Тема 6. Безопасность электронных услуг

  • 30.07.2014

Идентификация граждан (Универсальная идентификационная карта) и создание пространства доверия (законодательство, организационные и технические решения). Профилактические меры безопасности.

Мы уже не можем отказаться от таких важных и удобных аспектов нашей жизни как электронные услуги, электронные платежи, телемедицина и многих других. К сожалению, процесс развития информационных технологий сопровождается ростом числа компьютерных преступлений и связанных с ними хищений информации.

Для решения этой проблемы требуется соблюдение трех условий: доступности информации, целостности и конфиденциальности информационных ресурсов или, иными словами, необходимо обеспечить безопасность и надежность электронного документооборота.

Под информационной безопасностью мы будем понимать защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям системы. Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

  • законодательный (законы, нормативные акты, стандарты и т.п.);
  • морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);
  • административный (действия общего характера, предпринимаемые руководством организации);
  • физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);
  • аппаратно-программный (специальные электронные устройства и программы защиты информации).

По данным CSI/FBI // Computer Crime Report: «В 87% случаев утечки (информации) осуществляются людьми, не владеющими специальными компьютерными навыками». Возникает вопрос: а можем ли мы доверять чиновникам наши конфиденциальные данные?

Сохранение конфиденциальности информации защищается законом «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года N 149-ФЗ. Информация в зависимости от порядка ее предоставления или распространения подразделяется на:

  • информацию, свободно распространяемую;
  • информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
  • информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
  • информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Исследователи Л. Картер и В. Вираккоди уточнили понятие «доверия», разделив его на доверие к информационно-коммуникационным технологиям и доверие к органам власти, которые предлагают воспользоваться своими услугами в электронном виде[1]. Эмпирические исследования показали: доверие к органам власти является сильным позитивным стимулом, содействующим адаптации государственных электронных услуг.

Примерами осуществления политики доверия со стороны органов власти могут служить: строгий контроль над уровнем подготовки и соблюдением служащими политики конфиденциальности, защищенность компьютерных систем и оборудования, аудит административных процессов, а также получение согласия заявителей на совершение действий.

Пользователи должны быть предварительно уведомлены о:

  • целях, сроке и способах использования идентификационных данных;
  • возможности передачи данных третьим лицам;
  • порядке использования и порядке корректировке данных;
  • технологии предоставления и обработки данных.

Информационные системы электронного правительства должны предусматривать возможность выполнения действий гражданами с использованием различных механизмов идентификации.

Процесс регистрации заявителя предполагает, что никто, кроме законного пользователя, не знает аутентифицирующую его информацию, и обеспечивает защищенный доступ пользователя к определенному приложению.

Идентификация (лат. identifico – отождествлять) — это процесс сообщения субъектом своего имени или идентификатора, с целью отличить себя от других субъектов.

Аутентификация (англ. authentication) или подтверждение подлинности – это процедура проверки соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации, в простейшем случае – с помощью имени и пароля. Субъект может подтвердить свою подлинность, если предъявит, по крайней мере, одну из следующих сущностей:

  • нечто, что он знает: пароль, личный идентификационный номер, криптографический ключ и т.п.;
  • нечто, чем он владеет: личную электронную карточку или иное устройство аналогичного назначения;
  • нечто, что является частью его самого: голос, отпечатки пальцев и т.п., то есть свои биометрические характеристики;
  • нечто, ассоциированное с ним, например, номер и дата выдачи паспорта, домашний адрес или телефонный номер.

К сожалению, у каждого способа аутентификации есть свои недостатки. Например, возможен перехват или подбор паролей злоумышленниками. А биометрические данные могут измениться под влиянием внешних факторов и оказаться скомпрометированными.

Принятие мер по обеспечению безопасного использования электронных услуг является необходимой стороной деятельности органов власти.

В последнее время стал довольно распространенным термин « единое пространство доверия структура, определяющая организационные границы, в пределах которых находятся только заслуживающие доверия удостоверяющие ЭЦП центры, а сертификаты ключей подписей, изготовленные ими, признаются всеми участниками информационного взаимодействия в границах структуры и на равных условиях.   ». В источниках можно найти несколько его определений, мы воспользуемся тем, что принято в Москве: «Единое пространство доверия сертификатам ключей подписей - информационное пространство, в котором обеспечивается подтверждение подлинности  электронной цифровой подписи (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.    вне зависимости от того, каким удостоверяющим центром изготовлен сертификат ключа подписи и какая программно-аппаратная платформа используется удостоверяющим центром»[1].

Несмотря на функциональную тождественность бумажных и электронных документов, между ними существуют принципиальные различия в способах обеспечения их аутентичности, адресности и неотказуемости, обусловленные техническими и культурными причинами.

Признание документа в качестве юридически значимого, независимо от того, какими техническими, правовыми и организационными средствами это сделано, обеспечивается следующими факторами:

  • подтверждение волеизъявления субъекта правоотношений (собственноручная или цифровая подпись);
  • фиксация и проверка полномочий должностных лиц;
  • фиксация правового статуса органов власти (угловой штамп с гербом Российской Федерации, указанием контактных данных, проставлением штампа или гербовой печати ведомства; в электронной форме – запись в электронном реестре органов государственного и муниципального управления);
  • подтверждение места и времени издания документа (с использованием доверенной третьей стороны).

 Постановлением Правительства Российской Федерации от 28 ноября 2011г. № 977 предусмотрено создание единой системы идентификации и аутентификации на основании электронных подписей. Вместе с тем в мировой практике используются различные механизмы идентификации и аутентификации участников электронного взаимодействия (система штрих-кодирования, цифровые сертификаты, архитектуры открытых ключей и т.д.). В рамках формирования электронного правительства желательно легализовать использование всех, в том числе несложных и малозатратных механизмов.

Закон «Об электронной цифровой подписи», принятый 8 апреля 2011 года, позволяет обращаться за услугами органов власти через интернет, используя документы, заверенные электронной подписью. Согласно закону, электронной подписью признается реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

По видам электронные подписи делятся на: простую и усиленную (неквалифицированную и квалифицированную) электронную подпись. Отличия между разными видами электронных подписей состоят в степени защищенности, а следовательно, и в возможности применения того или иного вида электронной подписи для удостоверения различных видов информации. Сфера действия разных видов электронных подписей также прямо установлена упомянутым законом.

Для решения таких задач построения инфраструктуры доверия, как идентификация личности, возможность использования электронной подписи, получение услуг в электронном виде и других, во многих странах переходят от традиционных удостоверений личности (паспорт и другие документы) к их электронным аналогам – ID картам ID-карта (в России Универсальная электронная карта) - идентификационная карта (от англ. Identity Document) - официальный документ, удостоверяющий личность, в том числе в электронных системах, обычно выполненный в формате пластиковой карты. ID-карта обычно содержит информацию о владельце в текстовом, машиносчитываемом и электронном видах, включая его фотографию, имя, личный номер, образец подписи, биометрическую информацию, записанные в электронным чипе или на магнитной полосе.    (в России утверждено название «Универсальная электронная карта»).

ID-карта во многих европейских странах уже является первичным удостоверением личности и признается всеми членами Евросоюза и государствами-членами Шенгенского соглашения, не входящими в Европейский Союз, в качестве официального удостоверения для путешествующего лица.
Такая карта обычно хранит информацию о своем владельце, чаще всего это: полное имя владельца, пол, национальный идентификационный номер, криптографические ключи и сертификаты.

Чтобы использовать электронные возможности ID-карты, необходимо иметь:

  • ID-карту вместе с PIN-кодами;
  • терминал или компьютер;
  • считывающее устройство (см. рис. 6.1.);
  • программное обеспечение для ID-карты.

 

Рис. 6.1. ID-карта в считывающем устройстве

Карту необходимо вставить в считывающее устройство (или поднести к бесконтактному устройству - если карта бесконтактная) и ввести PIN-коды. ID-карта должна оставаться в считывающем устройстве в течение всего времени доступа.

