Этот текст опубликован до 24 февраля 2022 года.
Общение, шопинг, работа, развлечения — все больше повседневных задач мы решаем, не отрываясь от экрана. Взаимодействие с госуслугами тоже стремительно переходит в онлайн: оплата ЖКХ и налогов, школьные дневники и запись к врачу. Государство сегодня — это цифровая платформа с платной подпиской на сервисы. Чтобы обеспечить гражданам удобный и безопасный доступ к услугам, государству, как и любой другой платформе, нужна инфраструктура для идентификации пользователей. Более 70 стран, среди которых Австрия, Финляндия, Эстония и Германия, решили этот вопрос введением национального электронного ID. Скоро и Россия заменит бумажные паспорта на пластиковые карты с чипами. Стоит ли нам радоваться удобным сервисам или бояться слежки? Могут ли технологии быть политически нейтральными? Разбираемся вместе с Елизаветой Доррер.
О чем речь?
В декабре этого года в Москве выпустят первые электронные паспорта, а через два года их будут оформлять по всей стране. Минцифры уже подготовило все технические детали реализации проекта, так что теперь дело за согласованием со службами безопасности и подготовкой госучреждений к работе в новом формате. Прототип нового паспорта, который более уместно теперь называть ID, уже показали — это пластиковая карта размером с кредитку, с фотографией и общей информацией, вы наверняка видели такие в кино или у иностранных друзей. Электронным паспорт делает встроенный многофункциональный чип. Он позволит записывать и хранить информацию, проходить верификацию при обращении к госуслугам, а также ставить электронную подпись на документах. Вместе с новым паспортом запустят приложение «Мой паспорт», которое можно будет предъявлять в аэропорту или на вокзале.
История цифровизации российских паспортов началась еще в 2013 с введения Универсальной электронной карты (УЭК), которая задумывалась как промежуточный этап, после которого мы бы перешли на полноценные электронные паспорта. Проект свернули в 2017 году из-за недостатка финансирования, технических сложностей, возмущений Русской православной церкви и появления национальной платежной системы «МИР». Со времен УЭК осталась концепция введения электронного паспорта, разработанная в 2013 и дополненная в 2018 году. В ней можно найти предпосылки, цели и задачи проекта, общие сведения о способах защиты данных, актуальные и для нового проекта. Несмотря на скорый запуск пилотного проекта, более детального описания на сегодня нет. Сейчас до конца не понятно, что именно будет храниться на чипе и как будет работать мобильное приложение. Пока известно только, что на чипе будут хранить персональные и биометрические данные владельца, включая изображение лица и отпечатки пальцев.
Срок действия карты — десять лет. Обновлять электронные айди необходимо, во-первых, по международному стандарту биометрических загранпаспортов, разработанному ИКАО (Международная организация гражданской авиации) из-за естественного изменения внешности владельца. Во-вторых, это нужно для дополнительной информационной безопасности: вместе с карточкой обновляются специальные файлы, используемые для аутентификации владельца и электронной подписи.
Что умеет электронный паспорт?
Электронным загранпаспортом мы пользуемся давно и активно. Он лучше защищен от подделки и ускоряет пограничный контроль. Чтобы опознать электронный загранпаспорт любой страны, достаточно найти на обложке иконку видеокамеры — кружок в прямоугольнике. Похожая иконка будет и на российском электронном паспорте.
Технологии в основе уже привычного электронного загранпаспорта и нового внутреннего паспорта во многом похожи, но ключевые функции и требования к этим документам отличаются. Загранпаспорт, в других странах его называют просто «паспорт» — это, в первую очередь, документ для пересечения государственных границ и поэтому должен распознаваться во всех странах и соответствовать единым международным стандартам по хранению, шифрованию и считыванию информации. У внутреннего электронного паспорта, который как правило называется национальным eID, функционал значительно шире.
