Илья Медведовский 27.04.15
Глава Минкомсвязи на ежегодной расширенной коллегии заявил о том, что в скором будущем мы все станем обладателями электронных паспортов, которые, кроме всего прочего, будут одновременно средством безналичных платежей. Позже стало известно, что действительно, чип паспорта обеспечит доступ к национальной системе платёжных карт – по крайней мере, так задумано.
С технической точки зрения проблем не видно – да, так сделать можно. А с точки зрения безопасности – смущает всё. Причем абсолютно всё.
Даже введение «обычного» электронного паспорта без платежной составляющей несет в себе массу потенциальных проблем, с которыми раньше граждане России не сталкивались. Главная из них – феномен, на Западе давно уже известный, называется «кража личности» (identity theft), он же«кража цифровой личности».
Электронный паспорт – это цифровой аналог гражданского паспорта, и его основная задача – идентификация личности гражданина, в том числе идентификация в Интернете, например, при получении электронных госуслуг. И если электронный паспорт не несёт в себе функцию ещё и кошелька или банковской карты, кража электронной личности не будет означать кражи денег. Ну, по крайней мере, кража случится не сразу.
Обратим внимание на то, что сайты госуслуг практически беззащитны перед атаками злоумышленников Они (сайты, а не злоумышленники) буквально кишат уязвимостями разного типа, и живы только потому, что не представляют никакого интереса для взломщиков — заработать на этом они не могут.
Сайты госуслуг: источники опасности
После регистрации в используемой сайтами госуслуг Единой системе идентификации и аутентификации (ЕСИА) пользователь при входе на сайт идентифицируется лишь парой «логин-пароль». В качестве логина может быть использован адрес электронной почты или номер телефона – это общедоступная информация. «Умение» граждан выбирать надёжные пароли общеизвестно, наивных людей, полагающих выбор пароля «12345» достаточным, более чем достаточно. А двухфакторной аутентификации, например, с использованием кода подтверждения доступа, присылаемого в SMS, не предусматривается, есть только SMS-оповещение о входе в систему.
Добыть пароль можно и с помощью фишинговой атаки на ЕСИА – пример таковойподало Минкультуры на сайте НЭБ.
То, что сайты госуслуг не атакуют, объясняется действительно тем, что в этом для злоумышленника нет корыстного интереса. Но по мере роста количества госуслуг, получить которые полностью, от заявки до исполнения, можно онлайн, такой интерес неизбежно появится. Уже сейчас, завладев чужим логином и паролем доступа к ЕСИА, можно, например, инициировать процедуру отказа от лицензии, которая выдана предприятию, или, в технически самом простом случае, дезорганизовать работу кабинета поликлиники массовой записью на приём к врачу мнимых больных.
Поэтому от введения электронного паспорта только как средства идентификации гражданина с точки зрения безопасности ничего в худшую сторону принципиально не изменится. Однако любая привязка электронного удостоверения личности, даже косвенная, к возможности осуществления по этому удостоверению финансовых операций через Интернет грозит обществу очень серьезными последствиями, среди которых нет ни одного положительного.
Мне могут возразить: без привязки (в том или ином виде) электронного паспорта к системам электронных платежей трудно обойтись. Например, очень удобно удаленно идентифицировать себя в банке по электронному паспорту и заказать кредитную карту по почте (как это можно делать в США). Для банковских мошенников в РФ открывается новое широкое поле деятельности. Банки только недавно практически победили фрод на стороне клиента, связанный с атаками на его рабочую станцию – но что мешает злоумышленникам вспомнить методы пятилетней летней давности и, украв личность, заказать на имя гражданина 50 кредитных карточек, после чего опустошить их? Это только одна из возможных схем мошенничества, которая, кстати, в США процветает уже десятилетия.
Но именно потому, что схема известна, ей можно противостоять. Минкомсвязь же со своей инновацией приглашает нас в новый, существенно более опасный мир, где человека подстерегают опасности гораздо серьёзные.
Паспорт, совмещенный с банковской картой, который предлагает Минкомсвязь, представляет особую опасность. Если раньше у гражданина в Интернете крали отдельно деньги, а отдельно – личность, то теперь можно будет сделать разом и то, и другое. Вероятность фрода в данном случае повышается на порядки, потому что банковская карта, в отличие от паспорта, предполагает постоянное использование в банкоматах, в POS-терминалах оплаты в магазинах, заправках и т.д. Скиммер на банкомате или специальный вирус на терминале – и, кроме денег, владелец паспорта лишается и цифровой личности, с катастрофическими последствиями для личности реальной.
Это не всё, есть ещё и гарантированные потери. Если посмотреть на дело глазами IT-инженера, а не специалиста по информационной безопасности, легко видеть, что совмещать две совершенно разные по идеологии системы (информационную, для идентификации личности, и платежную) – странное решение. Оно радикально осложняет процедуры для обеспечения информационной безопасности. В конечном счёте такое осложнение превратится в лишние траты государственных денег.
Об авторе: Илья Медведовский — генеральный директор Digital Security, кандидат технических наук.
http://d-russia.ru/krazha-lichnosti-ot-mechty-k-realnosti.html
http://creativecommons.org/licenses/by/3.0/legalcode