Если данные — это «новая нефть», то персональные данные — «новое золото». По мере развития электронного документооборота стало удобнее обрабатывать персональные данные (ПДн), однако и украсть их или невольно раскрыть третьим лицам тоже стало гораздо проще.

Используя утечки ПДн, мошенники оформляют микрозаймы и поручительства по кредитам на чужое имя, регистрируют фирмы-однодневки, организуют многоэтапные аферы и просто портят репутацию тем людям, от имени которых выполняют неэтичные или незаконные действия.

Масштаб утечек персональных данных

По числу ежегодно фиксируемых утечек данных Россия находится на втором месте после США. За 2020 год специалистами InfoWatch в мире было зарегистрировано 2395 таких инцидентов, из них 404 произошли в России.

Среди всех типов ценной для злоумышленников информации наиболее часто оказываются скомпрометированы именно персональные данные. В мировой статистике 80,6% утечек данных составили ПДн. В сравнении с 2019 годом на 26% выросло число крупных инцидентов с ПДн, каждый из которых нанёс ущерб как минимум одному миллиону граждан.

Например, украденная с сайта «РЖД» база данных содержала ПДн 1,3 млн участников программы «РЖД Бонус». Она включала в себя ФИО, номера телефонов, адреса проживания, логины и хешированные пароли.

В общей сложности за 2020 год в мире было скомпрометировано 11 млрд записей ПДн (включая повторяющиеся), содержащих имена и фамилии, номера телефонов, адреса постоянного места жительства, номера социального страхования и реквизиты банковских карт.

98,2% из них утекли по вине сотрудников компаний, имевших доступ к персональным данным. Общая доля умышленно организованных утечек ПДн в 2020 году достигла 72,5% вместо 60,2% в 2019 году.

Поиск эффективной защиты ПДн

Сегодня в России (как и во всём мире) доминирует централизованная модель работы с персональными данными. Она может быть простой или федеративной.

В первом случае для идентификации клиентов каждая организация запрашивает у пользователей разные наборы персональных данных, самостоятельно проверяет их (при необходимости) и сохраняет в своей базе данных. Это создаёт неудобства (нужно везде регистрироваться отдельно) и повышает риск злонамеренного использования ПДн (они остаются у сотен юридических лиц и контрагентов, а у пользователей нет возможности проверить, как контролируется доступ к их персональным данным).

Федеративная модель более современная и удобная. Идентификационные данные пользователей хранятся у какого-то крупного оператора ПДн. С разрешения пользователя он выдаёт их необходимую часть владельцам других ресурсов, когда требуется подтвердить личность.

Широкое распространение федеративной модели сдерживается отсутствием единого стандарта. Попытки его разработать предпринимались неоднократно, и сейчас в мире конкурирует несколько технологий управления цифровой идентичностью.

Наиболее популярные из них представлены ниже:

— FIDO (Fast IDentity Online) — включает в себя стандарты беспарольной и двухфакторной аутентификации U2F (Universal Authentication Framework),WebAuthn и CTAP (Client to Authenticator Protocol);

— OpenID — стандарт децентрализованной аутентификации;

— OAuth (Open Authorization) — стандарт делегирования доступа.

В настоящее время OAuth дополняет OpenID и напрямую связан с OpenID Connect (OIDC). Технически OIDC — это аутентификационная надстройка над OAuth 2.0.

Ассоциация FIDO Alliance была создана в 2013 году. Она продвигает одноимённый проект по разработке стандартов аутентификации, не ограничивающийся возможностями пользовательских устройств.

С 2017 года совместно с консорциумом W3C альянс развивает проект FIDO 2.0. В рамках него уже создана система веб-аутентификации (WebAuthn), использующая вместо пароля электронный ключ, хранимый на устройстве пользователя.

Другой популярный сегодня вариант — открытый стандарт децентрализованной аутентификации OpenID. Он позволяет использовать одну учётную запись на множестве интернет-ресурсов. Его разработка велась с 2005 года, и до публикации OpenID Connect 1.0 в 2014 году, миллионы сайтов уже использовали его черновую версию.

Примерно в то же время был разработан OAuth — стандарт, позволяющий пользователю передавать одному сервису ограниченные права доступа к своей учётной записи в другом сервисе, не раскрывая логин и пароль. Например, так работает авторизация через Facebook на сайтах, которым необходимо проверить e-mail и возраст пользователя.

