Электронные паспорта. Есть ли риск утечки персональных данных?
Автор статьи:
Гончаров Андрей Михайлович
Юрист в области информационной безопасностиЧто такое электронный паспорт
Электронный паспорт – новый документ, удостоверяющий личность, который Правительство РФ планирует в ближайшем будущем ввести повсеместно.
Система перехода на электронную форму предполагает облегчённое пользование всеми документами, возможность получать государственные услуги благодаря чипированной пластиковой карте.
Проект Федерального закона Российской Федерации “Об основном документе, удостоверяющем личность гражданина Российской Федерации” опубликован 29 января 2013 г.
В этом проекте главным аспектом является смена главного документа, удостоверяющего личность с бумажного носителя на идентификационную карту с электронным носителем информации с персональными данными владельца, включая биометрические персональные данные, зафиксированные на ней в визуальной и электронной форме и позволяющей идентифицировать личность ее владельца. Так же будет электронная подпись владельца и код доступа к цифровому профилю.
Планируется, что в начале карточка объединит в себе паспорт, СНИЛС и водительские права, что и является главным риском утечки данных.
Получается, что если злоумышленник завладеет аутентификационными данными к электронному паспорту, а фактически это пластиковая карта с предполагаемой технологией Mobile ID, к которой привязана вся информация о человеке, то для злоумышленника открываются неограниченные перспективы для совершения различных преступлений, такие как дистанционное неправомерное оформление займа.
Возможные риски при утере паспорта
Первоначальный риск утечки персональных данных возникает при утере электронного паспорта, но в данном случае гражданин имеет возможность воспользоваться функцией «блокировки» паспорта, как при утере банковской карты. Уверен, функция оперативной блокировки паспорта будет введена с самого начала эксперимента применения электронных паспортов.
Более серьёзный риск утечки персональных данных возникнет в случае, если законодатели решат включить в электронный паспорт ещё и банковские счета, как уже было заявлено. Тогда электронный паспорт будет обладать и функцией NFC, что позволит прикладывать паспорт к сканеру и таким образом расплачиваться за покупки.
В такой ситуации сканер/терминал и т.д. считывает информацию, и, соответственно, копирует. Гражданин, который оплатил покупку, может сам того не подозревая «отдать» в этот момент вообще все свои данные.
Подобные устройства, гипотетически, станут центрами неправомерного сбора персональных данных граждан, например, при выявлении злоумышленником уязвимостей в программном обеспечении таких устройств несмотря на то, что они проходят многоступенчатые процедуры сертификации и лицензирования.
В отношении данных устройств не допустим формальный подход к исследованию на уязвимости т.к. рассматриваемые устройства могут являться одним из основных каналов утечки персональных данных.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram