Про Дию и виртуальные паспорта
На прошлой неделе меня пригласили на одесский городской телеканал, где я уже несколько раз светился в эфире, записать для новостного сюжета комментарий. Я с удовольствием приехал, наговорил минут 15, разумеется, в итоговый ролик попало не больше минуты, и сразу сделал себе пометку «А не написать ли развернуто на эту тему?». В общем, поскольку тема остаётся горячей, вот, собственно, что я про это все думаю.
Итак, Верховная Рада приняла закон, по которому электронные паспорта являются такими же официальными документами, как и бумажные паспорта или ID-карта, и должны приниматься наравне с бумажными оригиналами всеми организациями и учреждениями. В соцсетях восторги, мол, первая в мире страна, где можно предъявить паспорт в смартфоне и не надо носить с собой бумажку, ведь так и удобнее, и некоторые даже добавляют — надежнее. Разумеется, под электронными в первую очередь подразумеваются соответствующие записи в приложении «Дия», которые можно предъявить в виде QR-кода, который живет три минуты и представляет собой ссылку на запись в Едином реестре, по которой уполномоченный сотрудник может пройти и прочесть необходимую информацию.
Давайте я сразу перечислю, что я думаю о такой цифровизации, а потом разверну по пунктам.
«Паспорт» в приложении «Дия» показывает, что его разработчики плохо понимают суть процесса документирования личности. В погоне за модными фишечками — то есть возможностью вместо документа предъявить QR-код в смартфоне, — разработчики в очередной раз оцифровали хаос и сделали странный продукт. Решение очень уязвимо с точки зрения безопасности и контроля доступа к персональной информации граждан. Наконец, оно нереализуемо практически в полной мере, а частичная реализация лишь ухудшает все риски безопасности.
А теперь подробнее.
Удостоверение личности
Я много раз повторял одну и ту же фразу и всякий раз собеседники смотрели на меня удивлённо, как будто я сообщаю какое-то новое откровение. Вот эта фраза — «Когда вы говорите об удостоверении личности, вы чаще всего путаете документ и процесс».
Дело в том, что правильно оформленный документ, удостоверяющий личность, — это лишь часть процесса. Второй необходимой частью в нём является сама личность — живой человек, предъявляющий правильно оформленный документ. И процесс заключается в сверке личности с документом, который выдан неким авторитетным органом. Если личность совпала с документом — всё в порядке, гражданин, проходите.
Проблема тут в том, что в этом процессе участвует еще один человек. Именно он осуществляет сверку и делает заключение о её успешности. Или наоборот. И участие именно этого человека критично для процесса — и именно это участие выпускается из виду нашими диджитализаторами, которые уверены, что сам по себе документ достаточно заменить записью в реестре или даже QR-кодом самим по себе.
В чем отличие бумажного документа от его цифрового аналога? В его уникальности. Когда вы держите в руках свой паспорт, вы можете быть практически уверены, что держите в руках единственный такой документ и ни у кого другого такого документа — с теми же параметрами, как имя с фамилией, номером, серией и другими сведениями в нём, — нет и быть не может. Водяные знаки, биометрические показатели, дорогая печать особым образом — это всё призвано сильно усложнить изготовление копии, если уж не получится сделать такое изготовление абсолютно невозможным. С точки зрения идентификации личности при этом справка на плохой бумаге с неразборчивой подписью работает не хуже — вспомните «пачпорта», которые оформлял шельмец-писец из «Формулы любви», или бумагу за подписью Ришелье, которую Атос отнял у миледи.
В чем отличие цифровой сущности от физической? В возможности быть скопированной, причем так, что получившаяся копия абсолютно идентична оригиналу. Понимая это, нормальные разработчики средств цифровой идентификации шифруют исходные сущности так, чтобы даже в случае копирования информация, находящаяся в документе, была бы недоступна неавторизованным пользователям — например, информация в вашей ID-карте закрыта несколькими паролями, которые известны только вам и вносятся при выдаче карты, причем это делаете вы сами. Теоретически, конечно, возможно перехватить этот ввод, но это рискованная затея, которая требует компрометации всего пункта выдачи документов.
Поэтому ID-карта — то есть фактически уже имеющийся цифровой паспорт, — вполне соответствует понятию документа — она уникальна, она содержит полную информацию о личности, более того, если бумажный паспорт можно украсть, то ID-карту красть менее полезно — в ней содержатся биометрические показатели типа отпечатков пальцев, а защита паролями делает часть функций недоступными для всех, кроме оригинального владельца.
