Разделы

Цифровизация ИТ в госсекторе

Идентификация всея Руси. Как это будет?

Минкомсвязь предпринимает шаги, которые позволят сделать Единую систему идентификации и аутентификации (ЕСИА) по-настоящему массовой и всенародной.

«Кисло очень»

31 июля 2013 года на заседании президиума Совета по модернизации экономики и инновационному развитию России премьер-министр Дмитрий Медведев в очередной раз возмущался неудобством Единого портала госуслуг:

— Я сейчас открыл этот наш сайт госуслуг — там такая сложная регистрация! Я смотрел до этого, и она с тех пор не изменилась. Во-первых, обычному человеку вообще трудно разобраться, что там написано: «загрузить плагин веб-браузера» и так далее. Я знаю, что это такое, присутствующие, наверное, тоже знают, но далеко не все, кто стучит пальцами по клавиатуре, понимают, зачем это надо.

Отдельно Медведев остановился на теме электронной подписи.

— Нужно радикально упростить ее получение, — заявил глава правительства. — Она же может быть различных категорий, это же не электронная подпись для того, чтобы управлять средствами по счету крупной компании, здесь все-таки приоритетность другая. Надо упростить, иначе у нас это не превратится в нормальный сервис.

Резюмируя, премьер сообщил собравшимся, что «пока это выглядит кисло очень». Чиновники сочувственно покивали головами.

Заседание было посвящено информационным технологиям в госуправлении. Один из основных докладчиков — глава Минкомсвязи Николай Никифоров — попытался ответить Медведеву.

— Подготовлен уже необходимый нормативный акт. Действительно, планируется внедрение упрощенного (максимально упрощенного) принципа регистрации на портале — это так называемая простая электронная подпись. Причем мы хотим предусмотреть...

— У меня есть такое предложение, — прервал его премьер-министр. — Чтобы это сделать наглядным, вы все это подготовьте, принесите, и я буду одним из зарегистрированных пользователей. Я хочу сам посмотреть, как все это работает. А то мы рассказываем-рассказываем людям, как это все хорошо, правильно, здорово, нужно, а они сюда заходят, и у них желание полностью теряется.

— Есть! Будет сделано, — согласился Никифоров.

На вопрос о сроках министр предложил обсудить проект нормативного акта на ближайшем заседании правительственной комиссии по информационным технологиям, но Медведева такой ответ не устроил.

— Нет-нет, не надо никакую комиссию! Когда вы принесете документ, чтобы я мог зарегистрироваться при помощи CMC и сделать все остальное? — настаивал премьер.

— Дмитрий Анатольевич, технически это готово уже сегодня, — признался министр. — Но еще раз хочу повторить, что самое главное — это юридическая значимость этого вопроса.

— Я хочу зарегистрироваться по правилам, а не слушать про «технически готово». Внесите мне на подпись документ через аппарат, через руководство правительства, я его подпишу и зарегистрируюсь, — потребовал Медведев.

Никифоров пообещал сделать это в «ближайшие дни», чем и завершил диалог. За регистрацию пользователей Единого портала госуслуг (ЕПГУ) отвечает Единая система идентификации и аутентификации (ЕСИА). Именно принципы ее работы и вызвали очередные нарекания премьер-министра.

Для того чтобы зарегистрироваться в ЕСИА, гражданину необходимо заполнить ряд полей: ввести ФИО, страховой номер индивидуального лицевого счета (СНИЛС), дату рождения, пол, а также указать адрес электронной почты и номер мобильного телефона. Этот этап предварительной регистрации займет не более 5 минут. Сложности начинаются дальше.

Активировать свою учетную запись гражданин сможет только после того, как получит код подтверждения. Сделать это можно двумя способами: лично посетить центр обслуживания клиентов «Ростелекома» или заказать письмо с кодом по почте. На всю Россию «Ростелеком» имеет только около 200 центров, способных активировать учетную запись. В Москве их шесть, но, к примеру, на Курганскую область с населением более 800 тыс. человек — всего один. Удобным для всей страны этот способ назвать нельзя. Как и второй — письмо «Почтой России» в среднем идет 2 недели, при этом не исключена его потеря или существенная задержка.

ЕСИА изнутри

ЕСИА — одна из самых молодых государственных информационных систем. Официальным днем рождения можно считать 28 ноября 2011 года, когда глава правительства Владимир Путин подписал постановление о ее создании. В то же время ЕСИА — одна из наиболее важных систем в инфраструктуре «Электронного правительства». Зарегистрированные в ней граждане со временем получат возможность пользоваться большинством государственных услуг, не отходя от компьютера, а государство с ее помощью сформирует электронный реестр активного населения, который будет содержать не только паспортные данные или идентификационные номера (СНИЛС, ИНН), но и актуальные мобильные телефоны и адреса электронной почты.

Оператором ЕСИА, ответственным за ее развитие, согласно постановлению Владимира Путина, является Минкомсвязь. Формальный разработчик системы — «Ростелеком», имеющий статус единственного исполнителя по проекту «Электронное правительство». Реальным создателем системы была компания AT Consulting, главный подрядчик «Ростелекома» по развитию государственных ИТ-систем.

