3.4. Электронные подписи и биометрия

Простая электронная подпись

Фактор знания («то, что знаю») лежит в основе такого реквизита электронного документа, как простая электронная подпись. Простой электронной подписью признается цифровая информация, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Для ее создания достаточно ввода логинов и паролей или использования кода подтверждения, отправленного в СМС.

Наибольшее распространение имеют простые электронные подписи в виде  паролей – сохраняемых в секрете последовательности символов. Они могут быть выбраны самим пользователем, сгенерированы программными или аппаратными средствами, либо назначены администратором информационной системы. Пароли удобны в повседневном использовании, но им присущи очевидные слабости. Они состоят в возможности разгадывания паролей, их перехвате при анализе сетевого трафика, выдачи самим пользователем в результате социального инжиниринга. В 2021-2022 гг. 73% атак, связаны с компрометацией данных пользователей — логинов и паролей — через фишинг или службы удаленного доступа[1]. Негативные последствия использования паролей состоят также в возможности блокирования работы системы как реакции на многократный ввод неправильного пароля.

В какой-то мере слабости многоразовых паролей можно устранить путем увеличения числа и вида символов, их которых они составлены. Даже при использовании только символов латинского алфавита время разгадывания пароля из 8 знаков в 3000 раз больше, чем из 6 знаков. Пароль, состоящий из 8 знаков, среди которых есть прописные и строчные буквы, цифры и дополнительные символы, на компьютере со средними параметрами может быть разгадан лишь за 57 лет непрерывной работы[2].

Простые электронные подписи могут использоваться для аутентификации лица как в существующих информационных системах, так и без них.

Например, простая электронная подпись используется получении государственных и муниципальных услуг в государственной информационной системе документооборота на сайте gosusugi.ru. Оператор информационной системы по запросу пользователя создает и передает ему ключ простой электронной подписи. Ключом является сочетание 2 элементов — идентификатора (логина) и пароля. По общему правилу идентификатором является СНИЛС заявителя, а паролем ключа — секретная последовательность символов. Согласно Федеральному закон «Об организации предоставления государственных и муниципальных услуг» ключи простых электронных подписей для доступа к госуслугам должны предоставляться бесплатно. Приведенный пример простой электронной подписи для доступа к государственным и муниципальным услугам показывает возможность их использования в уже существующей информационной системе.

Возможно использование простой электронной подписи и вне информационной системы. Участники электронного взаимодействия могут заключить соглашение о том, что получение электронного сообщения с определенного адреса электронной почты будет считаться подписанием документа простой электронной подписью. Секретным ключом такой электронной подписи будет пароль к электронному почтовому ящику, ключом проверки электронной подписи – адрес электронной почты. Практика заключения соглашений об использовании простой подписи распространена, например, в сфере потребительского кредитования, когда банк и клиент договариваются об электронном взаимодействии путем заполнения электронных форм на сайте банка. Они приобретают статус электронных документов в результате ввода кодов, направленных клиенту посредством СМС-сообщений.

Достоинство простой электронной подписи состоит в простоте ее использования, а недостаток — в том, что с ее помощью можно подтвердить лишь факт подписания документа определенным лицом. Она не обеспечивает подлинность данных, то есть не гарантирует, что после подписания электронного документа в него не были внесены изменения. В связи с этим сфера применения простой электронной подписи ограничена. Она признается аналогом собственноручной подписи, только если это прямо предусмотрено нормативным правовым актом, нормативным актом Банка России или соглашением лиц, которые собираются обмениваться электронными документами. Например, возможность использования простой электронной подписи для придания электронному документы юридической силы предусмотрена при страховании гражданской ответственности владельцев транспортных средств[3].

Сравнительно низкий уровень защиты информации при использовании простой электронной подписи объясняет то, что она не может быть использована для аутентификации при направлении документов в налоговые органы, для регистрации юридических лиц и индивидуальных предпринимателей, в суды, для участия в электронных торгах. Также не допускается использование простой электронной подписи для подписания документов, содержащих сведения, составляющие государственную тайну.

Усиленные электронные подписи

Для более надежного определения принадлежности информации используются усиленные электронные подписи. От простой подписи усиленную отличают обязательное наличие

  • закрытого (секретного) ключа электронной подписи (уникальной последовательности символов, предназначенной для создания электронной подписи);
  • открытого ключа проверки электронной подписи (уникальной последовательности символов, предназначенной для проверки подлинности электронной подписи);
  • сертификата ключа проверки электронной подписи.

Сертификат — электронный документ или документ на бумажном носителе, выданный специальной уполномоченной организацией – удостоверяющим центром. Он подтверждает принадлежность ключа проверки электронной подписи ее владельцу. Удостоверяющий центр выдает сертификат только после установления личности обратившегося за ней.

Ключи и сертификат усиленной электронной подписи состоят из длинных последовательностей символов, которые практически невозможно запомнить. Как правило, они передаются на материальном носителе, чаще всего на USB-устройстве. Это означает, что усиленные электронной подписи используют для аутентификации фактор владения. При применении усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия. О нарушении конфиденциальности ключа электронной подписи необходимо уведомить удостоверяющий центр и иных участников электронного взаимодействия в течение не более чем одного рабочего дня со дня получения информации о таком нарушении.

В зависимости от степени защищенности выделяют квалифицированные и неквалифицированные электронной подписи. Для неквалифицированной электронной подписи сертификат ключа проверки может не создаваться либо он может быть создан удостоверяющим центром, не имеющим государственной аккредитации. Поэтому электронный документ, подписанный усиленной неквалифицированной подписью, как и в случае применения простой электронной подписи, имеет юридическую силу, только если это прямо предусмотрено нормативным правовым актом или соглашением сторон. На практике неквалифицированная ЭП используется реже других видов. Она удобна для идентификации участников внутреннего документооборота в крупных организациях, а также может быть использована для подачи электронных документов в налоговый орган через личный кабинет налогоплательщика на сайте ФНС России.

Одним из требований, которым должна соответствовать квалифицированная электронная подпись, является получение  квалифицированного сертификата. Он подтверждает, что ключ такой электронной подписи принадлежит его владельцу и выдается только аккредитованным удостоверяющим центром или Минцифры. По состоянию на начала 2023 года в России аккредитованы 42 удостоверяющих центра, лидеры по количеству выданных сертификатов — удостоверяющие центры Федеральной налоговой службы и федерального казначейства.  Перечень аккредитованных удостоверяющих центров доступен на сайте Минцифры России[4].

Информация, подписанная усиленной квалифицированной электронной подписью, в большинстве случаев признается электронным документом юридически равнозначным документу на бумажном носителе с собственноручной подписью и печатью. Такой документ может применяться в любых правоотношениях – при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. Исключение составляют случаи, когда нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе. Усиленная квалифицированная электронная подпись широко используется для направления документов в органы публичной власти, суды, а также в гражданском обороте.

С 2022 года граждане России могут получить сертификат электронной подписи и подписывать документы в мобильном приложении Госключ. Сертификат усиленной неквалифицированной электронной подписи могут получить все, у кого есть подтверждённая учётная запись на Госуслугах с возможностью аутентификации по номеру мобильной связи. Для получения сертификата усиленной квалифицированной электронной подписи необходим загранпаспорт нового образца и смартфон с NFC-модулем. В приложении можно подписывать документы, совершать сделки и другие юридически значимые действия на портале государственных услуг и на коммерческих площадках, интегрированных с Госключом. Функционал приложения реализуется постепенно — с 2022 года оно позволяет подтверждать учётную запись на маркетплейсах. Также с его помощью можно удаленно подписать договор на покупку товаров или услуг.

Биометрия

Фактор аутентификации «то, чем являюсь» используется для наиболее надежной идентификации и аутентификации лица на основе его биометрических показателей. Определение биометрических персональных данных дано в ст. 11 Федерального закона «О персональных данных» – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

На практике для биометрии могут использоваться как физиологические и биологические данные человека (отпечатки пальцев, 3D-модель лица, код ДНК, ладонь руки, сетчатка глаза, запах, голос), так и поведенческие характеристики (походка, речь), а также их сочетания.

Биометрическая идентификация теоретически возможна и без применения цифровых технологий. Например, начиная с 1970-х годов, Народная полиция Восточной Германии разработала метод распознавания запахов, при котором запахи тела подозреваемых и обвиняемых лиц собирались и сохранялись. Для этого использовались стерильные салфетки, которые хранились в герметичных банках. Поскольку технологий оцифровки запахов тогда еще не было, для их распознавания применялись «аналоговые» средства — специально обученные собаки-дифференциаторы[5]. Следы запаха могли быть «либо взяты непосредственно с частей тела подозреваемого, либо конспиративно закреплены на предметах одежды, которые они носили, или на предметах, к которым они прикасались[6]. При этом  запахи не использовались в качестве доказательства. В документе Штази говорится, что дифференциация запахов подходит только «для сужения группы подозрительных лиц».

Сегодня в мире применяются в основном пять типов биометрии (модальности): отпечаток пальца, изображение или 3D-модель лица, звук голоса, радужная оболочка глаза и рисунок вен ладони. Особенностью  биометрической идентификации на основе цифровых технологий является высокая степень достоверности определения лица и невозможность быстрой смены данных, используемых для аутентификации.

В настоящее время в России по инициативе Министерства связи и массовых коммуникаций, а также Центрального банка создается Единая биометрическая система. Пока в ней размещаются только данные изображения лица человека и данные его голоса. Они используются не по отдельности, а вместе. Идентификация человека и размещение сведений в Единой биометрической системе производится государственными органами и банками при личном присутствии физического лица с его согласия и на безвозмездной основе. Также законом допускается удаленный сбор биометрической информации с помощью мобильных устройств, например, смартфонов с установленным приложением банка или оператора Единой биометрической системы.

Оператором Единой биометрической системы назначено ПАО «Ростелеком». Оно обеспечивает сбор, обработку, хранение биометрических данных и проверку их соответствия сданным образцам. Важно, что Ростелеком вправе передавать биометрические данные другим лицам. В частности, они передаются коммерческим банкам для удаленной идентификации граждан при оказании банковских услуг.

Чувствительность биометрических данных означает необходимость их особой защиты. Ст. 11 Закона о персональных данных предусматривает, что обработка биометрических данных возможна только при условии получения письменного согласия гражданина. Однако п.5 ст. 14.1 Закона об информации допускает, что при формировании Единой биометрической системы оно может быть дано и в форме электронного документа, подписанного простой электронной подписью. Такое согласие признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью данного физического лица[7]. Это существенно упрощает задачу операторов единой биометрической системы, но создает потенциальные риски для граждан.

Во-первых, несмотря на формально добровольный характер регистрации человека в Единой биометрической системе, он может быть фактически принужден к ней. При формальном равноправии, государство и кредитные учреждения обладают несопоставимо большими экономическими возможностями, чем гражданин. Оператор Единой биометрической системы специально подчеркивает, что граждане, зарегистрированные в ней, получат доступ к лучшим предложениям на рынке[8]. Значит граждане, не сдавшие биометрию могут быть дискриминированы. С учетом нестабильного имущественного положения значительной части граждан России, краткосрочная выгода от передачи своих биометрических данных может иметь для них решающее значение. Поэтому неизбежное внедрение биометрических технологий в сферу реализации прав личности должно сопровождаться мерами, направленными на защиту гражданина как слабой стороны, имеющей гораздо меньше реальных возможностей, чем его корпоративные контрагенты.

C точки зрения цифровой этики принципиальную важность приобретает правило взаимной идентификации – если гражданин идентифицировал себя во взаимоотношениях с корпоративным субъектом, он должен иметь право и реальную возможность получить достоверную информацию о лице, действующем от имени корпорации. Это правило приобретает особую значимость в условиях, когда от имени корпорации может выступать не человек, а система искусственного интеллекта. В законодательстве России это правило пока не реализовано.

Также гражданин должен получить юридические гарантии того, что отказ от представления биометрических данных не приведет к ухудшению его положения по сравнению с другими потребителями коммерческих и государственных услуг. На обеспечение таких гарантий направлен Федеральный закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…”  от 29.12.2022 № 572-ФЗ, вступивший в силу в конце 2022 года. Он формально запрещает биометрическую дискриминацию — гражданам, которые не хотят сдавать биометрические данные, не должны отказать в услугах, в том числе государственных и муниципальных. При этом заметно стремление отдельных органов исполнительной власти “мотивировать” граждан к сдаче биометрических данных аргументами об ускоренном или более удобном представлении отдельных государственных услуг[9].

Вторая угроза, возникающая в результате широкого распространения биометрической идентификации состоит в том, что физиологические, биологические и поведенческие характеристики человека могут использоваться с целями, на которые он не давал согласия. К примеру, биометрическая информация может быть использована для определения политических предпочтений гражданина. Результаты исследования, проведенного в 2020 году, показывают, что технология распознавания лиц может эффективно применяться для выявления политической ориентации человека. Обученный алгоритм распознавания лиц  правильно определяет политическую ориентацию в 72% случаев. Этот результат значительно лучше случайности (50%), точности определения человеком (55%) или в результате социологического опроса, которая составляет 66%. Точность была одинаковой для разных стран (США, Канада и Великобритания), технологических платформ сред (Facebook, сайты знакомств) и оставалась высокой (69%) независимо от возраста, пола и этнической принадлежности определяемого лица[10].

[1] https://www.comnews.ru/content/222100/2022-09-09/2022-w36/identifikacii-i-autentifikacii-propisali-standart

[2] Олифер В.Г., Олифер Н.А. Компьютерные сети. Принципы, технологии, протоколы. Учебник для вузов / В.Г. Олифер, Н.А. Олифер / — Питер, 2019 г. — С. 786.

[3] Указание Банка России от 14.11.2016 № 4190-У (ред. от 15.07.2021) «О требованиях к использованию электронных документов и порядке обмена информацией в электронной форме при осуществлении обязательного страхования гражданской ответственности владельцев транспортных средств».

[4] Аккредитация удостоверяющих центров. — URL: https://digital.gov.ru/ru/activity/govservices/2/ (дата обращения: 01.02.2022).

[5] Kristie Macrakis: Die Stasi-Geheimnisse: Methoden und Technik der DDR-Spionage. Herbig 2009, ISBN 978-3776625929, S. 371ff.

[6] Wörterbuch der Staatssicherheit. GVS JHS 001-400/81, herausgegeben vom BStU 1993, S. 137.

[7] Распоряжение Правительства РФ от 30.06.2018 № 1322-р (ред. от 20.10.2021) «Об утверждении формы согласия на обработку персональных данных, необходимых для регистрации гражданина Российской Федерации в единой системе идентификации и аутентификации, и биометрических персональных данных гражданина Российской Федерации в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации» // СЗ РФ. – 2018. – 9 июля. — № 28.

[8] Единая биометрическая система. – URL: https://bio.rt.ru/citizens/ (дата обращения: 01.02.2022).

[9] Госуслуги поворачиваются лицом к биометрии // https://www.kommersant.ru/doc/5171552?from=doc_vrez

[10] Kosinski M. Facial recognition technology can expose political orientation from naturalistic facial image / M. Kosinski / Nature.com. – URL: https://www.nature.com (дата обращения: 15.05.2022).