Журнал "Открытые системы" №1 за 2011 год. Владимир Самохвалов
Все больше людей нашу тайну хранит...
В.Вишневский
В государственной программе «Информационное общество" справедливо отмечено, что сегодня происходит "неконтролируемый рост объемов информации о гражданах, организациях и объектах хозяйственного оборота", что "в условиях отсутствия эффективных механизмов контроля ее использования создает угрозу нарушения прав граждан". Базовый закон 152-ФЗ не дает решения проблемы, а лишь обязывает организации, соприкасающиеся с персональными данными своих клиентов, выполнять формальные и нечетко определенные требования по организации хранения таких данных. Однако, выполнение предписанных мер не гарантирует ни безопасности персональных данных клиентов, ни защиты владельцев онлайн-сервисов от претензий клиентов, провокаций конкурентов и пристрастных проверок со стороны регулятора.
"Свобода" выбора
Согласно положениям 152-ФЗ, обработка персональных данных ведется только с согласия индивида, однако в большинстве случаев реального выбора у него нет: водитель обязан оформить ОСАГО, и вариантов не разрешить страховой компании обработку своих персональных данных ему не предоставлено; при обращении в медицинское учреждение клиент подписывает согласие на обработку своих персональных данных, но выбирает не между тем, разрешить или не разрешить обработку таких данных, а между тем, получить медицинскую помощь или нет. Вопреки обыкновению, зарубежный опыт также не дает примеров радикального решения проблемы защиты персональных данных; например, в директивах ЕС в качестве защитных мер приводятся такие умилительные пункты, как: "Обеспечить, чтобы персонал не записывал на бумаге и не передавал друг другу пароли для входа в базы с персональными данными».
Глубинной причиной этого тупика стала двойственная практика использования персональных данных, которые естественным образом делятся на две категории:
идентификационные– данные, по которым может быть осуществлено определение (термин из 152-ФЗ) физического лица для обеспечения его однозначной идентификации и розыска (ФИО, дата и место рождения, адрес регистрации, данные удостоверения личности, биометрические данные);
сопутствующие– всевозможные данные, связанные с человеком, но не позволяющие провести его розыск и физическую идентификацию: семейное, социальное, имущественное положение, образование, профессия, доходы и т.д.
Сопутствующие персональные данные сами по себе обезличены и, в соответствии с законом 152-ФЗ, обеспечения конфиденциальности не требуют.
К сожалению, идентификационные данные, помимо своего прямого назначения, повсеместно используются в информационных системах в качестве ключевых реквизитов для адресации сведений, относящихся к физическим лицам. Именно это и приводит к избыточному распространению персональных данных в электронной среде и порождает их использование, не поддающееся контролю. В подавляющем большинстве случаев семантика этих ключевых реквизитов не интересует оператора персональных данных, просто у него нет иного технического решения для организации коммуникаций и информационных баз.
Действительно, какое значение для деловых отношений имеют дата и место рождения вашего контрагента и место выдачи его паспорта? Очевидно, никакого, если только не подбирать контрагентов по знакам Зодиака. Вопрос лишь в том, чтобы обеспечить однозначную идентификацию контрагента в случае внешней проверки или конфликта. Но даже если контрагент оказался недобросовестным, зачем нам его персональные данные? Розыск и наказание негодяя входят в функции регулятора и соответствующих государственных органов, а мы такого права не имеем, поэтому все, что мы можем сделать в рамках правового поля деловых коммуникаций, — это привлечь правоохранительные органы.
Таким образом, этот архаичный набор идентификационных реквизитов, за недостаточно ревностное хранение которых можно подвергнуться санкциям со стороны регулятора, практически может быть использован только правоохранительными органами. Все, что нам действительно нужно, — это достоверная ссылка, по которой правоохранительные органы смогут определить соответствующее физическое лицо и выполнить предписанные законодательством действия.
Полный комплект идентификационных персональных данных, необходимый для розыска субъекта, имеет смысл хранить только в правоохранительных органах, где эти данные и так имеются, поскольку формируются при выдаче паспортов и регистрации граждан. Вообще говоря, эти персональные данные могут храниться даже не в Сети, а в обычном шкафу, в бумажной папке. Розыск и принуждение – операции не частые и миллисекундной реакции тут не требуется, а вероятность внешнего взлома будет почти нулевой. Полное хищение базы персональных данных будет физически невозможно в силу ее распределенности по региональным подразделениям ФМС. Впрочем, просто список идентификационных данных без дополнительных сведений сам по себе тоже большой ценности не представляет.
