Кивино гнездо: Все яйца в одной корзине

АрхивКивино гнездо

Универсальная чип-карта, которой государство в ближайшие годы намерено одарить каждого россиянина, - это не только удобно, но и достаточно опасно.

В последних числах марта на одной из текущих конференций по защите информации ("Девятнадцатый Международный семинар по протоколам безопасности" в Кембридже) был представлен интересный доклад, имеющий непосредственное отношение к так называемой УЭК. Если кто вдруг ещё не в курсе, то такой аббревиатурой наши власти обозначили очень скоро грядущую для всех граждан России "универсальную электронную карту".

Автором доклада является видный английский профессор-криптограф Росс Андерсон, возглавляющий Компьютерную лабораторию Кембриджского университета и регулярно приглашаемый для консультации правительств и корпораций в качестве независимого эксперта. Представленная на форуме работа Андерсона стала одним из итогов его недавнего сотрудничества с компанией Google и посвящена, конечно же, не конкретно российской системе, а всеобщей тенденции, четко отмечаемой ныне во множестве самых разных государств.

Тенденция эта такова, что современный уровень инфотехнологий уже вполне позволяет в одном миниатюрном компьютерном устройстве собрать практически все идентифицирующие документы и платёжные инструменты, используемые человеком в его повседневной жизни. Иначе говоря, и удостоверение-пропуск, и водительские права, и карту соцстрахования с медкнижкой, и кошелёк с цифровыми наличными и плюс к ним всевозможными платёжными карточками (включая кредитные, дебетовые, скидочные и любые прочие) - всё это в совокупности можно в принципе заменить одним-единственным устройством на микрочипе. И запаять это устройство в нечто такое, что человеку удобно постоянно носить с собой, - в брелок, пластиковую карту или мобильный телефон.

По вполне объяснимым причинам многие государства, внедряющие сейчас такого рода системы, иногда именуемые системами "объединённой аутентификации", в качестве основы обычно выбирают пластиковую идентификационную карту. Однако уже вполне отчётливо проявляются и другие варианты, более привлекательные для влиятельных корпораций. Так, конкретной моделью исследования в докладе Росса Андерсона выбрана схема, энергично продвигаемая компанией Apple, где очень хотели бы видеть в качестве универсального чудо-прибора для "объединённой аутентификации" свой смартфон iPhone.

Но какой бы ни была конечная реализация идеи, несложно понять, что с точки зрения защиты информации перед любой схемой объединённой аутентификации стоят одни и те же очень серьёзные проблемы, потенциально способные сделать систему не только малоэффективной, но и очень опасной для её пользователей. Поэтому доклад Андерсона, озаглавленный "Можно ли поправить экономику безопасности в системе объединённой аутентификации", хотя и задает вопросы применительно к телефонам ("как вести себя в мире, где мобильный телефон содержит ваши кредитные карточки, ваши водительские права и даже ключи от вашей машины?"), в действительности касается всей этой системы в целом. Самый главный вопрос исследователя звучит так: "Что случится, когда это электронное чудо-устройство окажется украдено или заражено вирусом"?

Чтобы иметь общее представление о масштабе и сложности данной проблемы, достаточно вспомнить, что в условиях интернета и компьютерных сетей вообще идея об использовании единого сервиса для идентификации пользователей на все случаи жизни - это одновременно очень старая мечта и ужасно коварная ловушка.

В работе Андерсона рассказывается по крайней мере о четырёх предыдущих попытках массово реализовать подобную схему и о причинах, помешавших сделать это хорошо и красиво. Остаточные формы всех этих неудавшихся попыток сейчас напоминают игру типа "передай кулёк соседу". Так, постоянно посещаемая вами веб-газета аутентифицирует вас через ваш сайт в сетях социального общения; тот, в свою очередь, хочет, чтобы вы восстанавливали забытый пароль доступа через электронную почту; ваш провайдер электронной почты хочет, чтобы вы использовали для подтверждения личности свой мобильный телефон; а ваша телефонная компания в качестве подстраховки опирается на ваш аккаунт электронной почты...

При этом ни одна из всех этих инстанций в лице своих колл-центров решительно не хочет быть крайней в тех сложных, но ежедневно происходящих ситуациях, когда попавшие в беду пользователи теряют свой смартфон или ноутбук, напрочь не помня паролей доступа. При этом органы сертификации, на которые опирается вся система онлайнового доверия, всегда открыты для принудительно-добровольного сотрудничества с компетентными органами правительств. А правительства, которые в принципе хотели бы, чтобы граждане использовали электронные карты в качестве единого средства аутентификации, даже если берутся за это дело, зачастую начинают безнадёжно буксовать в том, чтобы заставить систему (а) эффективно работать и (б) при этом ещё и гибко реагировать на мошенничества или ошибки пользователей.

В исследовании Андерсона представлено несколько сценариев, воплощаемых госвластями разных стран для наиболее эффективной реализации гранд-идеи об электронном идентификаторе гражданина (или кратко - e-ID). Один из наиболее гибких и при этом чётко очерченных планов на данный счет изложен в американской федеральной программе NSTIC (National Strategy for Trustworthy Identities in Cyberspace, то есть "Национальная стратегия для доверяемых личностей в киберпространстве"). Суть программы предельно проста: единственный электронный логин-идентификатор человека должен работать повсюду, где он только может потребоваться.

Иначе говоря, гражданин должен иметь возможность использовать своего "провайдера идентичности", выбираемого по собственным вкусам и предпочтениям, для входа куда угодно. Так что в итоге, как это мыслится, водительские права можно было бы использовать для входа в учётную запись электронной почты; или - другой пример - использовать свой логин в Facebook для уплаты, скажем, налогов или автодорожных штрафов.

Более жёстко ограниченные версии той же, по сути, схемы уже несколько лет внедряются правительствами таких стран, как Эстония и Германия. С тем существенным отличием, что в качестве универсального пропуска во все места служит электронная идентификационная карта, выдаваемая государством каждому гражданину. В мае 2010 от этого сценария по ряду причин отказалась Великобритания, а с 2012 во многом похожую систему начинают внедрять в России. Аналогичные процессы идут во многих других странах мира, однако мало где такие системы пока что удалось развернуть в сколь-нибудь серьёзном масштабе.

Пытаясь объяснить неоспоримый факт того, что все предыдущие попытки внедрения объединённой аутентификации в подавляющем большинстве случаев заканчивалась крахом, Росс Андерсон видит причину неудач в неправильно выбиравшихся стимулах к разворачиванию системы. Для провайдеров, выдающих людям "электронную личность", не подразумевалось никакой ответственности перед конечными пользователями, но при этом они были повязаны добровольно-принудительным и бесконтрольным для граждан сотрудничеством с государственными органами. Те стороны, которые в своей работе задумывались как опора и поддержка разворачиваемой инфраструктуры, в реальности получали от этого мало преимуществ, одновременно сталкиваясь с возросшей сложностью системы. Ну а конечные пользователи вполне обоснованно избегали пользоваться системой, опасаясь появления "единой точки отказа".

Анализируя перспективы разворачиваемых проектов (все документы идентификации плюс цифровой кошелёк), британский эксперт считает, что пристегивание сюда мобильных кошельков - это одновременно немалая проблема и большая новая возможность.

Проблему понять гораздо легче. На одном из реальных рынков, в Японии, где бесконтактные платежи с помощью мобильных телефонов (через системы NFC) уже широко применяются не первый год, результаты внедрения нельзя назвать большим успехом. Далеко не все клиенты способны дистанционно заблокировать потерянные или украденные телефоны. Поэтому тому, кто не может сделать это сам, приходится обзванивать всех своих провайдеров платёжных карточек. А те, в свою очередь, имеют весьма различающиеся порядки для процедуры блокирования и восстановления карты. Как прямой результат этих проблем бесконтактные NFC-платежи в Японии сводятся сейчас, главным образом, к малорасходным предоплаченным карточкам.

Росс Андерсон считает, что довольно унылую ситуацию с явно тормозящим разворачиванием бесконтактных платежей можно существенно оживить, если совместить цифровой кошелёк с электронным удостоверением (e-ID), а ответственность за внедрение этих устройств (и соответственно за разруливание ситуаций с кражами-потерями) возложить на банки. У которых, как полагает Андерсон, появится очень серьёзный стимул заниматься и неприятностями своих клиентов, если тот банк, что берётся отвечать перед пользователем, становится принятым по умолчанию при всех бесконтактных и "обычных" платежах.

