К первой категории необходимо отнести информацию, интернет-сервисы, а также мобильные сервисы, которым может быть нанесен очень серьезный материальный ущерб (да и нематериальный тоже) или которые сами по себе способны стать источником существенного ущерба для других. Причем следует оценивать потенциальные потери, грозящие не только владельцам информации и пользователям, но и третьим лицам. Самый яркий пример здесь — онлайн-банкинг.
К информации первой категории я бы отнес также массмедиа, списки закрытых клубов, сведения о биржевых операциях и ресурсы «Электронного правительства» (в частности системы голосования в онлайне — когда мы до этого доживем). Такие сервисы, такую информацию необходимо обязательно защитить. И защитить очень серьезно. С одной стороны, доступ к подобным сервисам должен осуществляться лишь при условии гарантированной идентификации человека или организации. С другой — пользователь точно так же должен быть уверен в подлинности ресурса, который он посещает. Проще говоря, требуется как прямая, так и обратная идентификация. Нужно знать, кто, где и что делает. А пользователю — знать, куда именно он попал (туда ли, куда «шел»).
Система защиты должна учитывать все возможные угрозы и коллизии. Допустим, пользователь идентифицировал себя — и эта информация оказалась корректной. Но при этом есть опасность, что используемое им терминальное устройство (домашний ПК, ноутбук, планшет, смартфон) заражено, так что в момент транзакции информация искажается. Что значит такое искажение? Это значит, что в процессе использования банковской системы дистанционного обслуживания человек перевел деньги не туда, куда требовалось. А в случае с электронным голосованием — проголосовал не за того кандидата. Или его голос вообще потерялся.
Вот почему я настаиваю: при прохождении любой критически важной транзакции идентификации должны подвергаться все участвующие в этом процессе стороны.
Понятно, что для надежной реализации этих процедур потребуются специальные устройства, которые, например, по отпечатку большого пальца смогут дать точный ответ на вопрос системы «Кто это?». Обратите внимание: сегодня уже появилась возможность идентификации телефонами своих владельцев путем сравнения оригинала с эталонной фотографией. Конечно, такие способы проверки идентичности все еще не слишком надежны. Но движение происходит — и происходит в верном направлении.
Вопросы идентификации такого рода можно решить только на криптографическом и биометрическом уровне. И очевидно, что подобная система потребует от пользователя дополнительных действий. Ведь нужно будет не просто ввести логин, пароль или ПИН-код.
Подобные технические и программные средства уже создаются и де-факто реализуют практику применения «электронных паспортов». По сути, различные варианты «электронного паспорта» уже существуют. Например, некоторые банки предлагают своим клиентам, подключающим услугу дистанционного банковского обслуживания, комплект, состоящий из антивируса и электронного ключа eToken. Первый должен обеспечить отсутствие на компьютере, с которого осуществляется подключение к онлайн-банкингу, вредоносных программ-шпионов, а второй — надежную идентификацию пользователя и безопасность его транзакций.
Поэтому не думаю, что потребуется принуждение к использованию «электронных паспортов». Распространению подобных технологий и устройств логичнее содействовать не с помощью «кнута», а благодаря «пряникам». Например, банк может сообщить всем своим клиентам, что при использовании «электронного паспорта» они получат более выгодную страховку. В противном случае банк примет дополнительные риски на себя, но вынужден будет включить эти расходы в стоимость обслуживания «беспечного» или «ленивого» клиента. Аналогично можно поступать в вопросе с интернет-голосованием. Хочешь не выходя из дома проголосовать, будучи уверенным, что твой голос никто не украдет, — используй «электронный паспорт» (специальное устройство, обеспечивающее надежную идентификацию). Не хочешь — действуй по старинке, но уже на собственный страх и риск. Заставлять никто не будет.
Нужно не принуждать людей к применению электронной идентификации, а — побуждать. Я более чем уверен, что подобный подход будет работать.
Главным ограничителем на этом пути станет, как всегда, цена вопроса. Если в случае с дистанционным банковским обслуживанием речь идет о суммах менее 3–5 тыс. рублей, вполне можно обойтись без сложной идентификации. Для проведения онлайновых расчетов с относительно небольшими суммами не имеет смысла использовать значительно более дорогое устройство.
Очевидно и то, что средства идентификации, которые будут доступны на рынке, разделятся на личные и корпоративные (некоторые корпорации уже используют в своей работе подобные устройства).