Универсальная электронная карта (УЭК) планируется как основное средство идентификации личности при предоставлении государственных и муниципальных услуг населению в Российской Федерации. Универсальная электронная карта (см. рис. 6.2.) призвана упростить бюрократические процедуры, улучшить качество государственных услуг, повысить информированность граждан о своих правах, а также способствовать развитию безналичных расчётов. УЭК можно будет использовать в качестве банковской карты как полноценное платёжное средство (обязательное по законодательству к приёму). Посмотрите, как используются электронные карты в Москве (http://xn--l1aqg.xn--p1ai/videos/4/12/-).

С 1 сентября 2010 г. в трех российских регионах (Москва, Астраханская область, Республика Башкортостан) началась реализация пилотного проекта по внедрению универсальных электронных карт. Выбор регионов и категорий населения объяснялся тем, что там уже существуют развитые системы социальных карт.

Рис. 6.2. Универсальная электронная карта – внешний вид

С 1 января 2013 года планируется выдавать УЭК гражданам РФ, достигшим 14 лет, на основании заявления, остальным гражданам, не написавшим заявления на получение или отказа, - с 1 января 2014 года. Обеспечить картами всех граждан России предполагается к 2017 г. Срок действия карты составит пять лет.

Предполагается, что УЭК станет единым идентификатором для жителей всех регионов страны и заменит существующие социальные карты, объединив в себе ряд функций — полиса обязательного медицинского и пенсионного страхования, полиса ОСАГО, студенческого билета, читательского билета, средства оплаты школьного питания, средства контроля посещения школ учащимися, проездных документов и банковских карт.

Универсальная электронная карта снабжена  электронной подписью (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.    по российским стандартам, что позволит удаленно получать услуги, которые раньше предоставлялись только при личной явке (например, оформление различных документов).

Электронная подпись и универсальная электронная карта на современном технологическом этапе оправданно рассматриваются как эффективное решение для обеспечения пространства доверия в информационной среде при оказании электронных государственных услуг.

Профилактические меры безопасности при использовании систем идентификации и получении государственных и муниципальных услуг в принципе ничем не отличаются от мер безопасности при пользовании интернет-ресурсами, предполагающими авторизацию и осуществление финансовых операций. Например заказ железнодорожных билетов с оплатой заказа банковской картой через Интернет.

Подробнее об общих принципах безопасности при работе с сетевыми ресурсами можно узнать из курса «Планета интернет для вас» (лекция «Сетевые риски»), предлагаемого в рамках проекта «Университет третьего возраста».

Безопасность при использовании УЭК также аналогична общим принципам обращения с банковскими электронными картами, к которым все привыкли: держать карту отдельно от пин-кода, никому не передавать и в случае утери или кражи заблокировать и сообщить в структуру, выдавшую карту.

* * *

Таким образом, органы власти принимают меры по обеспечению безопасности электронных услуг, используя для этих целей наиболее надежные средства идентификации пользователя, такие как цифровая подпись или универсальная электронная карта. Это способствует формированию единого пространства доверия.

С другой стороны, граждане во избежание хищения личных данных также должны соблюдать элементарные меры информационной безопасности при обращении к электронным сервисам.

Практика

Упражнение 6.1
Прочтите статью С. Зайцева «Флешка вместо паспорта, или Зачем нужна электронная подпись и как её получить?» (http://www.aif.ru/money/article/44011).
Зачем гражданину электронная подпись?
Где можно найти перечень услуг, получение которых становится доступным любому физическому лицу при наличии электронной подписи?

Упражнение 6.2
Прочтите статью «Универсальная электронная карта как новый шаг в развитии социальных карт» (https://www.uecard.ru/for-sitizens/citizens-articles/324-2012-01-12-12-36-51).
Почему УЭК не представляет угрозы для сохранности персональных данных гражданина?
В чем отличия универсальной электронной карты от социальной карты?