В России применяются все упомянутые выше технологии как самостоятельно, так и в сочетании. Например, функция «вход по Сбер ID» использует Open ID, а «вход через Госуслуги» — OAuth и Open ID. С 2019 года на основе WebAuthn работает Почта Mail.ru.

Удобств у федеративной модели больше, но и риски существеннее. Злоумышленнику достаточно скомпрометировать одну учётную запись, чтобы действовать от имени жертвы на множестве интернет-ресурсов, а слив крупной базы с сервера приведёт к одновременному разглашению ПДн миллионов пользователей.

В последние годы для лучшей защиты персональных данных разрабатываются альтернативные модели, которые предоставят пользователям больше контроля.

Перспективные платформы персональных данных

Теоретически максимальный контроль своих ПДн пользователем обеспечивает модель суверенной идентичности. Это перспективная разработка, которая может быть реализована с помощью распределённой базы данных с иерархическим подтверждением записей в цепочке блоков (блокчейн) и одноранговой сети, лишённой выделенных управляющих узлов.

Каждый пользователь этой системы имеет свой децентрализованный идентификатор (DID, decentralized identifier), на основе которого могут генерироваться отдельные идентификаторы для каждого сервиса. Такой подход помогает избежать отслеживания (трекинга) пользовательской активности.

На практике модель суверенной идентичности ещё не применяется вне экспериментальных проектов. Сформулированы лишь принципы её построения и очевидные недостатки. Главные из них — использование недостаточно изученных криптографических технологий и риск потерять все свои данные без возможности восстановления при утере секретного ключа.

Также не стоит забывать об атаке «51%», вероятность которой недооценивали до масштабного инцидента в сети Ethereum Classic в 2018–2019 годах. Суть этой атаки в том, что в распоряжении злоумышленника в какой-то момент времени оказываются вычислительные мощности, превышающие суммарную мощность половины блокчейн-сети. С этого момента он может создать свою цепочку блоков с фальшивыми записями, которая заменит основную.

Одному человеку такое вряд ли под силу, но группа людей (особенно представляющих интересы крупных корпораций и правительств) может договориться и верифицировать ложные транзакции, преследуя общие интересы (примерно как члены мафии подтверждают алиби друг друга). Остальные участники сети доверия рискуют стать невольными соучастниками обмана, автоматически добавив своё подтверждение только потому, что это уже сделали другие.

На практике более реалистичными оказываются модели, ориентированные на пользователя (user-centric), поскольку они не требуют полностью децентрализованного хранения идентификационных данных. При этом в них также каждый гражданин сам контролирует, какому сервису и какие ПДн он раскрывает, а подлинность юридически значимых записей (например, номер паспорта и СНИЛС) подтверждает соответствующая организация (обычно это органы государственной и местной власти).

В рамках правительственной инициативы такая модель уже проходит апробацию в Нидерландах. Там госучреждения и некоторые муниципальные предприятия позволяют гражданам получать услуги удалённо, авторизуясь через сервис IRMA. Это частично децентрализованная платформа идентификации на основе атрибутов, разработанная в Университете Неймегена.

Она развивается сообществом как международный (преимущественно европейский) проект с открытым исходным кодом. Авторы предлагают использовать IRMA для запроса атрибутов пользователей (возраст, пол, регион проживания, сфера занятости и т.д.), их аутентификации, а также отправки отчётов и заявлений с использованием электронной цифровой подписи.

Для начала работы с IRMA достаточно установить бесплатное мобильное приложение. Пользователь сам решает, какие ПДн в него ввести (e-mail, номер телефона и т.д.), но все юридически значимые данные могут быть добавлены в профиль только при участии органов местного управления.

В итоге все персональные данные накапливаются пользователем от разных организаций и сохраняются локально в зашифрованном виде. Когда очередной онлайн-сервис запрашивает ПДн через IRMA, пользователь принимает решение, какие данные он готов раскрыть о себе. Например, некоторым сайтам достаточно подтвердить, что посетитель совершеннолетний, поэтому логично сообщить им через IRMA только свой возраст, а не весь набор ПДн.