Хочу быть правильно понятым: идентификация необходима только при работе с критически важной, ценной информацией. В таких случаях «электронные паспорта», на мой взгляд, обязательны. Критерии оценки, кстати, можно «импортировать» из обычной жизни. В банке или на избирательном пункте вас просят предъявить паспорт? Значит, вполне логично, если в системе «интернет-банк» или в онлайновом избирательном пункте вам точно так же будет предложено для начала представить документ. Только электронный.
Все это работает и применительно к публикациям в Интернете. Данные о каждом журналисте имеются как минимум в редакции СМИ. Так не логично ли договориться: если твои статьи читают несколько тысяч человек, ты точно так же должен идентифицироваться, то есть при необходимости предъявить свой «ID»? Я считаю, что любая авторская публикация, рассчитанная на массового читателя, должна сопровождаться инструментарием однозначного установления личности автора.
НА ИЗБИРАТЕЛЬНОМ УЧАСТКЕ И В БАНКЕ ВАС ПРОСЯТ ПРЕДЪЯВИТЬ ПАСПОРТ? ЗНАЧИТ, И ПРИ ОНЛАЙН-ГОЛОСОВАНИИ (КОГДА МЫ ДО НЕГО ДОЖИВЕМ) И БАНКОВСКИХ ТРАНЗАКЦИЯХ В ИНТЕРНЕТЕ ЛОГИЧНО ПРЕДЪЯВЛЯТЬ ПАСПОРТ — ЭЛЕКТРОННЫЙ
Конечно, в некоторых случаях могут потребоваться и более сложные процедуры. Скажем, при покупке оружия через Интернет. В тех странах, где это разрешено, будет достаточно «электронного паспорта». Там же, где требуются еще и справки от врачей, для начала придется создать соответствующую базу медицинских данных. В противном случае купить оружие в онлайне не удастся.
Распространившееся мнение о том, что доступ в Интернет будет возможен только по «электронному паспорту», я бы отнес к заблуждениям. Это бессмысленно и непродуктивно. Да и большинство экспертов согласно: обязательной идентификация пользователей Сети должна быть в тех же случаях, что и в материальном мире.
Кроме информации «первой категории», разумеется, следует говорить и о других группах, когда идентификация не потребуется или будет носить ограниченный, упрощенный характер. Однако сказать, как будет выглядеть такой классификатор, пока довольно трудно. Многие позиции очевидны. Для того чтобы узнать прогноз погоды, текущие курсы валют, прочитать новости или связаться с приятелем через интернет-мессенджер, «электронный паспорт» явно не понадобится. Но сколько категорий информации (и ресурсов) окажется «посередине», можно только гадать. Возможно, придется вводить пограничные условия. Например, если блогера читают десять тысяч человек — это, несомненно, уже СМИ, автор которого должен предъявлять общественности свой уникальный идентификатор. Если же публикуемый контент интересен нескольким людям, «электронный паспорт» можно не доставать «из кармана». Но только до тех пор, пока аудитория не преодолеет некоторую планку.
В теории все просто. Куда сложнее ответить на вопрос о том, кто и как будет осуществлять контроль. В подобных дискуссиях часто всплывает слово «цензура», причем в заведомо отрицательной коннотации. Хотите знать мое мнение? Я за цензуру в Интернете — возрастную и психиатрическую.
Обычный паспорт человеку выдается по достижении им дееспособного возраста. Аналогично следует действовать и в случае с «электронным паспортом». Как организовать процесс? Это отдельный разговор. Но, скорее всего, указанную функцию придется исполнять государственной структуре. Ведь это именно тот самый случай, когда подобный сервис требуется большинству граждан страны и является критичным с точки зрения национальной экономики, национальной безопасности.
«Министерство Интернета»? А почему бы и нет, если настала пора вводить контроль цифровых идентификаторов и наладить процесс их выдачи! К тому же в этом нет ничего нового. То, что уже давным-давно работает в обычной жизни, должно перейти в онлайн.
Я не настаиваю на том, что все элементы такой системы идентификации должно контролировать государство. Скорее властным структурам следует передать контроль лишь над теми параметрами, проверку подлинности которых может гарантировать только власть, — подтверждением возраста и отсутствия психических отклонений. Скажем, психически больным людям «электронный паспорт», может быть, и выдадут. Но при этом у них не будет возможности комментировать и публиковать информацию в Сети. Это как раз один из «пограничных» случаев — ограниченный доступ к информации. Заметьте, и в этом нет ничего принципиально нового. Получение водительских прав также требует медицинских справок. И любой разумный человек считает такой порядок совершенно правильным.
Разговоры о создании подобного государственного органа за рубежом ведутся уже давно. Россия пока в эту дискуссию не вступила. Может быть, пора?
Евгений Касперский http://i-business.ru/
Ты кто?: 3 комментария