Коротко про позавчера (26 марта)

Стремительная цифровизация госуслуг в России, начавшаяся несколько лет назад, вплотную подошла к рубежу, за которым удобство онлайн-сервисов может обернуться новыми вызовами для конфиденциальности граждан. Внедрение единой биометрической системы и обязательная привязка цифровых профилей к порталу госуслуг создают прецедент, когда утечка данных из одного источника способна парализовать работу целых секторов экономики. Эксперты по кибербезопасности уже не гадают, а констатируют: текущая архитектура хранения персональных данных требует немедленной ревизии, иначе страна рискует столкнуться с масштабным коллапсом доверия к электронному правительству.

Проблема, как это часто бывает, кроется в деталях реализации. Вместо децентрализованного хранения, где каждый сервис отвечает за свой сегмент данных, мы наблюдаем тенденцию к созданию «супер-аккаунтов», взлом которых открывает злоумышленникам доступ к паспортным данным, СНИЛС, ИНН, банковским реквизитам и даже биометрии. Это превращает рядового пользователя в идеальную мишень для социальной инженерии и финансового мошенничества.

Почему единая база становится единой мишенью

Концепция «одного окна» для граждан удобна, но с точки зрения безопасности она напоминает склад боеприпасов без охраны. Вместо того чтобы распределять риски между десятками разрозненных ведомств, регуляторы фактически создали «золотой ключик» ко всей цифровой жизни человека.

• Уязвимость идентификации. Взлом аккаунта на портале госуслуг позволяет мошенникам не только получить микрозаймы, но и переоформить недвижимость, зарегистрировать фирму-однодневку или получить доступ к медицинской карте.
• Риски биометрии. В отличие от пароля, лицо или голос сменить невозможно. Утечка биометрических шаблонов — это не временная неприятность, а пожизненная уязвимость для человека.
• Эффект домино. Из-за интеграции госуслуг с банками, операторами связи и маркетплейсами, компрометация одного узла влечет за собой цепную реакцию компрометации всех связанных сервисов.

Теневая сторона цифрового паспорта

Пока чиновники рапортуют о миллионах пользователей, получивших доступ к услугам онлайн, на черном рынке формируется устойчивый спрос на готовые «цифровые личности». Стоимость доступа к чужому аккаунту на госуслугах с подтвержденной биометрией уже сопоставима с ценой хорошего смартфона. Это создает экономический стимул для хакеров атаковать именно государственные хранилища, а не частные компании.

Однако парадокс ситуации в том, что технически проблема решаема. Внедрение многофакторной аутентификации с аппаратными ключами, использование гомоморфного шифрования для биометрических данных и обязательное разграничение уровней доступа для разных ведомств могли бы снизить риски на порядок. Пока же мы видим, что безопасность приносится в жертву скорости внедрения сервисов.

В предшествующие годы основное внимание уделялось наращиванию функционала портала госуслуг и принудительной миграции граждан в онлайн. Вопросы киберустойчивости и защиты данных часто отодвигались на второй план под предлогом «цифрового суверенитета» и импортозамещения. Однако, как показывает практика, замена западного софта на отечественный не гарантирует автоматического повышения безопасности, если не пересмотрена сама модель обработки данных.

Если в ближайшее время не будут приняты жесткие стандарты хранения персональных данных и не введена персональная ответственность чиновников за утечки, мы рискуем получить ситуацию, когда граждане начнут массово отказываться от цифровых услуг, предпочитая бумажные очереди. Это станет серьезным шагом назад для всей программы цифровой трансформации, подорвав саму идею электронного государства в глазах населения.