«Исключить риск утечек можно». Примеры — «Госуслуги», ДЭГ и ЦПРР ФНС России

BIS Journal №4(51)2023

18 октября, 2023

«Исключить риск утечек можно». Примеры — «Госуслуги», ДЭГ и ЦПРР ФНС России

Передача персональных данных (ПД) во внешние информационные системы используется во многих отраслях экономики. В первую очередь стоит упомянуть федеральные проекты, где ключевую позицию занимает сервис госуслуг.

Трудовая, экономическая, социальная, медицинская и другие сферы охватываются здесь в режиме одного окна. Но за единым интерфейсом скрывается множество различных процессов, связанных с передачей данных граждан. Как показывает практика, основной риск здесь представляет не уязвимость систем, а недостаточная осведомлённость граждан — конечных пользователей — в вопросах информационной безопасности. Поэтому каких-либо массовых прецедентов, связанных с неправомерным использованием данных, мы тут не наблюдали. 

Вопрос передачи ПД во внешние информационные системы становится менее острым в силу того, что информационные системы, по крайней мере те, что работают с персональными данными, становятся всё более масштабными, всеохватывающими. Современные технологии, в том числе блокчейн и криптография, позволяют создавать информационные системы федерального масштаба, безопасность которых можно обеспечить уже на архитектурном уровне, за счёт тщательной настройки прав доступа и внутренней логики. В таких условиях теряет актуальность само понятие «внешняя информационная система»: нет передачи данных — нет рисков.

 

ПОДХОДЫ К ОБЕЗЛИЧИВАНИЮ ПД

Правила обращения с ПД в России предписаны сразу несколькими законодательными актами. Помимо профильного 152-ФЗ «О персональных данных», действуют 98-ФЗ «О коммерческой тайне» и 395-ФЗ «О банковской тайне». Кроме того, процессы могут регулироваться внутренними требованиями компании, например службой ИБ. 

Обезличивание персональных данных можно осуществлять различными способами, но на практике чаще других применяют следующие.

  • Использование идентификаторов — предполагает замену данных условными обозначениями. С этой целью оформляют таблицу идентификаторов, которую применяют в дальнейшем для расшифровки.
  • Замена семантики — заключается в изменении либо обобщении информации, не несущей практической пользы для компании. Как вариант, её могут заменить статистическими сведениями. 
  • Декомпозиция — большой объём данных разделяют на отдельные части таким способом, чтобы каждый блок по отдельности не имел практической ценности.
  • Перемешивание сведений — подразумевает такой вариант перестановки информации, чтобы полученный результат не позволял её идентифицировать.

Существует ряд технических решений, которые позволяют обезличить персональные данные с применением технологии искусственного интеллекта. Большое количество коммерческих ИТ-компаний и банков предоставляют инструменты подобного рода. Большой популярностью пользуется технология гомоморфного шифрования, которая позволяет передавать зашифрованные данные для их последующей обработки непосредственно в зашифрованном виде.

 

КРУПНЫЕ ПРОЕКТЫ С ОБЕЗЛИЧИВАНИЕМ ПД

Один из масштабных проектов, связанных с персональными данными, — федеральная система дистанционного электронного голосования (ДЭГ), которую наша компания совместно с ПАО «Ростелеком» разрабатывает по заказу ЦИК РФ. И в этом году голосование в регионах России уже в четвёртый раз проводилось на основе технологий блокчейна и криптографии. Система разработана таким образом, что участие в дистанционном голосовании не может создать никаких дополнительных рисков утечки данных. Как это реализовано?

После авторизации на портале Госуслуг избиратель перенаправляется в анонимную зону голосования, где идентификация осуществляется по открытому ключу. Установить связь между конкретным пользователем и его открытым ключом не может ни одна сторона, даже Web3 Tech — разработчик системы, полностью обеспечивающий реализацию блокчейн-инфраструктуры. При этом в анонимном контуре каждый идентификатор связан с собственным ключом и слепой подписью — эти механизмы обеспечивают невозможность подтасовки результатов голосования и деанонимизацию избирателя на стороне оператора системы (рис. 1). Это также необходимая мера.