На первый взгляд, эти функции похожи, но они служат разным задачам. Идентификация позволяет определить, есть ли пользователь в системе. Например, когда вы заходите в почту, гугл понимает: такой пользователь на самом деле существует. Но не факт, что логинетесь именно вы, а не мошенник. Поэтому необходима аутентификация — процедура определения, действительно ли вы тот самый пользователь, который записан в системе. Таким образом, идентификация и аутентификация — это связанные и последовательные процессы. Электронная подпись гарантирует, что после того как ее поставили, документ никто не изменял и подпись поставили именно вы.
Все эти функции и связанные с ними технологии широко применяются в интернете и при работе с цифровыми документами. Аутентификацию и идентификацию вы проходите каждый день, заходя в почту или банковское приложение, а простую версию электронной подписи можно поставить в программах майкрософт офис.
Можно ли подделать новый паспорт и как он защищен?
При желании, подделать можно любой документ, вопрос в том, насколько это сложно и дорого. Согласно актуальному прайсу даркнета, скан русского бумажного паспорта стоит $100, а загранпаспорт Евросоюза — $4000. Только шесть стран Евросоюза используют электронные паспорта, поэтому сравним со средней ценой фейка ID стран Евросоюза: она составляет $120, а электронный ID страны с самой развитой цифровой инфраструктурой, Эстонии — $820.
Степень защиты карты зависит от ее физических параметров и технологий шифрования. Про материал, из которого планируют изготавливать паспорт, точных сведений нет. Как правило, подобные карты, как и чипированные страницы загранпаспортов, изготавливают из поликарбоната. В поликарбонате нет слоев, поэтому подменить информацию, не разрушив карту, невозможно. Хотя по некоторым данным, фотография в новом российском eID будет находиться «под несколькими слоями пластика».
Обмен информацией с чипом осуществляется через стандартную для таких случаев ассиметричную систему шифрования в инфраструктуре открытых ключей (ИОК, англ. PKI — Public Key Infrastructure). PKI — это не конкретная технология, а определенный подход, набор правил, процессов и технологий. Мы сталкиваемся с ней каждый день, когда заходим в браузер или пользуемся банковской картой.
При асимметричной системе шифрования вам выдается пара ключей. Один служит для шифрования информации, он известен всем и называется открытым или публичным ключом (public key). Вы отправляете его тому, от кого хотите получить сообщение. Второй ключ остается у вас и с его помощью вы расшифровываете полученное сообщение. Этот ключ называется закрытым или личным (private key). Открытый и закрытый ключи — это пара очень больших чисел, задающих правила шифрования информации. Пара генерируется одновременно, она уникальна и предназначена для отправки сообщений лично вам. Зная открытый ключ, гипотетически можно вычислить и закрытый, но это очень сложно и займет много времени. Представьте почтовый ящик с двумя замками — первый защищает отверстие куда кидают письмо, а второй — дверцу из которой вы письмо достаете. Ключ от первого замка вы спокойно отдаете любому, кто хочет захочет вам отправить письмо. Вы не переживаете, что недоброжелатели сделают копию ключа для отправки писем, потому что ключ от дверцы есть только у вас, и полученные письма сможете прочитать только вы.
Потенциально, злоумышленник может сгенерировать пару ключей под вашим именем, отправить публичный ключ вашей подруге, и она пришлет сообщение ему, а не вам. Чтобы избежать такого обмана нужна третья сторона, которой доверяют все. Для таких целей существуют специальные центры сертификации, которые подтверждают подлинность и ведут учет всех выданных ключей, издавая цифровые сертификаты. Такие сертификаты вместе с личными ключами будут храниться в электронном паспорте — один для подтверждения личности, второй — для цифровой подписи. Чтение сертификатов и использование ключей защищено пин-кодом. Если вы приложите карту для быстрой регистрации, например в библиотеке, считается только общая информация, которая и так графически нанесена на карту.