Как обустроить идентификацию
Избавить операторов персональных данных от обременительного хранения ненужных им идентификационных персональных данных, сохранив связность данных и юридическую значимость коммуникаций, можно путем создания, например, системы косвенной динамической идентификации (СКДИ). Органом, владеющим фондом истинных, первичных персональных данных физических лиц и отвечающим за его состояние и достоверность, является ФМС, выдающая населению удостоверения личности. Эта служба самостоятельно или с привлечением уполномоченных ею учреждений могла бы организовать первичную, безусловно — добровольную очную регистрацию участников электронных коммуникаций и подключение их к системе СКДИ.
Система в режиме онлайн обеспечит выдачу зарегистрированным абонентам "электронных паспортов", которые будут содержать некие условные идентификаторы, скрывающие подлинные идентификационные персональные данные, но пригодные для использования в юридически значимых коммуникациях в Сети. Условно говоря, электронный паспорт — это закодированная ссылка на шкаф и номер папки (или запись в ведомственной информационной базе), в которой хранятся данные участника электронных коммуникаций, необходимые и достаточные для его физического розыска. Но без веских на то причин получить на руки данные прототипа невозможно. В то же время гарантируется возможность решить правовым образом любой конфликт, не вступая в физический контакт с контрагентом: если к претензии будет приложена копия предъявленного контрагентом электронного паспорта, для правоохранительных органов не представит труда его физически идентифицировать.
В сущности, речь идет о достаточно традиционной процедуре. Когда человек выезжает за границу, то ему ФМС выдает заграничный паспорт, в котором не содержится полного комплекта идентификационных данных (например, нет адреса регистрации). По аналогии тому, кто отправляется в страну электронных коммуникаций, ФМС должна выдать электронный паспорт, не содержащий полного набора идентификационных персональных данных, а только ссылку, по которой эти данные могут быть определены в соответствии с неким регламентом при обязательном участии правоохранительных органов. Внешне это может быть похоже на привычные аватары, только "официальные", сопровождаемые неким уникальным кодом и выданные уполномоченным органом, гарантирующим в случае конфликта определение соответствия аватара конкретному физическому лицу.
Поскольку в электронных паспортах нет персональных данных, они и связанные с ними сопутствующие персональные данные могут свободно накапливаться, храниться, пересылаться при сохранении полной функциональности и юридической значимости коммуникаций. Разного рода информационные базы, в которых для идентификации физических лиц использованы аватары электронных паспортов, в случае их хищения будут представлять лишь познавательную ценность для любителей статистики, поскольку привязка данных к конкретной личности будет для похитителя невозможна.
Неправильно представлять механику выдачи электронных паспортов как присвоение всем постоянных идентификационных номеров, как это предусмотрено, например, в системе социальных карт. Многократное использование одного и того же идентификатора в конце концов сведет его конфиденциальность к нулю. По нему могут быть сопоставлены данные из разных информационных баз и получена сводная информация, по закону являющаяся конфиденциальной. Выполнено такое сопоставление может быть совершенно не уполномоченными на то лицами.
Абонент СКДИ может получать электронные паспорта в любом количестве, для различных целей, под определенные функции или для взаимодействия с определенным контрагентом. Электронный паспорт — параметризованный документ, он может быть постоянным и краткосрочным, со сроком действия, например, несколько минут, а может быть разовым. Даже если он попадет в чужие руки, то воспользоваться им злоумышленник не сможет. Электронный паспорт может содержать такой параметр, как лимит платежа или ответственности владельца, содержать любые другие данные, необходимые для запланированной операции, достоверные, юридически значимые, но не персонифицированные в явном виде.
Данный механизм позволит строить гибкие процедуры взаимодействия в электронной среде. Например, если пользователь регулярно покупает товары в магазине, который дает скидки постоянным клиентам, он может использовать электронный паспорт, выданный для контактов именно с этим магазином. Магазин, не зная имени клиента, будет знать, что данная серия покупок сделана одним и тем же лицом, и предоставит соответствующие скидки. Обращаясь в аптеку, покупатель может брать разовый электронный паспорт под каждую покупку, таким образом, никто не сможет обобщить список используемых им лекарств. В ситуациях, когда требуется физическая идентификация (доступ на объект, посадка на поезд или самолет по электронным билетам), проверяющему центральный сервер предоставляет фотографию человека с данным аватаром. Такая проверка будет более надежной, чем нынешняя практика идентификации по низкокачественным, многолетней давности фотографиям в паспортах и водительских удостоверениях.
