Сбербанк выступил с инициативой связать коммерческие сервисы по идентификации (только аккредитованные государством) с Госуслугами, выяснил «Коммерсантъ». Такое предложение банк уже направил в министерство экономики. Эксперты в разговоре с RTVI сказали, что, с одной стороны, это удобно, однако с другой — может повысить риски утечки данных.
Если предложение будет принято, то государственные и коммерческие идентификаторы признают друг друга, а общие данные из обоих идентификаторов, по согласию пользователя, станут храниться в Госуслугах. Кроме того, государство составит перечень коммерческих идентификаторов, которые аккредитованы государством. Впрочем, ранее правительство также начало объединять все госреестры и базы данных в единую систему.
Больше данных в руках государства
Главный аналитик Российской ассоциации электронных коммуникаций Карен Казарян объяснил RTVI, что решение, которое предложил Сбер, удобнее, чем то, что, например, ранее предлагало Минцифры.
«У нас есть сервис, где для предоставления услуг требуется идентификация, — те же операторы и банки. Как они сейчас ее делают? Они сверяют данные на Госуслугах с данными, которые ввел пользователь. Минцифры, например, и вовсе хочет вообще все перевести на Госуслуги, то есть, условно, вы в каршеринге берете автомобиль и логинитесь в Госуслугах. Но это очень неудобно. А Сбер предлагает для тех сфер, где есть какая-то необходимость в идентификации, сделать так, чтобы пользователи вводили логины, а сервис на заднем плане синхронизировал данные учетки с Госуслугами. То есть он [Сбер] не будет заставлять пользователя логиниться в Госуслугах», — пояснил он.
Впрочем, Казарян отметил, что решить проблему с синхронизацией данных было бы лучше путем аккредитации всех систем и их взаимного признания, а не путем увязки их с Госуслугами. «Но государство у нас выбрало уже направление другое, у них все должно быть государственное». Кроме того, подобные инициативы дают государству идентифицированных пользователей «там, где ему надо», подчеркнул эксперт.
Данные под угрозой?
Руководитель аналитического центра информационной безопасности Zecurion Владимир Ульянов в разговоре с RTVI сказал, что, несмотря на все удобства подобных проектов, объединение данных повышает риски их утечки.
«Риски утечки данных есть всегда. Статистически так получается, что чем больше организаций или людей имеют доступ к данным, тем выше вероятность, что где-то произойдет утечка. Когда есть определенный круг людей, который работает с данными, мы их можем контролировать. Когда он увеличивается, контролировать становится тяжелее», — считает эксперт.
Особенно остро вопрос встает в случае проектов, когда речь идет о данных из государственных и крупных коммерческих организаций, подчеркивает Ульянов.
«Объединение систем несет дополнительные риски не только на этапе хранения данных, но и при обмене данными. [Нужно обращать внимание] не только на удобство доступа к данным из различных точек, но нужно также, чтобы вопросы безопасности решались. К сожалению, при разработке таких систем не всегда вопросам безопасности отдается приоритет. А когда речь идет об объединении систем очень крупных коммерческих и государственных организаций, вопрос безопасности должен быть ключевым. Тем более мы говорим о масштабах населения всей страны», — сказал собеседник.
Карен Казарян также отметил, что раздельное хранение данных пользователей лучше, чем их нахождение в единой системе. «Если заставлять в Госуслугах хранить данные всех сервисов, которыми пользуются люди, то это больший риск, нежели ситуация, когда каждая отдельная система, отдельная организация, которая отвечает за свою собственную безопасность, хранит ваш кусок данных. В единой системе ведь хранится вообще все», — сказал эксперт.