2017/11/07 14:29:45

ID-карта в Эстонии

.

Содержание

Рассказывает директор по стратегии эстонского телеком-провайлера Elion и один из руководителей проекта по созданию ID-карты в Эстонии Олег Швайковский (2012 год):

«Эстония — маленькая страна, в ней живет 1,3 млн. человек, а общее количество выданных ID-карт — около 1,1 млн. Это очень высокий уровень проникновения — вне всякого сомнения, самый высокий в мире. И это самый долгий проект — ему уже десять лет. По количеству электронных подписей на душу населения Эстония совершенно точно на первом месте в мире, по количеству актов идентификации в Интернете на душу населения — тоже».

Разумеется, у двух проектов — эстонского и российского (УЭК) — совершенно разный масштаб, да и уровень развития технологий за десять лет сущест­венно изменился. Но самое главное различие, как считает Олег Швайковский, — архитектурное. Эстонская ID-карта не является многофункциональной, это только удостоверение личности — физическое и электронное. Как физический документ она действительна в пределах Евросоюза, а также в Норвегии, Исландии и Швейцарии, которые не являются членами ЕС, но входят в Шенгенскую зону (для поездок в другие страны нужен паспорт), в сети обеспечивает электронную идентификацию двух видов — обычную и с использованием электронной цифровой подписи (ЭЦП). Соответственно встроенный чип содержит дубликат личных данных владельца, напечатанных на карте, два идентификационных приложения и необходимые ключи и сертификаты. На картах нового поколения дополнительно присутствуют еще биометрические данные держателя. И это всё: больше никакой информации, ни напечатанной, ни закодированной, на эстонской ID-карте нет.

Она и не нужна. То, что ID-карта не является ни банковской картой, ни полисом медицинского страхования, вовсе не мешает использовать ее для доступа к банковским или медицинским услугам. «Предъявив» её компьютеру или терминалу (для чего карту нужно вставить в считыватель и ввести PIN-код), можно зайти в интернет-банк: система аутентификации проверит данные клиента и откроет доступ к его счетам. Точно так же пациент вставит карту в считыватель в кабинете врача, чтобы открыть ему доступ к собственной истории болезни, хранящейся в медицинской базе данных. (В обычном случае эта информация может быть получена только с согласия пациента, так как составляет его личную тайну, но в чрезвычайных обстоятельствах — например, когда пациент без сознания и нужно срочно оказать ему помощь, — врач может запросить необходимые сведения без PIN-кода.)

Без записи какой бы то ни было дополнительной информации ID-карта может использоваться и для поездок на городском транспорте Таллина и Тарту. Здесь ближайший российский аналог — железнодорожный билет, прошедший электронную регист­рацию (пассажир садится в вагон, предъявляя только паспорт; документ, дающий право проезда, не нужен). Эстонский ID-билет представляет собой чисто виртуальный объект, связанный с картой («неперсонализированные» билеты, которыми можно пользоваться без карты, также существуют, но они несколько дороже). Купить ID-билет можно не только лично (например, в киоске на улице), но и дистанционно — с помощью банковского платежа или SMS-сообщения; информация о приобретенном ID-билете заносится в центральную базу данных и выдается по запросу при проверке билетов. Чтобы разгрузить беспроводной канал связи, конт­ролеры работают не с самой центральной базой, а с ее локальными копиями, которые периодически обновляются. Благодаря этому необходимость в обращении к центральной базе (и использовании беспроводного канала) возникает сравнительно редко — лишь когда проверяется билет, приобретенный позже последнего обновления.

Общий принцип использования ID-карты состоит в том, что услуга реализуется целиком на стороне сервера. Карта служит только для аутентификации пользователя на этапе входа, являя собой своеобразное воплощение известной концепции тонкого клиента. «Образно говоря, эстонское решение более облачное, чем российское, хотя оно и старше», — замечает Олег Швайковский. «Облачный путь», надо полагать, не закрыт и для УЭК: не видно ни юридических, ни технических препятствий к тому, чтобы создать услугу — и много услуг — на базе имеющейся идентификационной функции карты. Но Россия очень отличается от Эстонии в том, что касается отношения к ЭЦП, и это принципиально важно.