Инфраструктура открытых ключей — это самый распространенный подход к защите информации. Надежность такой системы зависит от конкретной реализации.
Плюсы и минусы
Электронный паспорт сложнее подделать. Он повышает безопасность при использовании цифровых сервисов, а при утере его можно заблокировать за несколько секунд. Также электронный документ позволяет экономить на документообороте. Например, Эстонии благодаря электронной подписи удается экономить два процента ВВП в год.
Одно из опасений в связи с цифровизацией паспортов — утечка данных и слежка со стороны государства. В 2018 году данные для входа в Индийскую базу Aadhaar, крупнейшую в мире систему биометрических ID-карт с более чем миллиардом пользователей, был продан за 8 долларов. Индийское правительство заявило, что в скомпрометированной базе была только общая информация — имена, телефоны и адреса, а основные биометрические данные были защищены, поэтому проданная мошенниками информация не могла быть использована, например, для доступа к банковским счетам. Тем не менее, такая масштабная утечка персональных данных может сильно навредить, как минимум, репутации властей.
В России продажей паспортных и других важных данных никого не удивить. За 1,5 тысячи рублей можно узнать паспортные данные по полному имени, а за 9 тысяч купить базу из 1,5 млн паспортов. Паспортные данные сливают работники банков, кол-центров и сотовых компаний, а также чиновники и сотрудники полиции, поэтому проблема не только в технологиях. Потенциально, электронный паспорт снизит ущерб от утечки данных, потому что для подтверждения личности будет недостаточно просто указать паспортные данные, нужно будет пройти аутентификацию по пин-коду или биометрическим данным.
Второй важный аспект критики электронного паспорта — государственная слежка и контроль граждан. Тревога вполне обоснована: если подумать, именно для этих целей и был придуман национальный паспорт. Из-за того, что многим не нравится потенциальное ограничение личных свобод, внутренний паспорт принят не во всех странах. К тому же, не во всех странах, где такой паспорт есть, он обязателен. Например, жители Америки принципиально против единой национальной базы данных и обязательных ID, поэтому каждый штат самостоятельно выпускает паспорта и водительские удостоверения. Также внутреннего паспорта нет в Австралии, Канаде и Новой Зеландии. В Соединенном Королевстве была попытка ввести обязательный паспорт в 2006 году, но уже в 2010 его отменили, и проект закрыли. Среди стран с необязательным паспортом — Финляндия, Италия, Нидерланды, а также Норвегия и Армения (все они входят в Евросоюз).
Эстония: цифровой рай
Электронные национальные ID есть более чем в семидесяти странах. Одной из самых продвинутых с точки зрения цифровизации государственных сервисов считается Эстония. Ее опыт учитывали в Соединенном Королевстве и США, когда там строили собственные электронные системы. Эстонцы пользуются электронными подписями, получают медицинские рецепты, голосуют и решают судебные вопросы, используя цифровой ID. Это позволяет сохранить время и деньги жителей и государственных служащих: налоговую декларацию можно заполнить за пять минут и проголосовать на выборах в среднем за полторы. Уже в 2010 году 95% деклараций на подоходный налог оформлялись онлайн, а онлайн-голосованием пользовался каждый третий житель страны.
Такие сервисы и масштаб их внедрения невозможны без инструмента для цифровой идентификации, поэтому с 2002 года в стране начали выпускать электронные ID, а с 2014 года их сделали обязательными для всех. На карточке находится общая информация о владельце и его фотография, а также данные о разрешении на работу и пребывание для временных резидентов. Биометрические данные на карту не записаны (в отличие от будущих российских ID). Встроенный чип содержит открытый файл с данными в цифровом формате, его легко считать, чтобы быстро пройти регистрацию в библиотеке, спортклубе или магазине — карту можно использовать вместо карты лояльности. Водительское удостоверение не встроено в eID, но дорожная полиция может идентифицировать водителя по индивидуальному номеру и проверить наличие лицензии в базе данных.
