Чому онлайн-безпека – це не тільки антивірус і firewall? Хто відповідає за схоронність паролів? Як виглядає справжня електронна мобільність? Що таке Mobile ID і чи можна очікувати цю технологію в Україні?
Цифровий світ розвивається набагато швидше, ніж будь-які суспільства або системи, відомі нам від початку часів. Дедалі складніші технології породили десятки зручностей і створили сотні загроз. Зрозуміло, відмовитися від електронного комфорту людство вже явно не в змозі. Мабуть, нам самим тепер доведеться «наздоганяти» створені нами ж технології. І так далі – ефект маховика діє не тільки в механіці.
Парольний захист та захист пароля
Як та чим захищений користувач у своїй цифровій реальності, крім технічних засобів? Більшість завдань – близько 98% – вирішуються за допомогою пари «логін-пароль». Від найпростіших особистих кабінетів до секретної комерційної переписки. Від платежів на декілька гривень до контрактів на сотні мільйонів.
Якщо замислитися, то ця схема принципово не відрізняється від комбінації «пароль-відгук», якій вже декілька тисяч років. Якби такого захисту було досить, цифровий світ не наражався б на таку кількість загроз. Декілька мільйонів кібер-атак щодня – і це тільки ті, які фіксуються. Кібер-полювання ведеться за всіма законами природи та суспільства: на атаки наражається те, що є цінним для зловмисника, а також те, що погано захищене.
Людина, користувач – найслабша ланка в цьому ланцюгу
Неймовірно, але незважаючи на всі погрози, вірусні атаки та величезні фінансові втрати, ледве не кожен п’ятий інтернет-користувач використовує в якості пароля незабутні qwerty, 1q2w3e, password або 1234. Чи варто казати, що сучасні програми для злому паролів необьхідно не більше декількох секунд, щоб підібрати ці паролі?
Рано чи пізно користувачі вчаться на своїх помилках і вигадують надійний пароль. Але цей складний пароль, як правило, один для всіх ресурсів.
Інша крайність зустрічається в організаціях з «примусовою» парольною політикою. Він змінюється часто, містить букви, цифри та спецсимволи – іноді до 20 знаків. Тримати в голові таку комбінацію не під силу нікому. Для цього існують жовті стікери для запису пароля, а їх можна приклеїти на монітор. На жаль, це далеко не поодинокі випадки.
Як наслідок. Загроза полягає не тільки в тому, що частина особистої інформації може бути розголошена чи використана проти її власника. Головна небезпека полягає в тому, що енергетичні та транспортні мережі, урядові установи, наднебезпечні об’єкти в будь-який момент можуть бути паралізовані, що частково й сталося під час атаки Petya.A.
Якщо не пароль, то що?
Для користувача розроблено безліч засобів ідентифікації та авторизації, що, на жаль, тільки додає плутанини. У цьому різноманітті є сенс розібратися більш детально.
Bank ID.
Визнана державою технологія ідентифікації за допомогою банківських установ.
Банки мають велику кількість інформації про своїх клієнтів: копії паспорта, коду, адреса, номер телефону, рахунки – все, що дозволяє однозначно ідентифікувати особу. Коли користувачу необхідно здійснити будь-яку персональну операцію (наприклад, запросити електронну довідку), то йому не потрібно підтверджувати документально, що він – це він. За нього це робить банк, який виступає в даному випадку «центром довіри».
В ідеальній реалізації це досить зручно, оскільки більшість з нас (якщо не всі) щонайменше один раз віддавали в банк повну інформацію про себе.
Інша справа, що інформація про клієнтів комерційного банку за цінністю порівнянна з цінністю грошей, і жоден банк не стане добровільно передавати власну клієнтську базу прямому конкуренту. Спроби НБУ зробити технологію масовою завдяки потужностям «Ощадбанку» помітного успіху не мали.
Врешті-решт вийшла напівробоча система, спочатку орієнтована на міжбанківську взаємодію, але якій самі ж банки не довіряють. В інших випадках використання Bank ID користувачем виглядає недоцільним.
OTP пароль (one-time password) – одноразовий пароль, який необхідно ввести для підтвердження операції, на додаток до стандартної пари «логін-пароль».
Пароль генерується автоматично і надходить у вигляді текстового повідомлення на мобільний телефон. Схема досить звична для користувачів популярних систем онлайн-банкінгу.
Надійність цього методу, безумовно, набагато вища. До моменту втрати телефону, в якому включена функція «запам’ятати мене» або «зберегти пароль». Та й вартість обладнання, необхідного для роботи такої системи, виправдовує її далеко не завжди. До того ж, пароль надходить у вигляді звичайного SMS, і перехопити це повідомлення – завдання далеко не невирішувана. Тому з 2016 року використання цієї технології не рекомендується дуже авторитетним Національним інститутом стандартів та технологій США.
Smart-карта – ще один з методів. Виконана у вигляді пластикової картки з чіпом, де роль «мозку» виконує сам чіп.
Потенційно smart-карта досить багатофункціональна, оскільки в чіп можна вкласти багато різних даних (включаючи ключ ЕЦП), а саме сховище добре захищене.
З мінусів: карту необхідно постійно носити з собою. Найближчий приклад – банківська карта з чіпом. Щоб вважати smart-карту, потрібне спеціальне обладнання (термінал). Це виправдано для установ та комерційних організацій, але в приватному житті користувача купувати такий термінал навряд чи зручно.
У руслі попередньої та потенційно як більш досконала версія – ID-карта. Аналог внутрішнього паспорта громадянина України, що містить біометричні дані (в нашому випадку – відбиток пальця), фотографію, ПІБ, дані про дату і місце народження та видачу карти.
