28.08.19 15:54
Телефон как средство аутентификации
/mobID.png?width=318&name=mobID.png)
Российские операторы сотовой связи выступили с предложением дополнить электронные паспорта россиян технологией Mobile ID. Это система идентификации посредством SIM-карты, установленной в смартфоне или обычном сотовом телефоне гражданина России, и привязанного к ней номера телефона, уточняет CNews.
Предложение по внедрению Mobile ID выдвинул «Мегафон» в рамках заседания рабочей группы по цифровому госуправлению АНО «Цифровая экономика», состоявшемся 22 августа 2019 г., пишет «Коммерсант» со ссылкой на неназванный источник, присутствовавший на заседании. В разработке предложения принимали участие и другие операторы «Большой четверки» – МТС, Tele2 и «Вымпелком» (торговая марка «Билайн»). По словам заместителя гендиректора АНО «Цифровая экономика Дмитрия Тер-Степанова, компании изъявили желание участвовать в разработке технических решений для применения Mobile ID совместно с электронными паспортами.
Представители МТС подтвердили факт участия компании в разработке концепции использования Mobile ID в России. «Билайн», тем временем, завершил тестирование Mobile ID в своей сети и сообщил о полной работоспособности технологии. «Мы поддерживаем ее внедрение, потому что это упрощает пользование различными сервисами», – отметили сотрудники компании. Представитель Tele2 тоже высказался за внедрение Mobile ID, уточнив, что после интеграции с электронным паспортом технология может заменить собой также обычную двухфакторную авторизацию: при использовании гражданином России своего электронного паспорта на его телефон будет поступать запрос на подтверждение той или иной операции через Mobile ID.
Сроки реализации и риски
Операторы связи планируют реализовать проект по внедрению Mobile ID в первой половине 2020 г. Mobile ID как дополнение к электронному паспорту может использоваться по всей России, где есть покрытие сотовой сети. Технология может применяться, в том числе, для авторизации на государственных веб-ресурсах, что позволит избавиться от использования классической связки логин-пароль. Ключи авторизации будут вшиты непосредственно в SIM-карту, где будут храниться в зашифрованном виде. Планируемый к применению алгоритм шифрования представители операторов связи не назвали.
Однако технология Mobile ID вызывает у собеседника «Коммерсанта» определенные опасения по части безопасности персональных данных владельцев. По его словам, Mobile ID поддерживает американская компания Gemalto, один из крупнейших производителей SIM-карт. Компания принадлежит международной военно-промышленной группе Thales, которая работает с оборонными заказами, и принимает участие в проекте Mobile Connect, подразумевающем создание единого универсального стандарта для аутентификации и идентификации по абонентскому номеру телефона. «Вряд ли подобное удовлетворит регуляторов, отвечающих за безопасность», – отметил источник издания.
Комментарий НИИ «Восход»
Руководитель департамента безопасности НИИ «Восход» Андрей Пьянченко сообщил CNews, что о надежности или ненадежности Mobile ID невозможно судить, основываясь на информации, которая была представлена в презентации. По его словам, мобильное приложение на телефоне может служить лишь дополнением или инфраструктурой применения основного документа, удостоверяющего личность.
Андрей Пьянченко отметил, что существует ряд задач для того, чтобы мобильное приложение стало полноценной заменой общегражданского паспорта. В первую очередь необходимо решить вопросы возможности применения данного приложения в двух режимах онлайн и оффлайн. Во-вторых, обеспечить гарантированную верификацию гражданина. В-третьих, необходимо разрешить вопрос получения доступа к метрическим данным гражданина без его волеизъявления (оказания помощи человеку, который находится без сознания.) В-четвертых, остро стоит вопрос уникальности электронного паспорта и защиты от клонирования. Также немаловажным является доступность решения (мобильного телефона) для всех слоев населения. Необходимо также обеспечить работу решения в условиях импортозамещения и санкционной политики. И наконец, самое главное решить вопросы, связанные с информационной безопасностью и применением электронной подписи. Электронный паспорт должен быть надежно защищен от любых видов взлома и подделок.
По мнению Андрея Пьянченко, информация, содержащаяся в паспорте, а также инфраструктуры выдачи и применения электронного паспорта должны защищаться в соответствии с действующим законодательством России в области защиты информации. Решение по электронному паспорту и соответствующих инфраструктур должны быть согласованы с ФСБ России и ФСТЭК России и, при необходимости, сертифицированы.
