Передача персональных данных (ПД) во внешние информационные системы используется во многих отраслях экономики. В первую очередь стоит упомянуть федеральные проекты, где ключевую позицию занимает сервис госуслуг.
Трудовая, экономическая, социальная, медицинская и другие сферы охватываются здесь в режиме одного окна. Но за единым интерфейсом скрывается множество различных процессов, связанных с передачей данных граждан. Как показывает практика, основной риск здесь представляет не уязвимость систем, а недостаточная осведомлённость граждан — конечных пользователей — в вопросах информационной безопасности. Поэтому каких-либо массовых прецедентов, связанных с неправомерным использованием данных, мы тут не наблюдали.
Вопрос передачи ПД во внешние информационные системы становится менее острым в силу того, что информационные системы, по крайней мере те, что работают с персональными данными, становятся всё более масштабными, всеохватывающими. Современные технологии, в том числе блокчейн и криптография, позволяют создавать информационные системы федерального масштаба, безопасность которых можно обеспечить уже на архитектурном уровне, за счёт тщательной настройки прав доступа и внутренней логики. В таких условиях теряет актуальность само понятие «внешняя информационная система»: нет передачи данных — нет рисков.
ПОДХОДЫ К ОБЕЗЛИЧИВАНИЮ ПД
Правила обращения с ПД в России предписаны сразу несколькими законодательными актами. Помимо профильного 152-ФЗ «О персональных данных», действуют 98-ФЗ «О коммерческой тайне» и 395-ФЗ «О банковской тайне». Кроме того, процессы могут регулироваться внутренними требованиями компании, например службой ИБ.
Обезличивание персональных данных можно осуществлять различными способами, но на практике чаще других применяют следующие.
Существует ряд технических решений, которые позволяют обезличить персональные данные с применением технологии искусственного интеллекта. Большое количество коммерческих ИТ-компаний и банков предоставляют инструменты подобного рода. Большой популярностью пользуется технология гомоморфного шифрования, которая позволяет передавать зашифрованные данные для их последующей обработки непосредственно в зашифрованном виде.
КРУПНЫЕ ПРОЕКТЫ С ОБЕЗЛИЧИВАНИЕМ ПД
Один из масштабных проектов, связанных с персональными данными, — федеральная система дистанционного электронного голосования (ДЭГ), которую наша компания совместно с ПАО «Ростелеком» разрабатывает по заказу ЦИК РФ. И в этом году голосование в регионах России уже в четвёртый раз проводилось на основе технологий блокчейна и криптографии. Система разработана таким образом, что участие в дистанционном голосовании не может создать никаких дополнительных рисков утечки данных. Как это реализовано?
После авторизации на портале Госуслуг избиратель перенаправляется в анонимную зону голосования, где идентификация осуществляется по открытому ключу. Установить связь между конкретным пользователем и его открытым ключом не может ни одна сторона, даже Web3 Tech — разработчик системы, полностью обеспечивающий реализацию блокчейн-инфраструктуры. При этом в анонимном контуре каждый идентификатор связан с собственным ключом и слепой подписью — эти механизмы обеспечивают невозможность подтасовки результатов голосования и деанонимизацию избирателя на стороне оператора системы (рис. 1). Это также необходимая мера.
Рисунок 1. Федеральная блокчейн-система ДЭГ
Также мы развиваем вектор работы с персональными данными и в рамках другого проекта — цифровой платформы распределённого реестра (ЦПРР) ФНС России. В настоящее время на этой платформе запущен проект кредитных досье — единой базы документации налогоплательщиков, предоставляемой участникам платформы, операторам ЭДО и кредитным организациям.
Персональные данные входят здесь в закрытую часть профилей налогоплательщика и могут быть предоставлены организациям только по его согласию — в виде электронного разрешения, подписанного УКЭП (усиленной квалифицированной электронной подписью). Сами эти данные передаются через приватное хранилище по защищённому каналу напрямую между налогоплательщиком и организацией, которой он согласился предоставить эти данные (рис. 2).
Рисунок 2. ЦПРР ФНС: крупнейшая госкорпоративная блокчейн-сеть РФ
ГОМОМОРФНОЕ ШИФРОВАНИЕ
Технология гомоморфного шифрования — важная часть наших проектов, как вышеупомянутой федеральной системы электронного голосования, так и сервиса для блокчейн-голосований WE.Vote. Здесь гомоморфное шифрование позволяет подсчитывать голоса прямо в зашифрованном виде, то есть полностью обеспечить тайну голосования. А расшифровке подвергаются уже готовые результаты.
Сам по себе термин «гомоморфное шифрование» означает, что с зашифрованным текстом мы можем проводить определённые математические действия, результат которых будет точно соответствовать результату тех же действий, проведённых на открытых данных. Гомоморфность — одно из свойств криптографических систем, в том числе криптосистемы Эль-Гамаля на эллиптических кривых, которая применяется у нас. Она же, кстати, используется и в актуальном в РФ криптографическом стандарте цифровой электронной подписи ГОСТ 34.10-2018.