Важность вопроса электронной подписи

В Эстонии в декабре 2000 года был принят закон, приравнивающий ЭЦП к нотариально заверенной личной подписи. Он распространялся только на государственные учреждения, но этого вполне хватило, поскольку бизнес, заинтересованный в развитии электронного документооборота, активно поддержал инициативу. Проект по созданию ID-карты осуществил эстонский сертификационный центр (единственный в стране) — коммерческое предприятие, де-факто принадлежащее в равных долях двум крупнейшим банкам страны и двум главным операторам связи, среди которых и компания Elion. Деятельность сертификационного центра, как рассказывает г-н Швайковский, около восьми лет оставалась убыточной, но акционеры не жаловались, поскольку благодаря ID-карте довольно много экономили на инфраструктуре идентификации клиентов. Все желающие могли получить из сертификационного центра открытый API для подключения к системе аутентификации по ID-карте и точно так же снять с себя заботу о создании собственной такой системы. За государством и четырьмя ключевыми игроками последовали энергетические компании, компании ЖКХ, медицинские системы, больницы. Сейчас в Эстонии никому даже в голову не приходит строить собственную систему аутентификации — это были бы в чистом виде лишние затраты и неудобство для клиента.

В России закон об ЭЦП был принят ненамного позже, чем в Эстонии, — в январе 2002-го, — но его принятие имело ограниченное влияние на бизнес, а на повседневной жизни практически не сказалось. Новый закон №63-ФЗ «Об электронной подписи», принятый в марте прошлого года, пока не действует: он должен был вступить в силу в этом июне, но срок отодвинули до июня следующего года. Нам еще предстоит преодолеть недоверие к электронной подписи и электронной идентификации в целом. Удастся ли это, зависит среди прочего от успешности проекта УЭК, и то, что универсальная карта вводится как эквивалент других карт, ставших уже привычными для россиян, психологически, наверное, оправданно, даже если такое решение не оптимально с технической и финансовой точки зрения.

digi-ID

С осени 2010 года у жителей Эстонии появилась возможность в дополнение к своей основной ID-карте получить еще одно, чисто электронное удостоверение личности — карту, называемую digi-ID. Такая карта действует три года (ID-карта — пять лет), и ее нельзя предъявлять как физический документ: на ней нет фотографии, а на чипе в файле с личными данными записан только номер карты. Но возможности электронного использования у digi-ID в точности такие же, что и у стандартной ID-карты, а получить ее можно за двадцать минут, поскольку она изготавливается прямо в Департаменте гражданства и миграции. Если ID-карта будет потеряна или повреждена, то до ее возобновления digi-ID обеспечит владельцу доступ ко всем электронным сервисам, — а к настоящему времени в Эстонии через Интернет предоставляется 75% всех государственных услуг и около 90% частных. Вполне законно и параллельное использование двух карт.

Мобильный ID

Еще одно направление — мобильный ID. Эстонские операторы связи уже начиная с 2007 года предоставляют абонентам возможность поместить приложения ID-карты на SIM-карту, чтобы использовать их для защищенного доступа в Интернет со смартфона или планшета. Это очень интересная перспектива и для УЭК — вероятно, даже более интересная, чем для эстонской ID-карты, потому что в Эстонии есть традиция работы с ID-картами с персонального компьютера и соответствующая инфраструктура, а в России нет ни того, ни другого.

Считыватели для смарт-карт

Использование смарт-карт требует специальных считывающих устройств. В Эстонии эта проблема была в свое время решена с помощью особого регламента, запрещавшего продажу в стране компьютеров, не снабженных считывателем. В российском проекте предполагается, что граждане будут пользоваться в основном платежными, информационными и иными терминалами, установленными в общественных местах. Конечно, всякий, кто пожелает работать с УЭК со своего компьютера, может купить внешний считыватель, а компания «УЭК» разработала специальный защищенный вариант, который будет сертифицирован и тогда позволит выполнять банковские операции без ограничения суммы. Но вряд ли считыватели — обычные или защищенные — получат сколько-нибудь массовое распространение: время для этого уже прошло, Россия вместе со всем миром вступила в посткомпьютерную эпоху. Поэтому именно соединение УЭК со смартфоном, если оно будет реализовано, обеспечит использование карты дома — а заодно и в любом другом месте, где есть связь.

В целом Олег Швайковский оценивает перспективы УЭК положительно. В Эстонии сам факт запуска единой универсальной карты сработал как катализатор для возникновения огромного количества услуг. Для того чтобы сложилась такая саморазвивающаяся система, по его мнению нужно не так уж и много начальных условий: определенный уровень информатизации и компьютеризации, признаваемое всеми средство идентификации и межведомственное взаимодействие. Он абсолютно уверен в том, что в России первое условие выполнено, и думает, что скорее всего выполнены и два других. Поэтому УЭК будет развиваться, доверие к ней — расти, и все это поможет улучшить межведомственное взаимодействие.

История

2019: Хакеры впервые смогли подделать электронный паспорт

В Эстонии хакеры смогли подделать электронное удостоверение личности, сообщает ресурс Postimees. Издание пишет, что это первый случай подобного рода[1].

В феврале 2019 г. злоумышленники начали рассылать жителям Эстонии SMS-сообщения, прикрываясь именем одного из эстонских банков. В сообщении гражданам предлагалось обновить их персональные данные, пройдя по ссылке. Ссылка направила несколько десятков пользователей на страницу, которая внешне напоминала реальный сайт этого банка.

На вредоносном сайте требовалось пройти авторизацию, для чего пользователи должны были ввести два кода мобильного электронного удостоверения личности (Mobiil-ID). Эти коды были необходимы преступникам, чтобы создавать новые аккаунты в приложении Smart-ID, подделывая таким образом личности граждан.

Приложение Smart-ID позволяет пользоваться различными сервисами и услугами, в том числе управлять банковскими счетами. В общей сложности у него насчитывается более 2,2 млн пользователей, в том числе 433 тыс. — в Эстонии. Мошенники успели причинить пользователям приложения лишь незначительный ущерб — в размере 1 тыс. евро.

2017: Отключение 760 тыс. электронных паспортов из-за уязвимости

В начала ноября 2017 года власти Эстонии сообщили о блокировке доступа к государственным онлайн-сервисам, чтобы исправить брешь в системе безопасности некоторых ID-карт. В результат мер, предпринятых государством, было отключено около 760 тыс. электронных паспортов.

ID-карта эстонца

Как отмечает агентство Reuters, Эстония считается лидером в предоставлении государственных услуг через интернет, потому проблема безопасности столь широко распространенных цифровых ID-карт ставит балтийскую страну в весьма неудобное положение.

Общенациональная система онлайн-идентификации позволяет гражданам получать доступ к большинству электронных услуг государственных и частных компаний, включая банкинг, школьные отчеты, медицинские карты, пенсионные накопления, рецепты, а также онлайн-голосование на выборах.

Сервис электронных паспортов в Эстонии столкнулся с уязвимостью шифрования ранее 2017 года. Она ставит под удар смарт-карты, токены безопасности и другие защищенные чипы компании Infineon, которые оказались под угрозой взлома.

В октябре 2017 года Infineon заверила, что проблема устранена, но окончательное разрешение ситуации требует обновления ID-карт и оборудования. Как эстонское правительство, так и Infineon заявили, что нет признаков того, что брешью в системе безопасности воспользовались.

Эстонские онлайн-сервисы блокируются для уязвимых ID-карт до тех пор, пока не обновятся сертификаты безопасности, включающие исправление предыдущих недоработок, говорится в заявлении правительства Эстонии.

«
«Функционирование электронных сервисов основано на доверии, и государство не может позволить себе кражи личных данных владельцев эстонских ID-карт», — заявил премьер-министр Юри Ратас (Jüri Ratas).
»

2 и 3 ноября 2017 года можно было видеть толпы людей, приходящих в полицию Эстонии и штурмующих офисы сервиса безопасности, чтобы обновить сертификаты своих ID-карт, потому как онлайн-служба обновления была перегружена.

«
2 ноября посол Великобритании в Эстонии Тереза Баббир (Theresa Bubbear) сделала следующую запись в своем Twitter-блоге: «e-Эстония теряет свой блеск? На протяжении двух дней я часами пыталась обновить мою ID-карту в соответствии с инструкциями правительства/МИД. Все еще пытаюсь…[2]»
»

Смотрите также

Примечания