На даний момент ID-карти позбавлені функціоналу smart-карт, але це не є технічною перешкодою. Декілька днів тому анонсовано, що будуть вживлені ключі ЕЦП в ID-карти. Фактично, усюди, де може знадобитися документ та підпис користувача, їх можна буде дистанційно замінити картою. Наприклад, в Естонії жителі країни навіть голосують на виборах, використовуючи подібні ідентифікатори.
Однак до цього часу незрозуміло, як і за чий рахунок буде вирішуватися питання розвитку інфраструктури, оскільки і в цьому випадку без зчитувального терміналу не обійтися.
Крім цього, отримання ID-картки замість існуючого паспорта – справа суто добровільна. Важко уявити, що громадяни України масово вирушать міняти свої паспорти, навіть в разі розширення функціоналу ID-карти.
Існує ще один чутливий момент, пов’язаний з електронною ідентифікацією особи.
Це питання анонімності. В окремих випадках вона не тільки бажана, а й критична. Далеко не всі ресурси вимагають юридичної «деанонімізації» (наприклад, електронна пошта), але всі вони при цьому вимагають захисту.
Mobile ID
У питаннях електронної ідентифікації Україна багато в чому крокує досить звичним шляхом – проб і помилок. Тепер ми хоча б розуміємо переваги і недоліки доступних нам технологій. І приходимо до висновку, що більшість проблем вирішуються, якщо дотримані дві умови: поширеність зчитувальних пристроїв і розвиненість допоміжної інфраструктури.
Відповідь на поверхні: мобільний телефон плюс вже наявна мережа та інфраструктура ЕЦП. Ці можливості поєднуються в технології Mobile ID та в її більш досконалому варіанті – Mobile Signature.
Перш за все, ця технологія цілком вдало працює в багатьох європейських країнах, а також в низці інших держав, технологічний рівень яких багато в чому поступається українському. Вона побудована за принципом «достатньо лише мобільний телефона», причому, будь-якої марки, моделі та віку.
Якщо описувати технологію спрощено, то в телефоні міститься вищезазначена smart-карта (її роль виконує звична для нас SIM-карта), а сам телефон є зчитувальним пристроєм.
У захищеній області пам’яті SIM-карти записаний ключ ЕЦП, який технічно неможливо звідти витягти. У прихованому від користувача режимі працює ПЗ на SIM-карті в комплексі зі складними алгоритмами криптографії.
Єдине, що потрібно від користувача, – це підтверджувати операцію відомим тільки йому кодом (аналог PIN-коду, який користувач задає сам). Код передається по захищеному каналу, і його неможливо перехопити.
Дослідження закордонного досвіду, тестування та аналіз гіпотетичних ситуацій показали, що такої комбінації чинників захисту більш ніж достатньо на десятиріччя вперед.
- По-перше, «термінали» є практично у кожного. Телефон є навіть у тих, хто жодного разу в житті не був у мережі інтернет.
- По-друге, телефон завжди при собі. Людина може не повернутися за забутим гаманцем, паспортом і навіть за водійським посвідченням. Але без засобу зв’язку він не може обійтися.
- По-третє, майже повністю виключається людський фактор. Повний набір даних для ідентифікації невідомий нікому.
Тому намагатися дізнатися хоч якусь частину – марно. Зловмисникам доведеться винаходити нові методи шахрайства, і це, на жаль, неминуче. Але ці методи хоча б не будуть настільки примітивними та настільки приголомшливо ефективними.
Єдине, від чого Mobile ID не зможе захистити, – це від передачі в чужі руки телефону та розголошення персонального коду. Якщо користувач робить це з власної волі, то захисту від подібного немає і ніколи не буде.
Перспективи?
Перший, вже звичне та частково логічне запитання, яке викликає технологія Mobile ID: навіщо винаходити нове, якщо у нас вже давно є ЕЦП?
Відповідь буде такою. Mobile ID не виступає конкурентом традиційного ЕЦП і не скасовує його. Йдеться про більшу гнучкість, мобільність, захищеність та набагато більшу функціональність такого рішення.
Традиційний ЕЦП в 7 випадках з 10 використовується за прямим призначенням – для накладення підпису на документ, що трапляється декілька мільйонів разів на місяць. Mobile ID призначена в першу чергу для авторизації. А ця процедура відбувається декілька десятків мільйонів разів в день!
Говорячи про гнучкість, важливо розуміти, що Mobile ID за бажанням користувача надає йому можливість як анонімної авторизації, так і персоніфікованого входу на ресурс і аж до забезпечення юридичної значимості будь-яких дій за допомогою кваліфікованої підпису.
Що стосується мобільності, то будь-який скептик мусить сам відповісти на питання, що робити з сертифікатом ЕЦП на USB-носії, якщо телефон під рукою є, а часу, навпаки – немає?
Mobile ID в Україні повинен запрацювати до кінця 2017 року, якщо вірити публічним заявам вищих осіб держави. Зрозуміло, цьому передуватиме ціла низка випробувань, етапів сертифікації, тендерів тощо. Така складність процедури диктується особливостями алгоритмів шифрування, вимогами стандартів ЄС тощо. Зрештою, йдеться про захист персональних даних, і тут не можна допустити помилки у виборі практичної реалізації технології.
Але вже зараз очевидно, що попит на Mobile ID з боку бізнесу та приватних користувачів несподівано високий. Є надія, що таке поєднання інтересів та за наявності підтримки держави забезпечить вдалий запуск цієї у всіх сенсах проривної для України технології.
