вашего е-паспорта еще существует, останется только доверять защищенности государственных сервисов.
Мир, где моя идентификация зависит не от меня, а от серверов, которые обслуживают админы на государственную зарплату, или зарядки телефона полицейского — не то, к чему я стремлюсь. Не паспорт определяет вашу идентичность, но паспорт призван ее защитить. Со времен возникновения паспортов в III-IV веке до нашей эры человечество накопило огромный опыт, как с ними обращаться и как уберегать себя от рисков false identity, важной частью этого всего является существование материальной собственности на единственный экземпляр документа.
Очень опрометчиво считать, что мы первые на планете придумали нечто революционное. То, что другие страны, которые уже используют 5G или имеют частные космические компании, не спешат идти этим путем, лишь указывает на огромное количество связанных рисков.
Немаловажно то, что государство получает тотальный контроль над всеми транзакциями вашей идентификации. Раньше, когда вы показывали паспорт дяде Сереже, проводнице, банку или ломбарду, об этом знали только вы двое. Теперь на серверы будет отправлен запрос, где кроме пары, кто и кому предъявил документ, будет еще и ваша геолокация, время и другие данные вашей трассировки.
А ведь у нас есть обширный негативный опыт накапливания и хранения государством данных. Итого государство, читай — товарищ майор, а после него Telegram-бот, продающий данные — будет знать о всех ваших парных связях, где требовалось предъявить паспорт. Вместо тотального накапливания данных обо мне и моих связях, лучше бы государство открыло мне информацию, кто из чиновников и зачем получал доступ к моим данным.
В Украине с 2015 года регулярно фиксируются многочисленные случаи компрометации так называемых электронных доверительных услуг, включая цифровые подписи и всевозможные государственные реестры. В частности, в Украине де-факто не работает основополагающий принцип профильной европейской директивы eIDAS: квалифицированная цифровая подпись украинца не тождественна его собственноручной.
Дело доходит до того, что украинские нотариусы и регистраторы используют свои легитимные цифровые подписи для противоправных действий, а в случае разоблачения без проблем доказывают в суде, что эти действия совершали не они, а некие хакеры, установившие контроль над их компьютерами. Таких дел уже сотни, если не тысячи, при этом замешанные в подобных историях нотариусы и регистраторы не то, что не получают хотя бы условные сроки, но даже не теряют лицензии. Приходится говорить о том, что в Украине нефункциональна вся национальная система доверительных услуг, любой факт цифровой идентификации или фиксации правоотношений может быть успешно оспорен в суде.
Один из основных изъянов архитектуры "Дії" заключается в том, что подключение к сервису осуществляется в том числе с помощью BankID Приватбанка. Стоит напомнить, что BankID как средство электронной идентификации имеет всего лишь средний уровень доверия. Это означает, что процедуры его использования не гарантируют невозможность подмены идентифицируемого лица.
На сегодняшний день из-за дефектов политики ПриватБанка, существует много, то ли десятки, то ли сотни тысяч, никто не знает, "спящих" учётных BankID этого финучреждения. Речь идёт об учётных записях, пользователи которых сначала прекратили пользоваться услугами банка, а затем сменили номера мобильной связи, ассоциированные с этими BankID. В результате этими номера пользуются другие люди, которые даже не подозревают о таком "довеске". Данная ситуация обусловлена тем, что в свое время банк агрессивно навязывал свои карты даже тем, кто не собирался ними пользоваться. Когда карту оформляли, человек оставлял в банке свой номер мобильной связи, поскольку в качестве главного идентификатора там используют именно номер телефона. В ходе регистрации этот номер автоматически связывался с BankID.
ПриватБанк не проверял и не проверяет статус зарегистрированных у него так называемых финансовых номеров, связанных с BankID — персонифицированы ли они, кто ими пользуется и пользуется ли вообще. Как результат в прошлом году зафиксировано появление практики целенаправленного поиска преступниками "бесхозных" финансовых номеров и завладения ими с целью активации "спящих" учётных записей BankID. Попросту говоря, возникла схема кражи идентичности, идентификации под видом другого человека.
К сожалению, завладеть номером достаточно просто — злоумышленники несколько раз звонят на него или пополняют на мелкие суммы денег, потом в отделении связи заявляют, что потеряли сим-карту, называют последние действия (звонки и пополнения) и получают новую карточку с этим же номером. Ещё проще завладеть бесхозным номером, если он поступил в дилерскую сеть для повторной продаже в составе стартового пакета. Напомню, что количество номеров не бесконечно, имеет место своего рода круговорот номерного ресурса.
В ПриватБанке для получения доступа к BankID достаточно владеть SIM-картой с финансовым номером. Пользователь инициирует восстановление пароля и получает его в СМС на свой номер. Это грубейшее нарушение всех принципов безопасности в угоду упрощения процедур взаимодействия, увеличения т.н. конверсии. В итоге, получив доступ к номеру мошенник обзаводится заодно и "спящим" BankID ничего не подозревающего об этом лица.
Если раньше таким образом можно было получить в МФО до десятка кредитов, теперь появилась возможность получить также доступ к е-документам в "Діє" и под видом какого-нибудь несчастного безнаказанно совершать юридически значимые юридические действия. Стоит признать, что хотя BankID прекрасный инструмент, он не подходит для использования в наиболее значимых случаях, его регламенты необходимо усилить.
Обсуждая вопросы внедрения электронных паспортов, необходимо осознавать, что государственная система цифровой идентификации граждан не сводится к одному только мобильному приложению, это публичный сервис, состоящий из множества элементов. "Дія" — только одно из звеньев, она может быть сколь угодно хороша и неуязвим а сама по себе, но ее взаимодействие с другими элементами имеет дефекты, которыми уже сейчас известны преступникам. Попросту говоря, система цифровой идентификации не продумана на всех этапах, а за ее безопасность в целом никто не отвечает.
В Минцифры утверждают, что их портал не хранит данных, а просто пользуется данными из реестра, которым управляет Государственная миграционная служба. На вопрос о том, кто же отвечает за сохранность и подлинность этих данных, там пожимают плечами и отсылают в ГМС. А там в свою очередь игнорируют этот момент. То есть недостаточно разработать хорошее приложение, необходимо продумать всю систему, проверить насколько безопасны все ее составляющие и есть ли слабые места.
Мария Пирогова, специально для Delo.ua
Источник фото: Depositphotos