А на практике?
Печальная правда заключается в том, что на сегодняшний день в Украине использование ID-карты в полной мере невозможно. Да, она содержит всю информацию, но для её считывания необходимы специальные ридеры и юридическое основание. Я много раз повторял людям, занимающимся этой цифровизацией — все усилия бессмысленны, пока действует инструкция Минюста, требующая от нотариусов ксерокопировать паспорт, документ о присвоении ИНН и, с тех пор как информация о месте регистрации перекочевала в чип ID-карты, — отдельную справку о месте регистрации, выдаваемую отдельно от паспорта. Обратите внимание, что идентификационный код ясно напечатан на пластике карты — но нотариусу нужна именно пожелтевшая справка, которая в моем случае выдана более 20 лет назад, напечатана на матричном принтере и на которой давно неразличима печать.
Что даст замена в этой схеме физического паспорта на электронный? А вообще ничего. Приходите 23 августа к любому нотариусу страны и проверьте — да, наверное, вы сможете предъявить паспорт в «Дие», который начнут как-то копировать нотариусы (впрочем, я даже в этом сомневаюсь), но не забудьте захватить справку о коде и справку про регистрацию — их в свежепринятом законе нет, как нет и поручения министерствам прекратить требовать документа про сведения, которые и так содержатся в реестрах и ID-карте.
Два пути
В соответствии с принятым законом, электронный паспорт — это фактически электронная копия информации, которая содержится в Едином реестре о гражданине. Причем, как мы уже знаем на практике, QR-код — это фактически ссылка на сам Реестр, позволяющая проверить подлинность информации. Иначе, разумеется, любой разработчик мобильных приложений был бы в состоянии собрать полную копию приложения «Дия», которая бы отображала любую информацию.
Внимание, вопрос — если подлинность информации может быть проверена только путём обращения в Реестр, в чем смысл вообще предъявления какой-либо копии, в смартфоне или ещё как-то? В одной из передач на том же телеканале руководитель разработчиков «Дии» мне подробно рассказывал, что вы можете предъявить водительское удостоверение в приложении, а если у вас нет интернета в смартфоне, то сотрудник полиции должен со своего планшета осуществить поиск в реестре и работать с полученной информацией. К сожалению, времени тогда оставалось мало, поэтому вопрос «А зачем тогда предъявлять что-то, пусть он сразу меня ищет?» я задать успел, а вот внятно продемонстрировать отсутствие ответа не получилось.
Но это именно то, что я называю «цифровизацией хаоса» — если информация в любом случае сверяется с Реестром, совершенно неважно, что я предъявлю — QR-код, фотоснимок информации о паспорте или кусок бумаги, где будут разборчиво написанны имя с фамилией. Придумывание еще одной сущности происходит лишь потому, что разработчики привыкли, что надо что-то предъявлять.
Путь, при котором вся информация содержится в реестре, можно условно назвать китайским — там действительно так происходит и вам достаточно показать лицо, чтобы вас идентифицировали. Для функционирования такой модели требуется полное покрытие населения и полное покрытие территории. Более того, покрытие территории подразумевает не только доступность информации в любой точке страны, но и доступность информации из реестров в любом учреждении, где она требуется. У нас нет ни первого, ни второго, ни, тем более, третьего.
Ну, казалось бы, и ладно — правда, победа смартфонов откладывается, поносим пока бумажные паспорта, но что в этом опасного-то?
Мир цифровых копий
Ну, во-первых, давайте сразу скажем, что смартфон — так себе устройство с точки зрения безопасности. У него довольно скромные способы защиты, при этом они постоянно конфликтуют с удобством, в результате у большого количества людей средства безопасности на смартфоне минимальны или вовсе отсутствуют. Чем мощнее и сложнее становятся смартфоны, тем выше их уязвимость и вирусы для них не вчера появились.
С точки зрения безопасности, хранить паспорт в смартфоне – равносильно ношению физического паспорта, расклеенного отдельными страницами по всей одежде, с рекомендацией для вящей безопасности клеить страницы на голое тело и не забывать одеваться.
Вы скажете — да ладно, мы же используем смартфоны для платежей и деньги особо не пропадают, в чем проблема так же хранить паспорт?
Совершенно верно, смартфоны и даже умные часы позволяют хранить в себе цифровые копии платежных карт и расплачиваться, просто поднося их к терминалу торговой точки. Правда, при этом они хранят эти копии в специальном хранилище, которое разблокируется только на момент транзакции и только самим пользователем — с идентификацией паролем, отпечатком пальца или лицом.