Рисунок 1. Федеральная блокчейн-система ДЭГ

 

Также мы развиваем вектор работы с персональными данными и в рамках другого проекта — цифровой платформы распределённого реестра (ЦПРР) ФНС России. В настоящее время на этой платформе запущен проект кредитных досье — единой базы документации налогоплательщиков, предоставляемой участникам платформы, операторам ЭДО и кредитным организациям.

Персональные данные входят здесь в закрытую часть профилей налогоплательщика и могут быть предоставлены организациям только по его согласию — в виде электронного разрешения, подписанного УКЭП (усиленной квалифицированной электронной подписью). Сами эти данные передаются через приватное хранилище по защищённому каналу напрямую между налогоплательщиком и организацией, которой он согласился предоставить эти данные (рис. 2).

Рисунок 2. ЦПРР ФНС: крупнейшая госкорпоративная блокчейн-сеть РФ

 

ГОМОМОРФНОЕ ШИФРОВАНИЕ

Технология гомоморфного шифрования — важная часть наших проектов, как вышеупомянутой федеральной системы электронного голосования, так и сервиса для блокчейн-голосований WE.Vote. Здесь гомоморфное шифрование позволяет подсчитывать голоса прямо в зашифрованном виде, то есть полностью обеспечить тайну голосования. А расшифровке подвергаются уже готовые результаты.

Сам по себе термин «гомоморфное шифрование» означает, что с зашифрованным текстом мы можем проводить определённые математические действия, результат которых будет точно соответствовать результату тех же действий, проведённых на открытых данных. Гомоморфность — одно из свойств криптографических систем, в том числе криптосистемы Эль-Гамаля на эллиптических кривых, которая применяется у нас. Она же, кстати, используется и в актуальном в РФ криптографическом стандарте цифровой электронной подписи ГОСТ 34.10-2018.

Федеральное электронное голосование проходит в течение строго ограниченного периода времени, по истечении которого приём голосов сразу прекращается. С этого момента и до получения зашифрованных итогов все операции с голосами осуществляются в зашифрованном виде.

Сначала с помощью технологии Zero-knowledge Proof (доказательства с нулевым разглашением) все бюллетени проверяются на корректность заполнения. Это необходимо для защиты бюллетеня от компрометации с помощью изменения бюллетеня и отправки невалидных данных. Технически это очень сложная схема, но и она благодаря доказательствам с нулевым разглашением не сможет повлиять на ход голосования.

Затем с помощью гомоморфного шифрования происходит сложение всех бюллетеней, в результате чего получается зашифрованная сумма всех голосов. Для расшифровки суммы голосов используется закрытый ключ голосования — исключительно с его помощью можно расшифровать результаты, зашифрованные парным ему открытым ключом.

Кроме того, в процессе подготовки к голосованию закрытый ключ разделяют и каждую часть передают на хранение ответственным лицам — представителям политических партий и общественных движений — на отдельных носителях. После голосования этот ключ вновь собирают, чтобы расшифровать итоги электронного голосования.

Работа с голосами в зашифрованном виде предоставляет ещё одно важное преимущество — возможность сторонним наблюдателям отслеживать весь процесс подсчёта. Начиная с выборов 2021 г. на основе открытого исходного кода мы предлагаем специальный инструмент, который со стороны может проверить ход обработки зашифрованных голосов и убедиться в отсутствии фальсификаций на этом этапе. Этот инструмент, доступный на разных платформах, был успешно протестирован независимыми наблюдателями; отчёты можно легко найти в Сети.

Аналогичным образом технологии гомоморфного шифрования реализованы и в нашем сервисе WE.Vote — готовом решении для электронных голосований и опросов разного уровня. При выполнении всех требований к безопасности и тайне голосования WE.Vote способен реализовать не только стандартные голосования со сложением голосов, но и более сложные схемы: весовые голосования, мажоритарные, с решающим голосом. Такая гибкость делает сервис подходящим для множества сценариев. Например, с его помощью ряд ведущих вузов России проводит голосования по присуждению учёных степеней, поскольку регламент работы WE.Vote полностью соответствует всем требованиям ВАК (Высшей аттестационной комиссии) в этой сфере.

 

ОГРАНИЧЕНИЯ В ПРИМЕНЕНИИ

Основные ограничения в применении гомоморфного шифрования связаны с высокими требованиями к вычислительной инфраструктуре, так как операции над зашифрованными данными требуют больше ресурсов, чем аналогичные операции над незашифрованными данными. Поэтому гомоморфное шифрование едва ли подходит для сценариев, где нужно обеспечить обработку в реальном времени или высокую пропускную способность. Это ограничение учтено, кстати, и в проекте федерального ДЭГ: гомоморфное шифрование вступает в дело строго после получения и проверки зашифрованных бюллетеней на валидность.

Таким образом, можно сказать, что не существует каких-либо данных, которые не поддаются гомоморфному шифрованию в принципе, но на практике всегда нужно учитывать, сможет ли ваша инфраструктура таким образом обработать все необходимые данные за нужное время. Без нагрузочного тестирования здесь не обойтись.

Стоит отметить, что в составе конкретной криптографической системы гомоморфное шифрование может работать в ограниченном режиме, то есть поддерживать не все, а только некоторые операции с зашифрованным текстом, например сложение или умножение. Это приводит к ряду ограничений в реальных проектах.

Ещё одна важная особенность гомоморфного шифрования — недостаточная стандартизация этой сферы. С 2017 г. этим занимается консорциум в составе нескольких крупнейших западных ИТ-компаний, и актуальная версия опубликованного ими стандарта датируется аж 2018 годом… Недостаток стандартизации приводит к отсутствию универсальных подходов и инструментов в этой сфере, но одновременно с этим открывает возможности для энтузиастов.

В целом для того, чтобы работа по обезличиванию передаваемых данных давала отличный результат, необходима уверенность в безопасности канала передачи данных, а значит, должны использоваться специальные инструменты для обеспечения безопасности, такие как использование протокола TLS при передаче. Подобные решения существуют как в программном, так и в аппаратном исполнении. 

Также при передаче зашифрованных данных необходимо учитывать, что их объём в большинстве случаев будет больше, чем объём незашифрованных данных. А для обработки данных в зашифрованном виде с применением технологии гомоморфного шифрования потребуются гораздо большие вычислительные мощности и специальное программное обеспечение, требующее оптимизации под конкретные вычислительные задачи. 

 

Хотите поговорить об утечках информации? Приглашаем вас на конференцию «Защита данных: сохранить всё», которая пройдет 23 октября в Москве. Это первая в России конференция с фокусом на защите данных на всём их жизненном цикле: хранение, контроль доступа, обнаружение, инвентаризация, структурирование, передача. Организаторы — ГК «Гарда», Медиа Группа «Авангард» при поддержке ФСТЭК России.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

08.10.2024
Операторы связи начнут валидировать коммерческие спам-обзвоны
08.10.2024
YouTube не отдаёт свой контент потенциальным скрейперам
08.10.2024
ВТБ — о клиентском пути, «который изменит платёжный рынок страны»
08.10.2024
Консорциум исследователей ИИ расширяет состав участников
08.10.2024
Информационная безопасность в перспективе 5-7 лет: основные векторы развития (по Матвееву)
07.10.2024
«Восстановление займёт много времени». На ВГТРК кибернапали?
07.10.2024
О сертификации айтишников по версии АПКИТ
07.10.2024
МТС RED: Больше всего DDoS-атак досталось ИТ-сектору и транспорту
07.10.2024
Время уплаты налогов: как этим пользуются мошенники
07.10.2024
Беларусь оставила аналоговую подпись в соглашении о признании электронной

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных