Блиц-опрос: нужен ли цифровой идентификатор MobileID, если есть BankID и ЭЦП

Заказать справку, подписать документ или подтвердить онлайн-транзакцию, не выходя из дома и не стоя в очередях — такая роскошь доступна владельцам электронно-цифровой подписи (ЭЦП). Однако процедура получения ЭЦП достаточно забюрократизирована, поэтому альтернативный способ онлайн-идентификации личности BankID в свое время наделал немало шуму. BankID доступен любому украинцу, едва он стал клиентом партнерского банка. Свой вариант идентификатора могут предложить и мобильные операторы — MobileID обещает стать еще более распространенным и доступным идентификатором, ведь мобильный телефон есть у каждого украинца.

MobileID – технология защищенной идентификации и электронной подписи через мобильный телефон. Она позволяет пользоваться государственными услугами, подписывать договора и подтверждать транзакции абонентам мобильной связи, которые верифицируются оператором по SMS. Сервис аналогичен BankID, но данные про пользователя передает не банк, а его мобильный оператор.

В сентябре прошлого года готовую концепцию MobileID представили во Львове. Однако, в отличие от BankID, который уже успешно работает в Украине, для запуска MobileID нужна поддержка правительства, у которого, на сегодняшний день, есть более срочные задачи. AIN.UA решил разобраться,нужен ли MobileID в Украине. Мы опросили экспертов, в чем преимущества MobileID перед ЭЦП и BankID и каков его потенциал в качестве «цифрового паспорта» украинца.

Дмитрий Дубилет, директор IT-департамента «ПриватБанка», координатор проекта BankID

Мы рады любой новой технологии, которая облегчит процесс онлайн-верификации или поспособствует переводу процессов в электронную форму. Больше технологий хороших и разных! MobileID предполагает использование ЭЦП на SIM-карте, потому противопоставлять его с ЭЦП нельзя. Кстати, мы идем к тому, чтобы BankID был также скрещен с ЭЦП по примеру скандинавских стран.

Если MobileID запустится на полную, если появится у каждого гражданина, то это будет серьезная альтернатива BankID. Но, к сожалению, в отличие от BankID, который в свое время у нас был запущен за несколько недель, MobileID требует серьезных и организационных, и инфраструктурных изменений со стороны операторов. Для этого необходимо:

1. построить процесс идентификации клиентов;
2. получить аккредитацию на выдачу ЭЦП (либо партнерство с имеющимися АЦСК);
3. сделать возможным запись ключей ЭЦП на SIM-карты. В том числе открыт вопрос по поводу объема памяти на самой SIM-карте.

Пока, насколько я понимаю, они не до конца понимают экономическую целесообразность в это инвестировать.

Евгений Кражан, директор по развитию бизнеса на корпоративном рынке «Киевстар»

MobileID отличается от всех остальных способов идентификации простотой, массовостью пользования, удобством и защищенностью. Телефон всегда под рукой, для идентификации достаточно ввести единый четырехзначный PIN, а SIM-карта, которая используется в данном случае, оснащена защищенным по всем мировым стандартам криптографии чипом. Для повседневных и финансовых услуг MobileID – идеальный вариант. Не нужно таскать с собой пластиковые карты, запоминать сотни пинов, заморачиваться восстановлением карт и т.д. Еще один плюс MobileID – для его работы не нужен интернет, в отличие от ЭЦП и BankID.

Чем интенсивней будет развиваться банковский сектор и электронные сервисы, тем больше будет востребован MobileID. Есть яркий пример Японии. Несмотря на то, что эта страна очень развита с точки зрения технологий, до прошлого года очень мало людей пользовались банковской картой – всего 5% расчетов были безналичными. И японцы приняли решение не продвигать карты, а сразу перескочить на мобильные бесконтактные платежи. Банки объединились с операторами и очень быстро запустили новый вид оплаты. За шесть месяцев количество безналичных платежей выросло в пять раз!

В Украине есть свой феномен. Конфликт на Востоке подтолкнул многих людей к переходу на карточные платежи – они выросли почти вдвое до 30%. Такая динамика свидетельствует о том, что украинцы готовы к внедрению новых технологий, в том числе, к MobileID.

В прошлом году мы уже провели демонстрационную сессию во Львове на Форуме электронного самоуправления – показывали, насколько проще для пользователя проходить идентификацию с мобильного. Достаточно ввести номер телефона и PIN – остальные данные подтягиваются автоматически. Скоро сделаем пилотные проекты для разных отраслей. Ведь идентификация с помощью мобильного телефона – это отличный вариант не только для потребителей госуслуг, но и для бизнеса. С помощью этой технологии можно легко сократить затраты на печать документов, ускорить доставку и упростить документооборот в цепочке поставщик-продавец.