Эстонская система цифровой идентификации состоит из двух основных компонентов: система ID и «Регистр Населения» — центральная база персональных данных и семейных событий. Каждому эстонцу присвоен уникальный несменяемый номер, к которому привязаны все остальные данные. Государство строго регулирует то, какие институции, лица и компании могут получить доступ к информации, хранящейся в базе. Например, если появляется новый онлайн-сервис, то по закону он не имеет права хранить уже имеющиеся в основной базе данные в другом месте.
Жители принимают новые онлайн-сервисы как должное, а для госслужащих присутствие в сети — это часть рутины. Почему эстонцы доверяют государственным цифровым сервисам? Причин несколько — высокий уровень кибербезопасности, прозрачность использования данных и цифровая грамотность.
За кибербезопасность Эстония основательно взялась после атак 2007 года, которые, парализовав банки, госсервисы и медиа, подчеркнули уязвимость электронного государства. С тех пор страна основала международный исследовательский центр кибербезопасности и ввела уже третью версию национальной стратегии в этой сфере, став эталоном для других стран.
По мнению бывшего президента Эстонии Тоомаса Хендрика Ильвеса, опасность исходит не от самих технологий, а от их использования со злым умыслом (с чем мы в редакции сверхновой абсолютно согласны). Поэтому чем больше мы знаем о том, как технологии работают и какие потенциальные риски в них скрыты, тем больше у нас шансов предупредить опасность и нежелательные последствия. В Эстонии кибербезопасности и цифровой грамотности обучают жителей, бизнес и чиновников. Для бизнеса проводят информационные кампании и публикуют образовательные видео, чиновников обучают в некоммерческом исследовательском центре e-Governance Academy, детей учат программированию с семи лет, а благодаря целевым курсам и образовательным программам более 90% эстонцев умеют пользоваться компьютером.
Другой важный фактор доверия — прозрачность. Во-первых, Эстония не только быстро реагирует на кибератаки и нарушения безопасности данных, но и открыто публикует информацию о таких событиях. Во-вторых, их ID карта работает на открытом коде, то есть любой разработчик может улучшить алгоритм, а частная компания — встроить карточку в свою экосистему. Когда исходный код виден всем, исключены бэкдоры (backdoor, черный ход), то есть нарочно встроенные дефекты алгоритма, открывающие разработчику тайный доступ к системе. В-третьих, каждый эстонец в специальном сервисе может посмотреть, кто, когда и какие персональные запрашивал из государственных баз данных.
Пожалуй, главные опасения, связанные с введением нового электронного паспорта в России — будут ли утечки информации и станет ли государству еще проще за нами следить. Утечки, к сожалению, весьма вероятны. Как писал культурный теоретик Поль Вирильо, «изобретая самолет, вы изобретаете и авиакатастрофу». Опыт других стран, вне зависимости от их технической подготовки, показывает, что случаются кибератаки, происходят проблемы с чипами, находятся разные уязвимости. Вопрос в том, как на эти проблемы реагируют — оперативно ли их решают, устраивают ли предупредительные меры, учатся ли на ошибках.
Электронный паспорт — это набор технологий с политическими последствиями. Если получение паспорта необязательно, система работает на открытом коде и по принципам прозрачности, то у такой системы есть демократический потенциал. Если это закрытая система, в которой пользователи не знают, когда и у кого к ней есть доступ и какие данные из нее запрашиваются, и использование этого документа строго обязательно (что весьма вероятно в России), то такой паспорт — инструмент для авторитарного режима.
Пока у нас нет полной информации о том, какие именно технологии будут в новом паспорте и как они будут работать. Возможно, система будет прозрачной, возможно, закрытой. Но с учетом того, что пилотный проект электронного паспорта запускается уже в этом году, а подробностей про него все еще мало — ставку на прозрачность делать сложно.