Но, что намного важнее, идентификация при этом производится через специальный терминал авторизованной организации (банка) путем автоматической сверки с реестром (аккаунтом в банке).
А теперь замените в этой схеме платежную карту на паспорт.
Инфраструктуры в виде терминалов и доступа к реестру у нас нет. При этом необходимость предъявлять паспорт как раз возникает в большем количестве случаев и мест — то есть такая инфраструктура должна быть даже более распространена по сравнению с карточными терминалами.
Однако с 23 августа вы имеете полное право предъявить паспорт в виде записи в приложении «Дия» и отказываться предъявлять бумажный.
При этом — вернитесь в начало статьи, — процесс идентификации личности проводит человек. Не компьютер в виде процессинга банка, не терминал, проверяющий корректность ввода пин-кода, а живой человек. Которому предъявили вместо физического документа изображение на экране смартфона, проверить которое он не может, поскольку — смотри выше, — инфраструктуры у нас нет.
Давайте я перефразирую в духе популярного мема — с 23 августа не только лишь вы имеете полное право предъявить свой паспорт в электронном виде, но и много кто имеет возможность предъявить ваш паспорт в электронном виде. Это может быть изображение на экране или картинка, выдаваемая самособранным приложением, имитирующим «Дию». Даже не обязательно к нему прикладывать средства убеждения типа портретов американских президентов — ведь способ проверить подлинность предъявляемого «документа» есть только один, а его (доступа к Реестру) в большинстве случаев у человека не будет.
Впрочем, даже в случае наличия доступа к Реестру последним звеном всё равно остается человек. Помните истории 90-х-2000-х про компании, регистрируемые на паспорта бомжей или умерших? А сейчас и паспорта в физическом виде не понадобится.
А если будет инфраструктура и любой, кому требуется проверить паспорт, получит доступ к Реестру?
А вот тут-то мы и увидим подлинный Хаос.
Вот еще и поэтому я говорю о бессмысленной цифровизации хаоса — потому что вместо тщательной и полномасштабной проверки существующей практики идентификации личности предлагается максимально облегчить этот процесс. Министр цифровизации не задаётся вопросом «Зачем отелю копия моего паспорта?» — он придумывает способ одним кликом отправить менеджеру отеля цифровую копию паспорта. Он не задается вопросом «Зачем нужна отдельная карточка налогоплательщика в Дие, при наличии идентификационного кода в электронном паспорте здесь же в Дие?» — он радуется возможности отдельно предъявить электронную карточку, потому что прикольно же, в смартфоне, рядом с приложением фейсбука есть еще и такой QR-код.
Конечно, вероятно, в архитектуре Реестра предусмотрена возможность документирования обращения к нему и можно будет посмотреть лог таких обращений. Тут возникают еще две проблемы. Во-первых, чем больше народу имеет права доступа к Реестру, тем менее полезны любые механизмы контроля доступа к нему. «Что знают двое, знает свинья», как говорил папаша Мюллер.
Во-вторых, вы же помните — цифровая копия неотличима от оригинала. Следовательно, получивший раз доступ к реестру с вашими данными, вполне может иметь эту информацию всегда, полностью и в идеальном качестве.
Что с этим делать?
С тенденцией реестризации всего живого, к сожалению, ничего. Видимо, к этому идёт всё человечество и с пути не свернёт.
С доступом к информации в Реестре вы тоже ничего не поделаете. Системы представительской демократии, к сожалению, лишены механизмов прямого влияния на радостных диджитализаторов, получивших возможность порулить.
Остаётся только один вектор защиты — не пользоваться. Не оставлять цифровых копий, не предоставлять доступа к ним, продолжать носить физические документы и предъявлять именно их.
И не удивляться новостям о том, что разработчики «Дии» в очередной раз в публичном месте оставили пароли доступа. Собственно, вся стратегия кибербезопасности в Украине вполне описывается двумя высказываниями соответствующих должностных лиц «Система безопасности развивается параллельно с цифровизацией» и «Роль кибербезопасности преувеличена».
P.S. Пожалуйста, проявите немного уважения и не приводите в пример Эстонию. Страна с населением одного, не самого большого, украинского города с территорией Волынской и Ровенской областей вместе взятых вряд ли может служить примером для всей Украины. А история с выборами, где примерно каждый раз находят уязвимости в электронном голосовании и где ни разу еще не проголосовало электронным способом более 45% от принявших участие в выборах — и подавно не пример.