IRMA кажется хорошей альтернативой простым централизованным системам, и у неё уже есть ряд аналогов, но все эти сервисы пока экспериментальные и основаны на слабо изученных криптографических схемах. Кроме того, в каждой стране свои требования к обработке персональных данных.

Российская платформа цифрового доверия

В России для защиты ПДн при участии технологической компании «Криптонит» разрабатывается «Платформа цифрового доверия» (ПЦД). Согласно её концепции, персональные данные будут создаваться инспекторами (официальными источниками информации) и храниться в зашифрованном виде у самих пользователей.

Инспекторы (паспортный стол, налоговая служба, пенсионный фонд и т.д.) выступают гарантом при взаимодействии пользователей с сервисами, но никогда не отправляют их. Они лишь проверяют соответствие той части запрошенных данных, которая имеется в их локальной базе, и сообщают сервису результат проверки.

Таким образом, в ПЦД персональные данные не пересылаются внутри платформы в открытом виде, не собираются в централизованном хранилище и не раскрываются внешним сервисам, а пользователь полностью контролирует, какие сведения о себе и кому он предоставляет. При этом сервисы уверены в правильности предоставленных пользователем данных, так как их верифицируют инспекторы.

Каждый инспектор действует в своей зоне ответственности. Например, только подразделения МВД подтверждают личность и только пенсионный фонд проверяет номер СНИЛС.

Новый подход к обработке персональных данных обеспечивает пользователю максимальный контроль над ними. Он выгоден и для организаций, поскольку убережёт их от штрафов за неправильную обработку ПДн, устранит угрозу взлома с целью получения персональных данных и риск их случайной утечки.

В отличие от IRMA, ПЦД использует единый идентификатор пользователя во всех сервисах, а электронная подпись не раскрывает никаких персональных данных. Она формируется с помощью секретного ключа, который хранится только у пользователя. Соответствие парного ему открытого ключа конкретному идентификатору в ПЦД заверяется цифровым сертификатом в удостоверяющем центре. Другое важное отличие состоит в том, что ПЦД защищает все взаимодействия с использованием криптографических механизмов, стандартизированных в России.

Платформа цифрового доверия гарантирует подлинность указываемых пользователем данных, поэтому она может использоваться для юридически значимых удалённых взаимодействий граждан с органами государственной власти и коммерческими организациями. Например, для подачи заявки на оформление загранпаспорта, регистрации SIM-карты или открытия банковского счёта.

Модульная структура ПЦД означает возможность легко менять криптографические алгоритмы и поддерживать работу платформы в соответствии с меняющимися требованиями законодательства. Её внедрение не требует существенных затрат, так как позволяет использовать существующую ИТ-инфраструктуру. 

В июле 2021 года Платформа цифрового доверия была представлена в ходе сессии «Неделя перспективных технологий Сектора развития Международного союза электросвязи».

Изменения в законах о персональных данных

С 1 марта 2021 года вступили в силу изменения в Закон №152-ФЗ "О персональных данных". Теперь граждане имеют право без каких-либо дополнительных условий потребовать у любого оператора ПДн, действующего на территории России, удалить их персональные данные из общего доступа.

Также в Законе № 152-ФЗ появилось понятие "ПДн, разрешенные для распространения". Теперь, предоставляя свои ПДн, граждане Российской Федерации должны иметь возможность выбирать, какие из них сделать общедоступными. В частности, это касается процедуры оформления вкладов, кредитов, медицинских карт, SIM-карт, заключения договоров с интернет-провайдерами, регистрации в программах лояльности и отечественных онлайн-сервисах.

Технически для реализации этой возможности необходимо отметить соответствующие пункты в дополнительном соглашении, но пока работающие в РФ юридические лица не спешат составлять такие документы и обеспечивать своим клиентам гибкие настройки предоставления ПДн.

Вынудить их привести свои сервисы в соответствие с изменившимися нормами закона должна новая редакция статьи 13.11 КоАП РФ «Нарушение законодательства РФ в области персональных данных», вступившая в силу с 27 марта 2021 года. Теперь срок привлечения к административной ответственности по ней увеличился с 3 месяцев до 1 года, вместо вынесения предупреждений будут сразу выписывать штрафы, а их размер вырос в два раза. Более того, Минцифры уже разработало законопроект, по которому за массовые утечки ПДн предусматривается уголовная ответственность.

 

Автор Андрей Васильков

Фото из открытых источников