BIS Journal №3(42)/2021

5 августа, 2021

«Концепция суверенной идентичности вселяет надежду»

Безусловно, данные граждан представляют ценность как с точки зрения широких возможностей их использования в мошеннических целях, так и для различных рекламно-маркетинговых компаний для навязывания различного рода коммерческих услуг.

Поэтому им должна быть обеспечена надёжная защита. Пожалуй, не менее важными, чем утечки, являются такие задачи, как обеспечение целостности и доступности данных. Например, если хранящиеся в государственных информационных системах данные гражданина окажутся на какое-то время недоступными или и вовсе повреждёнными, то этот гражданин потом замучается бегать и доказывать, что он — это он. Он просто не сможет получить необходимые госуслуги. И тут многое зависит от того, насколько надёжную защиту этим данным обеспечат госорганы – операторы этих данных.

Что касается утечек конфиденциальных данных с промышленных предприятий, подобные инциденты несут серьёзную угрозу сразу большому числу граждан. Как минимум упрощают реализацию хакерской атаки на промышленный объект, от которой могут пострадать жители близлежащих населённых пунктов. А если речь об оборонном предприятии, то возникает угроза и для всей страны, вплоть до снижения её обороноспособности.

Мы уже живём в цифровом мире, наполненном разнообразными техническими средствами контроля. Системы защиты от утечек данных, контроля доступа, видеонаблюдения и т. п. используются повсеместно. Но обрабатывать весь объём информации, которая снимается с приборов, с помощью человеческих ресурсов невозможно, для этого применимы лишь технические средства контроля. Стоит подчеркнуть, что этический момент здесь присутствует незначительно — он касается тех немногих специалистов, которые настраивают систему контроля и с ней работают, то есть потенциально имеют доступ к личной информации сотрудников. Однако в крупных организациях осуществлять тотальное наблюдение за каждым сотрудником в режиме 24/7 никто не будет, поскольку это слишком ресурсоёмкая задача. Поэтому я считаю, что технических средств вполне достаточно для решения задачи защиты от утечек данных.

Другой вопрос – какая технология наилучшим образом сможет решить задачу защиты ПД в информационных системах. Относительно идеи выделить суперзащищённое хранилище персональных данных и предоставлять всем заинтересованным структурам доступ к ним через некий виртуальный идентификатор – я считаю, что пока такая схема нереализуема. По крайней мере, на данном этапе развития технологий.

Приведу пример. Допустим, в организации есть хранилище, с которого снимается некий отпечаток, и с ним работают сотрудники. Но если этот отпечаток доступен сотруднику, значит, теоретически он может эти данные слить. Конечно, данные могут быть обезличены, тогда их утечка не страшна, но в таком случае большинство операций, связанных с идентификацией граждан, например банковские операции, с такими данными производить будет уже нельзя. Анонимизация данных применима лишь для узкого спектра задач, например проведения маркетинговых исследований, рекламных кампаний и т. п.

Правда, недавно возникла новая концепция суверенной идентичности (Self-sovereign identity, SSI), которая развивается в рамках блокчейн-технологий. Её смысл заключается в том, что пользователь сам владеет своими данными и сам предоставляет их тому, кому считает нужным, а также подтверждает их подлинность для верификации третьей стороной. В такой концепции пользователь лично отвечает за безопасность данных и может, например, продать свои данные рекламному агентству. Теоретически в результате реализации данной концепции или чего-то похожего можно будет минимизировать утечки баз, содержащих персональные данные.

Смотрите также