Есть только один «узкий момент» — взаимодействие с государством. Мы хотим легализовать MobileID и создать консорциум со всеми операторами, проверенным представителем государства и банками. Пока не ясно, когда начнутся конкретные действия, но мы верим в изменения к лучшему, ведь эволюция неизбежна.

Яника Мерило, советник министра инфраструктуры Украины, директор по инновациям при Львовском горсовете, президент UVCA

Я не считаю, что, по крайней мере, скоро мобильный ID может стать «цифровым паспортом». Не надо путать разные инструменты и цели. Важно создать как можно более широкий инструментарий — кому как удобно, тот тем и будет пользоваться. Но важно учесть, что BankID — не альтернатива MobileID, так как BankID не дает возможности дать цифровую подпись, а MobileID и ID-карта в перспективе дают, так как есть физический носитель ЭЦП.

MobileID важен для цифровой подписи и электронной идентификации, для получения электронных услуг. На днях в Раду подали законопроект, который создал бы возможность использовать ЭЦП не только на флешке в налоговой, как сегодня, но и, например, через SIM мобильного телефона. Такой инструмент создаст условно говоря возможность подписать любой документ за 10 секунд через мобильный телефон независимо от местонахождения, а также в перспективе возможность получить любую госуслугу через мобильный телефон.

У нас сегодня намного больше пользователей мобильных телефонов, чем интернет-банкинга, хотя меньше 10% этих пользователей идентифицированы. С другой стороны, на примере Эстонии можем сказать, что MobileID пользуется только 10% населения, но цифровой подписью при помощи ID-карты — почти 100% взрослого населения. Есть и другой пример — Азербайджан, где государство поддерживает развитие MobileID и большинство предпочитают его для декларации налогов. Так что многое зависит и от законодательства, и от подхода, которое государство выберет.

Советник мэра Киева Юрий Назаров

Я не хотел бы сравнивать MobileID, BankID и ЭЦП, потому что это несравнимые вещи. У каждой из них есть свои недостатки. Все способы авторизации, которые есть в Украине являются частными случаями каких-то систем. В частности, BankID — это производная функционирования этого банка и взаимодействия с гражданами. Какие-то ведомственные механизмы авторизации ограничены узким кругом историй взаимодействия гражданина и этой организации. Обычно эти истории носят локальный несистемный характер.

Например, вы пришли в банк, оформили какой-то договор, в банке записали ваши данные и в дальнейшем используют их. Поддержка актуальности этих данных банку не очень важна — они не узнают о том, что вы, например, переехали, у вас изменилась прописка. И передача такой информации другим организациям при идентификации пользователя, соответственно, будет не совсем правдива.

Эта проблема присуща и другим сервисам, где информация собирается не системно. Когда украинские чиновники начинают обсуждать единый реестр граждан, начинается бурная дискуссия. На самом деле использовать разные виды источников — не лучшая практика. Ни к чему хорошему это не приведет.

В развитых странах к вопросу идентификации граждан подходят так: государство должно обеспечить не просто учет граждан, но эффективно взаимодействовать с ними. Для этого нужно поддерживать актуальность информации, хотя бы контактной. В той же Эстонии, Финляндии и многих других странах есть понятие государственной электронной идентификации. Например, CardID — это аналог электронной идентификационной карты, которую сейчас внедряет Украина. Но к сожалению в ближайшие несколько лет большинство граждан не будут иметь такие карты — это длительный процесс.

Технология MobileID привязана к телефонам, точнее SIM-картам. В них вшивается специальная программа, которая идентифицирует граждан. У технологии MobileID есть большая проблема — это платно. Операторы должны выдать абонентам специальные карты, обслуживание которых будет происходить через SMS-сообщения, что тоже стоит денег. Например, в Эстонии MobileID обходится каждому гражданину $1 в месяц. В Украине, думаю, это будет стоить не менее 10 грн. Соответственно, операторам это не очень интересно. В Эстонии MobileID используют порядка 10% граждан, а CardID — 90%.