Федеральное электронное голосование проходит в течение строго ограниченного периода времени, по истечении которого приём голосов сразу прекращается. С этого момента и до получения зашифрованных итогов все операции с голосами осуществляются в зашифрованном виде.
Сначала с помощью технологии Zero-knowledge Proof (доказательства с нулевым разглашением) все бюллетени проверяются на корректность заполнения. Это необходимо для защиты бюллетеня от компрометации с помощью изменения бюллетеня и отправки невалидных данных. Технически это очень сложная схема, но и она благодаря доказательствам с нулевым разглашением не сможет повлиять на ход голосования.
Затем с помощью гомоморфного шифрования происходит сложение всех бюллетеней, в результате чего получается зашифрованная сумма всех голосов. Для расшифровки суммы голосов используется закрытый ключ голосования — исключительно с его помощью можно расшифровать результаты, зашифрованные парным ему открытым ключом.
Кроме того, в процессе подготовки к голосованию закрытый ключ разделяют и каждую часть передают на хранение ответственным лицам — представителям политических партий и общественных движений — на отдельных носителях. После голосования этот ключ вновь собирают, чтобы расшифровать итоги электронного голосования.
Работа с голосами в зашифрованном виде предоставляет ещё одно важное преимущество — возможность сторонним наблюдателям отслеживать весь процесс подсчёта. Начиная с выборов 2021 г. на основе открытого исходного кода мы предлагаем специальный инструмент, который со стороны может проверить ход обработки зашифрованных голосов и убедиться в отсутствии фальсификаций на этом этапе. Этот инструмент, доступный на разных платформах, был успешно протестирован независимыми наблюдателями; отчёты можно легко найти в Сети.
Аналогичным образом технологии гомоморфного шифрования реализованы и в нашем сервисе WE.Vote — готовом решении для электронных голосований и опросов разного уровня. При выполнении всех требований к безопасности и тайне голосования WE.Vote способен реализовать не только стандартные голосования со сложением голосов, но и более сложные схемы: весовые голосования, мажоритарные, с решающим голосом. Такая гибкость делает сервис подходящим для множества сценариев. Например, с его помощью ряд ведущих вузов России проводит голосования по присуждению учёных степеней, поскольку регламент работы WE.Vote полностью соответствует всем требованиям ВАК (Высшей аттестационной комиссии) в этой сфере.
ОГРАНИЧЕНИЯ В ПРИМЕНЕНИИ
Основные ограничения в применении гомоморфного шифрования связаны с высокими требованиями к вычислительной инфраструктуре, так как операции над зашифрованными данными требуют больше ресурсов, чем аналогичные операции над незашифрованными данными. Поэтому гомоморфное шифрование едва ли подходит для сценариев, где нужно обеспечить обработку в реальном времени или высокую пропускную способность. Это ограничение учтено, кстати, и в проекте федерального ДЭГ: гомоморфное шифрование вступает в дело строго после получения и проверки зашифрованных бюллетеней на валидность.
Таким образом, можно сказать, что не существует каких-либо данных, которые не поддаются гомоморфному шифрованию в принципе, но на практике всегда нужно учитывать, сможет ли ваша инфраструктура таким образом обработать все необходимые данные за нужное время. Без нагрузочного тестирования здесь не обойтись.
Стоит отметить, что в составе конкретной криптографической системы гомоморфное шифрование может работать в ограниченном режиме, то есть поддерживать не все, а только некоторые операции с зашифрованным текстом, например сложение или умножение. Это приводит к ряду ограничений в реальных проектах.
Ещё одна важная особенность гомоморфного шифрования — недостаточная стандартизация этой сферы. С 2017 г. этим занимается консорциум в составе нескольких крупнейших западных ИТ-компаний, и актуальная версия опубликованного ими стандарта датируется аж 2018 годом… Недостаток стандартизации приводит к отсутствию универсальных подходов и инструментов в этой сфере, но одновременно с этим открывает возможности для энтузиастов.
В целом для того, чтобы работа по обезличиванию передаваемых данных давала отличный результат, необходима уверенность в безопасности канала передачи данных, а значит, должны использоваться специальные инструменты для обеспечения безопасности, такие как использование протокола TLS при передаче. Подобные решения существуют как в программном, так и в аппаратном исполнении.
Также при передаче зашифрованных данных необходимо учитывать, что их объём в большинстве случаев будет больше, чем объём незашифрованных данных. А для обработки данных в зашифрованном виде с применением технологии гомоморфного шифрования потребуются гораздо большие вычислительные мощности и специальное программное обеспечение, требующее оптимизации под конкретные вычислительные задачи.
Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача. Организаторы — ГК «Гарда», Медиа Группа «Авангард» при поддержке ФСТЭК России.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных