Мошенничество с использованием персональных данных на наших глазах превратилось в чрезвычайно доходный криминальный бизнес. Что могут сделать участники рынка и органы власти в Украине, чтобы минимизировать риски добрых граждан в этой сфере?Выходит врач в приёмную, где его ждут пациенты, и объявляет:
— Дорогие пациенты! Мне запрещено объявлять вас по имени из-за новых правил по защите персональных данных, поэтому я буду использовать деперсонифицированные данные. Пациент с сифилисом и триппером, проходите, пожалуйста!
Многообразие угроз, с которыми сталкиваются украинцы в связи с их персональными данными, делает поиски адекватных ответов на эти вызовы довольно непростым делом. В предыдущих частях приведено множество фактов на любой вкус. Но какие выводы необходимо из них сделать?
Давайте попробуем упорядочить содержание четырёх предыдущих серий. Для начала определим о чём они? Во-первых, о персональных данных, т.е. сведениях, которые ассоциированы с конкретным лицом и позволяют однозначно идентифицировать его. Во-вторых, о разного рода носителях и формах представления этих самых персональных данных, в первую очередь цифровых. Наконец, в-третьих, о процедурах использования персональных данных.
Однако, по зрелом размышлении, проблематика персональных данных это лишь первый, самый внешний и очевидный круг явлений. Необходимо смотреть на ситуацию с персональными данными шире. Персональные данные в понимании действующего законодательства всего лишь часть того, что можно обозначить термином «цифровая идентичность». Не вдаваясь в излишние в данном случае нюансы, предлагаю понимать под этим совокупность феноменов, которые, с одной стороны, основаны на информационно-коммуникационных технологиях и составляют важную часть личности — с другой.
Для популярного видеоблоггера или Инста-леди их учётная запись в социальных сетях плюс гигабайты накопленного за годы активности контента составляют важную, чрезвычайно важную часть личности. Социальные связи, зачастую невозможные вне коммуникационных платформ, символический и социальный капитал, тесно связанный с активностью в цифровой среде, персональные идентификаторы в различных службах — всё это является составляющими «цифровой идентичности».
К этому понятию примыкает понятие «цифровых активов», которые обеспечивают или вовлечены в экономический аспект жизни индивида. Конкретный цифровой актив может быть частью цифровой идентичности как личный адрес электронной почты или домен персонального сайта, может быть просто одним из множества активов наряду с недвижимостью или рабочим инструментом. В любом случае мы говорим о сущностях, которые крайне важны для личности, ущерб или утрата которых является для неё серьёзным ударом.
Трансформация Украины, что социума, что государства, в новую, цифровую версию себя предполагает глубочайшие изменения поведенческих привычек миллионов людей. По-настоящему глубока, успешная «цифровизация» страны невозможна, если люди не будут доверять новым правилам жизни, не будут чувствовать себя в новой среде так же уверенно, как и сейчас.
Прямо сегодня, сейчас необходимо создавать адекватную нормативную базу «цифровой идентичности», чтобы обеспечить украинцев эффективными инструментами управления и ею, и другими цифровыми активами.
Так в чём проблема?
На сегодняшний день необходимо прямо и честно, без экивоков и прочих обиняков признать, что ни персональные данные украинцев, ни завязанные на них цифровые активы не имеют сколь-нибудь удовлетворительное защиты от противоправных посягательств. Самый простой и понятный всем пример — это бардак, который имеет место в части работы с наиболее распространённой формой хранения персональных данных, ксерокопиями паспорта и идентификационного кода.
На днях мне пришлось трижды (!) оставить ксерокопии своего паспорта и справки про ИНН в ходе оформления возврата товара. В одном и том же магазине, на протяжении менее чем получаса. Излишне спрашивать, что в компании делают с десятками тысяч таких ксерокопий, где и как их хранят, каким образом обеспечивают сохранность и, главное, недоступность. Кто именно и как за это отвечает.
Даже если бы в Украине были приняты суровые нормы европейского регламента по работе с персональными данными, их ждала бы та же участь, что и правил дорожного движения и обязательного медосмотра для представителей многих профессий. Немного денег и справка о выполнении любого регламента у вас в кармане.
В этом месте стоит сделать паузу и ознакомиться с результатами двух импровизированных исследований. Одно из них выполнило исследовательское агентство Comparitech. Его целью было изучение теневого рынка персональных данных в глобальном масштабе, включая цифровые копии всевозможных документов, удостоверяющих личность. Увы, данные украинцев оказались одними из самых дешёвых, всего 11 долларов за скан паспорта.
Другое исследование, опубликованное на Хабрахабре, сосредоточено на странах постсоветского пространства. Вывод его автора не оставляет места для иллюзий — когда речь идёт о России и Украине, возможно всё. Гигантские массивы персональных данных, аккумулированные государственными учреждениям и коммерческими структурами, включая все виды персональных данных, их мониторинг и аналитику on demand — всё это можно найти в DarkNet.
Совсем скоро к уже привычным паспортным данным и сведениям о личных финансах прибавятся данные инновационной eHealth платформы МОЗ. Этим распиаренным не меньше, нежели Moneyveo проектом занимаются такие же прогрессивные молодые ребята и девчонки, исповедующие примерно такие же подходы к безопасности персональных данных.
Итак, проблема номер один — доступность наших данных.
Проблема номер два — наши данные легко использовать нам во вред. Они, скажем так, легко монетизируются злоумышленниками. Уже сейчас множество правоотношений в Украине завязаны на различные элементы нашей цифровой идентичности, включая номера мобильной связи, адреса электронной почты и т.п., не говоря уже о традиционных копиях паспорта и идентификационного кода. В отсутствие адекватных практик хранения и защиты банальная кража, подделка, компрометация и другие противоправные действия с нашими данными оказываются беспроигрышной ставкой.
При этом, в-третьих, предписанные законодательством практики работы с персональными данными либо откровенно устарели, либо массово игнорируются. По сути, этим вопросом озабочено только крупный системный бизнес вроде банков и «большой тройки». Эти ребята потратили кучу времени и сил на имплементацию требований GDPR, поскольку подпадают под его требования. Для всех остальных, как правило, соблюдение хотя бы национальных стандартов работы с персональными данными является ненужной обузой.
Наконец, в-четвёртых, в нашем распоряжении нет сколь-нибудь функциональных, надёжных инструментов управления собственными персональными данными. Даже ЭЦП остаётся экзотикой в силу неудобства использования.
Что делать?
Чтобы не бить растопыренной ладонью, рискуя поломать и без того тоненькие кривые пальчики, важно сконцентрироваться. Исходя из тех угроз, которые описаны в материалах цикла, можно выделить несколько приоритетных задач. Всегда уместный вопрос кто именно должен эти задачи решать, пока вынесем за скобки. Как минимум некоторые из них могут быть решены силами бизнеса и самоуправляемых негосударственных объединений.
Итак, необходимы публичные, желательно официальные рекомендации касательно того, как ранжировать методы идентификации физических лиц исходя из устойчивости к противоправным посягательствам. Например, наиболее надёжными и более-менее удобными в использовании являются разного рода аппаратные ключи и ЭЦП на SIM-карте, известные как MobileID. Про наименее надёжные подробно рассказано в четвёртой части, но и они имеют право на существование в случае некритичных приложений. Биометрия, BankID, личное присутствие с удостоверяющим документом, ксерокопии и цифровые копии таких документов — всё многообразие имеющихся методов идентификации необходимо ещё раз оценить и соотнести между собой.
Пока что наиболее перспективной платформой для развития решений по идентификации физических лиц мне представляется связка из смартфона, SIM-карты и специализированных сервисов, которые поддерживаются именно оператором мобильной связи. Собственно говоря, речь идёт о MobileID.
Почему именно этот вариант? Просто потому, что только он обеспечивает сочетание следующих факторов:
Развитые средства биометрической идентификации. Современные смартфоны стремительно наращивают свои возможности в этой части. Уже сейчас стандартом де-факто является распознавание отпечатков пальцев и быстро распространяется технология распознавания радужки и лица. Это позволяет избавиться от паролей, максимально повысить комфорт для пользователей.
Наличие сильной криптографии, в том числе распределённых (между абонентом и MNO) решений.
По-настоящему гибкая и мощная среда для создания приложений, что позволяет реализовать сколь-угодно сложные алгоритмы и функциональность.
Возможность использовать «цифровой след», который видят операторы мобильной связи, чтобы верифицировать действия абонента.
Организационная, технологическая и всякая иная поддержка наиболее зрелых, функционально дееспособных компаний, какие только есть на массовом рынке.
Можно было бы добавить к MobileID и банковские решения в части идентификации, известные как BankID, однако с ними, как выяснилось в ходе изучения вопроса, «всё не так однозначно». Оказывается, в Украине фактически есть две альтернативные системы идентификации на основе банковской инфраструктуры. Одну из них, официальную, продвигает НБУ и Ощадбанк. За другой стоит тоже государственный , но всё равно несгибаемый Приватбанк. Мало того, что противостоящие друг другу коалиции отказываются обеспечить интероперабельность своих решений, они публично «топят» друг друга.
Прозрачно намекая на некие серьёзные изъяны, которые не позволяют рассматривать решение конкурентов как заслуживающий доверие инструмент, банкиры попросту компрометируют всё это направление в целом. В любой спорной ситуации кто-то будет громогласно кричать «а мы же предупреждали!», разрушая самое ценное — доверие обычных граждан.
Крайне желательно уже сегодня, сейчас запустить процесс пересмотра тех нормативных актов, которые допускают использование заведомо слабых, уязвимых методов идентификации. В случае телекома таковыми являются, например, MNP и добровольная персонификация номеров предоплаченной формы связи. В случае финансовых сервисов — онлайн-кредитование и другие формы взаимодействия клиента с учреждением, которые допускают для физического лица возникновение финансовых обязательств. Всевозможные «электронные подписи одноразовым идентификатором» должны уйти в прошлое. Или ЭЦП, благо их теперь много разных на любой вкус, или личное присутствие.
Задача предотвращения мошеннических действий на рынке финансовых услуг, к сожалению, не имеет очевидного решения. Институциональный кризис украинского государства привёл к тому, что его правоохранительная и правоприменительная системы не в состоянии решать даже тривиальные задачи. В частности, даже в случае массовых мошеннических действий виновные либо вовсе уходят от наказания, либо отделывается лёгких испугом.
Из этого факта можно сделать разные выводы и основанные на них стратегии. Ваш покорный слуга склоняется к тому, что фактическая невозможность наказания требует сместить акценты на помощь утопающим силами самих утопающих. В данном случае речь должна идти о максимальном упрощении доступа граждан к информации о договорных отношениях, в которых они де-юре состоят. В случае финансовых услуг можно говорить о создании публичного реестра договоров, в котором должна находиться информация обо всех без исключения кредитных и прочих соглашениях, допускающих регулярные выплаты, пени и штрафы. Любой договор что банковского, что небанковского финансового учреждения вступает в силу не ранее момента внесения информации о нём в такой реестр. В данном случае вполне уместно использовать децентрализованные распределённые базы данных, обеспечивающие высокий уровень защиты от злонамеренной или случайной модификации информации. Блокчейн, да.
Доступ к реестру, естественно, должен быть закрытым. Чтобы проверить информацию о себе, гражданин должен использовать либо что-то из надёжных инструментов идентификации вроде ЭЦП или MobileID, либо обратиться, например, к нотариусам, либо в государственный центр предоставления административных услуг. Одним словом, в любое место, где его могут надлежащим образом идентифицировать при личном обращении. Естественно, в случае обращения к услугам третьих лиц возникнет вопрос оплаты, но это стоит воспринимать как один из способов продвижения современных инструментов «цифровой идентичности».
Ещё одной, важнейшей функциональной возможностью такого реестра должна стать опция уведомления о любых изменениях. Если, конечно, человек зарегистрировал надлежащим образом свои контактные данные. Существование такого реестра радикально упростит жизнь тем, кто готов инвестировать немного времени и сил в защиту от мошеннических действий. Своевременное оповещение позволит избежать накопления процентов и связанных с ними выплат. Независимый источник сведений сильно упростит тяжбы с финансовыми учреждениями.
Наконец, представляется целесообразным подумать над механизмами защиты добрых граждан от неизбежной потери времени и денег в случае возникновения спорных ситуаций. Страхование рисков, связанных с персональными данными, помогло бы остудить чересчур креативных инноваторов, склонных преуменьшать риски клиентов, если это обеспечивает дополнительный финансовый результат.
Куда думать?
Известное своеобразие той среды, в которой приходится жить и работать украинцам, не позволяет слепо копировать лучший зарубежный опыт. Поскольку невозможно рассчитывать на эффективное правоприменение существующих норм силами институтов государства, необходимо упрощать жизнь негосударственным структурам. Лучшее, что можно сделать для них — обеспечить максимальную прозрачность. Этому может поспособствовать появление публичных открытых реестров, в которых должны быть отражены различные аспекты правоотношений между физическими и юридическими лицами.
Назрел и перезрел вопрос об инструментах управления персональными данными. Вместо того, чтобы в тысячный раз делать ксерокопию паспорта, которая потом отправится в ближайший мусорный бак, резиденты Украины должны иметь возможность отправить ссылку на цифровую копию своих данных, заверенную ЭЦП какой-нибудь доверенной организации. При этом, в идеале, у пользователя подобной системы должна быть возможность зафиксировать перечень передаваемых сведений, срок, на который они предоставляются, отслеживать обращение к ним. Стоит отметить, что долгожданное появление в законодательстве понятий доверительных услуг открывает возможность для появления инфраструктуры такого рода. И она вовсе не обязательно должна быть государственной.
В качестве доверенных организаций могут выступать мобильщики и банки, вообще все, у кого есть развитая инфраструктура и способность выстраивать процессы работы с персональными данными. При этом, похоже, стоит, наконец, признать, что финтех должен быть уделом крупных и очень крупных компаний. Молодые и дерзкие пусть тренируются на жителях Первого мира. Там и правовая система надёжней, и понту от успеха в Кремниевой Долине много больше.
Завершая свой рассказ, выскажу предположение, что необходимо ещё раз оценить и обсудить риски, связанные с внедрением MNP в Украине. Будет очень жаль, если благое дело окажется дискредитировано массовыми злоупотреблениями. Всего-то осталось подумать над потенциально слабыми местами и внести поправки в нормативную базу, которые затруднят либо сделают невозможным их использование злоумышленниками.
Переносимость номеров и регистрация пользователей необходимо рассматривать как важные элементы нормативной базы новой, цифровой Украины. Фактически, речь идёт о работе над строительством принципиально новой реальности, в которой будем жить и мы, и наши дети. Вот почему так важны регламенты и процедуры. Вот почему необходимо анализировать их взаимное влияние и взаимозависимости.