Параметризованный электронный паспорт многофункционален. В разных ситуациях его можно назвать сертификатом, билетом, талоном, пропуском. Он может выполнять функции безопасного чека: разового, временного, целевого, ограниченного по сумме. В этом варианте можно проводить расчеты, не публикуя такие деликатные персональные данные, как реквизиты банковских счетов, данные кредитной карты. У контрагента всегда будет возможность проверить легитимность предъявленного ему электронного паспорта, обратившись к СКДИ. Такое обращение будет не сложнее, чем проверка валидности кредитной карты.
Возможна практика, когда на основании полученного электронного паспорта некое учреждение выдает клиенту свой электронный паспорт, в котором наделяет его новыми, зависящими от данного учреждения полномочиями. Такого рода косвенной идентификации может быть несколько уровней, при этом в случае инцидента каждый участник цепочки будет иметь возможность контроля доступа к первичным персональным данным. Важно, что, даже не имея идентификационных персональных данных друг друга, контрагенты могут эффективно общаться по электронной почте и другим каналам обмена сообщениями. Аватар, при соответствующей постановке дела, может быть использован и для пересылки обычных почтовых отправлений. Этих коммуникационных возможностей достаточно для разрешения практически всех юридически значимых ситуаций.
А как же ЭЦП и 1-ФЗ? Да, ЭЦП – один из возможных способов придания юридической значимости электронным документам, и он не конфликтует с СКДИ. По сравнению с ЭЦП электронные паспорта более наглядны, что важно при массовом внедрении, они параметризуются, чем обеспечивается их гибкость, универсальность и широкая сфера применения. Именно функциональной ограниченностью существующих средств придания юридической значимости электронным коммуникациям объясняется возникновение амбициозной программы Identity Ecosystem, инициированной президентом США и предусматривающей свою версию выдачи электронных паспортов.
Система для всех
Реализация системы, подобной СКДИ, большой технической проблемы не представляет — в идеальном случае система должна быть единой в национальном электронном пространстве с возможностями трансграничного предоставления идентификационных функций. В отличие от нынешней практики создания специальных систем для общения населения с государством, она должна обслуживать все виды коммуникаций граждан, бизнеса и государства. В принципе возможны и автономные ведомственные применения, например для организации медицинских архивов.
СКДИ относится к классу систем с централизованной аутентификацией. Для обеспечения необходимой таким системам высокой степени доверия СКДИ должна эксплуатироваться компанией с миноритарным участием государства и управляться наблюдательным советом, включающим представителей населения, бизнеса и всех ветвей государственной власти. В такой архитектуре самой надежной защитой станет простой запрет на использование в базах идентификационных персональных данных.
***
СКДИ является задающим, системообразующим элементом коммуникационной среды, в которой адекватным образом должны быть решены вопросы аутентификации абонента при входе в сеть, защиты содержания документов, юридически значимого обмена сообщениями. Такая среда откроет большое поле для модификации накопленных в Сети ресурсов к новым возможностям: от пресловутых служб знакомств, которые в аутентичном варианте из мусорных и сомнительных затей могут превратиться в необходимый, коммуникационно защищенный востребованный социальный институт, до систем B2B с реальным переходом на безбумажные технологии межкорпоративного взаимодействия.
Попытки движения в направлении построения единой среды идентификации предпринимались регулярно. Можно вспомнить MicrosoftPassport, Windows Live ID, Liberty Alliance,Identity2.0, и переживающую сейчас свой звездный час концепцию U-prove, положенную в основу национальной программы кибербезопасности США. Эти проекты имеют общую, достаточно очевидную для технических специалистов основу. Ограниченная успешность предыдущих проектов связана, скорее всего, с их социальной неубедительностью, с обоснованными опасениями чрезмерного контроля частной жизни государством или, хуже того, корпорацией, с ошибками в процессе внедрения. Например, Италия нанесла сокрушительный удар по своей государственной электронной почте, с первого шага объявив ее обязательной для всех.
Но, опасаясь усиления идентификации, мы тем самым сохраняем уязвимость наших коммуникаций перед интенсивно совершенствующимися криминальными методами несанкционированного доступа. По оценке Исследовательской службы Конгресса США экономический ущерб из-за кибер-краж еще в 2004 году составил 46 миллиардов долларов.
Решение дилеммы между идентификацией и безопасностью только одно: продолжать и активизировать усилия по созданию user-centric систем, где человек, гражданин будет не объектом, информация о котором кем-то собирается, хранится и обрабатывается, а реальным владельцем своих персональных архивов, полностью контролирующим их использование государством, бизнесом и обществом.
Комментариев нет:
Отправить комментарий