- авторское право
- Гражданам России
- новости миграции
- свобода информации
- творчество
- цели устойчивого развития / ЦУР/SDG
Цифровая идентификация в России
В России стартует новый этап цифровой идентификации: граждане смогут использовать QR-код из сервиса «Госдоки» наравне с паспортом. На первом этапе такой код будет можно предъявлять в магазинах при покупке товаров с ограничением по возрасту, в кино и музеях, при проходе в офисные центры, а также при отправке и получении посылок. В перспективе его применение расширится на финансовые организации, салоны связи, частные клиники и даже гостиницы.
Правительство заверяет, что технология безопасна, а использование — сугубо добровольное. Но вместе с удобством неизбежно возникают вопросы о защите персональных данных и новых рисках мошенничества.
Обсуждаем риски с Павлом Коваленко, директором Центра противодействия мошенничеству компании «Информзащита», чтобы понять, какие угрозы могут сопровождать цифровой паспорт и как защитить себя в новой реальности.
Главная угроза — подделка или «кража» кода. Если QR статичен, его достаточно просто сфотографировать на чужом телефоне, и злоумышленник сможет выдавать себя за владельца. Поэтому критически важно, чтобы код был динамическим, обновлялся в реальном времени и быстро терял актуальность.
При корректной реализации в самом коде не будет открытых персональных данных — только зашифрованный токен, подписанный Минцифры. Даже если кто-то сфотографирует QR, расшифровать данные он не сможет. Однако остается риск взлома устройства или приложения, где этот токен хранится.
Риск для фишинга высок. Любая новая технология привлекает мошенников: появятся поддельные сайты с призывами «обновить QR» или «получить новый паспортный код». Минимизировать опасность можно с помощью широкой информированности пользователей и короткого срока жизни каждого кода.
В приложении должна быть функция моментальной блокировки (по аналогии с банковскими картами) и возможность мгновенно выпустить новый код. Без этого система превращается в «паспорт без права замены».
Подделать бумажный паспорт проще, чем цифровую подпись. Но вектор атак смещается — вместо подделки печатей и бланков мошенники будут пытаться взломать цифровую инфраструктуру.
Если код подписан и проверяется через сервер Минцифры, подделка практически невозможна. Но если это просто статичное изображение с ФИО и датой рождения, сделать поддельный вариант элементарно. Все упирается в качество реализации и уровень защиты.