В Украине логично использовать какие-то государственно подтвержденные средства идентификации, а существующие реестры использовать в комплексе, то есть синхронизировать данные на всех текущих технологиях. Мы планируем построить единую государственную сеть, в которой будет вся актуальная информация о гражданах, и сейчас прорабатываем ее концепцию, занимаемся вопросами правового обеспечения такой структуры и разрабатываем практическую реализацию. Это будет верхнеуровневая авторизация гражданина. А номер мобильного, IMEI или номер банковского счета — все это информация, которая будет входить в общий массив. MobileID, BankID и другие системы верификации будут для этой системы источником вторичных данных.

Роман Химич, телеком-эксперт, руководитель группы Netton.Telecom

Последние несколько лет в Украине имеет место эпидемия мошенничеств, в которых так или иначе обходятся или даже эксплуатируются методы идентификации пользователей средствами мобильной связи. В первую очередь речь идет об SMS-авторизации, которая проявила как весьма уязвимая для атак. Существуют две наиболее популярных стратегии атаки: получение у оператора дубликата SMS-карты, на которую завязаны атакуемые сервисы, и социальная инженерия (так называемый «развод на доверии»).

В силу того, что в Украине услуги предоплаченной связи по-прежнему не предполагают идентификации пользователя, в большинстве случаев есть возможность посредством тех или иных ухищрений заполучить дубликат чужой SIM-карты. MobileID несколько более защищен от такого рода атак, но по-прежнему беспомощен в ситуациях, когда злоумышленники получили физический доступ к телефону или же вошли в доверие к жертве, и она сама выбалтывает необходимую информацию.

До тех пор, пока остается возможность использовать (получать, восстанавливать и т.д.) без надлежащей идентификации номера мобильной связи, используемые для авторизации в сторонних сервисах, подобные рода способы будут оставаться уязвимыми.

Что касается BankID здесь, с одной стороны, имеет место более логичная модель. Предполагается, что вопросы надежности, устойчивости к атакам и т.п. банки как-то решают и решают более-менее успешно. Поэтому можно надстраивать над их системами идентификации и другие системы такого рода. С другой стороны если в банковской системе есть изъян, брешь, связанная, например, с той же SMS-авторизацией, тогда под угрозой оказывается и завязанный на него BankID.

В целом биометрия в сочетании с механизамами анализа поведения представляется мне единственным по-настоящему надежным и удобным средством идентификации. К этому все и придет в течении нескольких лет.

Алексей Выскуб, заместитель главы Государственного агентства по вопросам электронного управления Украины

Одним из приоритетов агентства является развитие удобных, доступных и безопасных средств электронной идентификации. Сегодня это один из главных барьеров на пути развития массовых электронных сервисов как в сфере G2C, так и B2C. Поэтому мы активно поддерживаем развитие и легализации BankID и MobileID, а также реформирование инфраструктуры открытых ключей в Украине.

Лично я считаю MobileID наиболее перспективной технологией с точки зрения той огромной роли, которые смартфоны отыгрывают и будут отыгрывать в жизни человека. По сути MobileID — это та же ЭЦП, только на Sim-карте, в защищенном месте и под рукой у пользователя. Именно эта технология сможет обеспечить необходимый рывок на цифровом рынке.

Безусловно, внедрение MobileID требует огромных усилий как со стороны операторов по реализации соответствующего инвестиционного проекта, так и со стороны органов власти в нормативно-правовом обеспечении. Мы активно работаем с наиболее подготовлеными операторами и сейчас находимся на этапе проектирования пилотного проекта. Уже в августе-сентябре мы планируем показать первые результаты как в коммерческой сфере для товарных накладных, так и в государственной сфере (кейс определяется). Проблем и вызовов много, начиная от криптостандарта, который будем применять, и заканчивая наложение ЭЦП на документ с помощью телефона.

Касательно ЭЦП, то основными проблемами сегодня принято считать ее низкую распространенность среди населения из-за неудобства. Носитель зачастую никак не защищен, есть отдельные нюансы интероперабельности и отсутствие гармонизированных мировых стандартов.

BankID также перспективная технология, однако в сегодняшнем применении она имеет более низкий уровень гарантии, чем MobileID, не позволяет создавать электронные документы. Иными словами не может быть применена ко всем электронным сервисами, а лишь к наименее некритичным. Кроме того, большим вопросом остается актуальность информации о гражданах в банках и ее качества.

В некоторых странах пошли дальше, объединив технологии в MobileBankID, как, например, в Норвегии, что также имеет большую перспективу.

Надеюсь, что в ближайшие месяцы мы сможем сравнить эти технологии уже в реальности и дать новую оценку их перспективности в Украине. В любом случаем, то, что сегодня мы не просто говорим, а уже делаем конкретные шаги по реализации этих технологий – является хорошим прогрессом.