Здесь, возможно, следует пояснить, что среди людей, давно и повсеместно использующих банковские платежные карты, общепринятой является практика использовать множество карточек от разных банков: одну для текущих бытовых расходов, другую для бизнеса, третью для покупок в интернете, ну и так далее. Разные банки, конкурируя друг с другом, изобретают различные выгоды для расходов своих клиентов. Поэтому когда все реквизиты их карточек оказываются собраны единым списком в электронном бумажнике, то весьма существенно, какая из карточек поставлена первой - для оплаты всех обычных расходов человека.

Cтруктурой, ответственной за внедрение в России единой идентификационной карты-кошелька, определена специально созданная под это компания ОАО УЭК, то есть Открытое акционерное общество "Универсальная электронная карта", где костяк акционеров образуют ведущие российские банки, начиная, естественно, со Сберегательного.

Насколько свободной окажется новая российская система от всех тех недостатков, что в своё время сгубили прежние системы объединённой аутентификации, покажет лишь время. Но уже заранее можно сказать, что у российских банков, по определению, имеется неважная наследственность во всём, что касается добровольно-принудительного (и нередко туповато-тотального) сотрудничества с компетентными органами государства.

Для наглядной иллюстрации достаточно привести такой вполне типичный пример из повседневной жизни Сбербанка и его клиентов. Человек подает клерку в окошко свои сберкнижку и паспорт, чтобы снять собственные деньги. Клерк проверяет реквизиты по компьютеру и объявляет, что выдать деньги не может, поскольку программой системы паспорт помечен как "недействительный". Физически с паспортом всё в порядке, но, хотя он и выдан всего полтора года назад, формально документ уже стал невалидным, поскольку был выдан владельцу в полных 44 года, подлежал установленной порядком замене в 45, а сейчас владельцу уже 46...

Оставим в стороне идиотскую ситуацию, когда коммерческий банк не выдает клиенту его же собственные деньги лишь на том основании, что в государстве негибкие порядки, заставляющие людей оформлять паспорт два раза подряд. Всё-таки закон есть закон, и раз уж положено в 45 лет обменять документ, придётся лишний раз попариться.

Гораздо хуже другое. У человека есть ещё один документ - загранпаспорт, выданный тем же самым государством и вполне эквивалентно заменяющий паспорт внутренний при обычных операциях в банке. Но когда этот загранпаспорт предъявляется, то компьютерная система банка деньги клиенту всё равно не выдаёт - теперь уже по той причине, что счёт его "заблокирован из-за просроченного основного документа". И работает программа таким образом, что разблокировать счёт можно будет лишь сильно потом, по предъявлении нового внутреннего паспорта. И никак иначе...

А теперь экстраполируем этот восхитительный подход к человеку, когда коммерческие банки автоматически и полностью блокируют клиенту доступ к его деньгам лишь на том основании, что у государства к этому гражданину возникли какие-то совершенно пустяковые претензии. Совсем несложно, наверное, представить себе масштаб аналогичных проблем в недалеком будущем, когда все "яйца клиента" - и важнейшие документы, и все счета в банках - будут собраны в одну корзину, а потом вдруг разом окажутся заблокированы.

Причем заблокированы вовсе не потому, что вы опаснейший преступник, разыскиваемый государством и Интерполом, а по той причине, что какой-нибудь не самый умный, но влиятельный госчиновник вновь сочтёт очень полезным именно таким вот образом формировать в людях гражданскую ответственность. Не заплатил ты, скажем, вовремя штраф за нарушение ПДД или, например, пропустил установленный срок уплаты налогов - а мы тебе карточку УЭК-то и заблокируем. Вот и покрутись после этого...

Подобный сценарий - это, конечно, лишь недобрая фантазия автора, имеющего вполне достаточный личный опыт для скептического отношения к государственно-коммерческим новациям властей. Не исключено, что именно с УЭК всё сделают по-другому.

Вот только верится в подобное с трудом.