Телефон вместо паспорта: стоит ли торопиться с технологическим прогрессом
Рабочая группа по нормативному регулированию цифровой экономики 27 июня предложила поправки в законы «О связи», «Об информации» и «Об основах здоровья граждан», позволяющие подтверждать личность россиян при оказании дистанционных услуг по номеру мобильного телефона. Такое подтверждение личности может использоваться, например, в медицине. Нет ли рисков в использовании нового типа авторизации?
Потенциально в будущем электронный идентификатор мог бы применяться в ряде электронных услуг: например, если фрилансер заключил договор, то ему больше не нужно будет лично являться, достаточно будет подключиться с телефона с такой SIM-картой к нужному сайту. Кроме того, SIM может служить и документом, подтверждающим личность при онлайн-покупке в магазине или же, наоборот, возврате товара.
Социальный фактор
Несмотря на капитальную экономию времени данная технология имеет много нерешенных вопросов. Далеко не всегда SIM-картой пользуется тот человек, на которого она оформлена. Извечная проблема, которую большинство сотовых операторов не в состоянии решить. А значит, и понять, что SIM-картой с номером X для покупки пользуется не Василий Иванов, а Иван Васильев (или еще хуже — человек, своровавший смартфон), крайне сложно. Более того, среди родственников часто бывает такая ситуация, что муж пользуется SIM-картой, оформленной на жену, или наоборот.
Можно переоформить симку на нужное физическое лицо, но для этого абонента надо как-то заинтересовать, а электронные сервисы используют всего 64% россиян, по данным Росстата. Оформление же не на себя позволяет сбросить симку или сыграть на сострадании общества, если она оформлена на пенсионерку, как это произошло в ситуации с просмотром «Интернов» в роуминге.
Раздвоение личности
Смартфон не просто устройство для идентификации, но и рабочий инструмент. Пользователь привыкает к определенной модели, и тут может возникнуть сложность с корпоративными SIM-картами. Чаще всего такая симка оформлена на саму организацию. получается, что пользователь вынужден носить все время две карты, а значит, и два смартфона или выбирать из ограниченного набора моделей.
Стоит ли вообще разрешать несколько номеров в качестве идентификатора личности или же, наоборот, стоит ограничиться каким-то одним? Давайте на секунду представим: у Y есть личный сотовый телефон, привязанный к паспорту. Кроме личного мобильного у Y есть два корпоративных номера, также привязанных к паспорту. Если Y подтвердит свою личность на одном из номеров, то с какой долей вероятности можно будет утверждать, что это был именно он, а не кто-то ещё, кто знает пароль? Потенциально эта ситуация порождает уязвимость при идентификации.
Ок, пусть у нас только одна SIM-карта. Но регулярно, хотя и редко происходят случаи, когда злоумышленникам удается получить дубликат чужой симки по поддельному паспорту. В салонах сотовой связи только проверяют гражданский паспорт и сравнивают заявителя с фотографией. Никакой дополнительной идентификации (я говорю о биометрии), кроме непосредственно подписи, при этом посетитель не проходит. Так надежность идентификации по симке страдает от недостаточной защищенности паспорта и процедуры замены карт.
Предъявите лицо
Вышеперечисленные проблемы решаемы. В настоящее время в России есть технологии, которые могут помочь во внедрении идентификатора личности при помощи номера мобильного телефона. Существует несколько проектов, в которых данные закодированы (таких, так TaigaPhone, или проект «Конус» с зашифрованной симкой). В современные паспорта уже вшит небольшой чип с информацией об электронной подписи владельца, а также его фотографией — осталось его совместить с электроникой SIM-карты. Правда, останется необходимость абонента дойти до салона и сменить сим-карту, но в целом он не выглядит слишком затратным.
Однако потенциально чип может быть взломан, а данные с него — скопированы. Поэтому если SIM всё же окажется руках злоумышленников, то доказать, что совершали покупку не вы, будет очень сложно. Потенциальным решением станет подключение сервисов к Единой биометрической системе (ЕБС). Сначала она будет применяться банками, но в целом может послужить эффективным средством внешнего контроля. Она идентифицирует пользователей по голосу и лицу. Если сочетать ее возможности с симкой, содержащей фото владельца, то злоумышленникам придется взламывать уже не только локальное устройство, но и базу ЕБС.
В целом использовать SIM-карту в качестве идентификатора личности можно, но пока это сложно и затратно. Более простым выглядит применение непосредственно биометрии: даже в дешевых смартфонах есть сканер отпечатков пальцев, в более дорогих моделях активно внедряются технологии распознавания лица — Apple Face ID и подобные. Они настолько надежны, что уже используются в банковских приложениях: например, на iPhone X для входа в приложение «Сбербанк Онлайн» можно использовать как PIN-код, так и функцию распознавания лица. Потенциально такой подход выглядит более естественным для замены (или дублирования) бумажных паспортов, тем, что биометрию сейчас активно изучают такие осторожные компании, как банки.