Основа ЕСИА — это база данных (под управлением СУБД Oracle 11g) зарегистрированных в ней пользователей, поделенная на несколько уровней подтверждения аккаунтов. На первом уровне гражданин регистрируется самостоятельно через интернет (на Едином портале госуслуг по адресу esia.gosuslugi.ru), используя логин, в качестве которого сейчас выступает СНИЛС, и пароль. Следующий уровень — простая электронная подпись. Для ее получения гражданину необходимо верифицироваться (подтвердить свою личность), предъявив паспорт и СНИЛС в центре поддержки клиентов «Ростелекома», либо получив код активации письмом через «Почту России».

Самый защищенный уровень ЕСИА — квалифицированная электронная подпись. Чтобы стать ее обладателем, гражданин должен получить сертификат на USB-носителе в одном из удостоверяющих центров, аккредитованных в Минком-связи (таких центров в России более 200). В качестве квалифицированной электронной подписи также можно использовать Универсальную электронную карту.

Уровни подтверждения личности, необходимые для предоставления госуслуг, определяют органы власти. На едином портале в настоящее время нет услуг, для которых необходима квалифицированная электронная подпись. В будущем она понадобится для некоторых услуг, в том числе ФНС и Росреестра (сделки с недвижимостью). В то же время для получения информации о задолженностях (просроченных налогах) ФНС достаточно простой подписи.

В этой же базе данных хранится информация о чиновниках и регулируются права доступа информационных систем госорганов (эту функцию выполняет т.н. «матрица доступа»). «При этом должностным лицам госорганов регистрироваться в ЕСИА необязательно, — рассказывает CNews Алексей Козырев, директор департамента развития электронного правительства Минкомсвязи. — Сейчас это зависит от того, как в ведомствах и регионах реализована информатизация. Например, в обязательном порядке в ЕСИА регистрируются те, кто использует систему исполнения регламентов (Программу для обработки запросов граждан, обратившихся за госуслугами. — Прим. CNews) «Ростелекома», т.к. она требует наличия учетной записи».

Источник: CNews, 2013

Жесткой позиции по этому поводу у Минкомсвязи нет. «Однако мы всегда проверяем, чтобы любое заявление в рамках межведомственного взаимодействия было подписано электронной подписью чиновника и электронной подписью органа власти, от имени которого действует чиновник. Электронные подписи органов власти, в свою очередь, проверяются на привязку к информационным системам, которые в обязательном порядке должны быть зарегистрированы в ЕСИА», — уточняет Козырев.

Таким образом, ЕСИА не может управлять правами доступа всех чиновников (они должны быть реализованы в их собственных ИС), но может контролировать доступ информационных систем к инфраструктуре «Электронного правительства». «То есть мы имеем возможность допустить или не допустить к нему тот или иной орган власти. А полномочия конкретного чиновника, включая их прекращение в случае увольнения, отслеживают сами органы власти», — говорят в Минкомсвязи.

Цифровые новинки ВТБ: от биометрии для веб-версии до банка в Telegram
ИТ в банках

ЕСИА может также быть использована для идентификации и аутентификации на других интернет-порталах. В этом случае на портале размещается форма входа, которая представляет собой набор полей (логин, пароль), после заполнения которых происходит проверка учетной записи в ЕСИА. Помимо Единого портала госуслуг, сейчас регистрация через ЕСИА поддерживается, например, на портале «Российская общественная инициатива» (РОИ), с помощью которого граждане могут выступать с законодательными инициативами, на портале госуслуг Москвы и ряда других регионов. Еще один модуль ЕСИА — АРМ центра поддержки и обслуживания клиентов (АРМ ЦПОК), который позволяет сотрудникам «Ростелекома» выдавать коды активации.

Модернизация и инновации

До конца 2013 года, в соответствии с пожеланиями Дмитрия Медведева, Минкомсвязь обещает внести ряд изменений в ЕСИА, которые должны стать заметны с точки зрения пользовательского опыта. В дальнейшем также планируется исправить архитектурные погрешности, заложенные на этапе создания системы.

Использование СНИЛС в качестве логина — это неудобно, считают в министерстве: «Этот номер никто не запоминает, и для обращения к порталу госуслуг нужно всегда иметь под рукой карточку, на которой он указан. Мы хотим, чтобы логином был номер мобильного телефона».

4 проблемы ИТ в филиалах и способы их решения
Интернет

«Для предварительной регистрации пользователю будет достаточно ввести номер мобильного телефона, на который отправится СМС с кодом подтверждения. Его нужно будет ввести в систему. После успешного подтверждения номера телефона пользователю будет предложено задать личный пароль», — описывает Алексей Козырев процесс регистрации, к которому стремится Минкомсвязь.

После нажатия кнопки «Зарегистрироваться» будет создана предварительная учетная запись, и регистрация успешно завершится. На этом этапе пользователю будет доступен ограниченный перечень услуг (например, оплата штрафов ГИБДД).

Далее ЕСИА предложит пользователю указать основные данные о себе в личном кабинете, который откроется после завершения регистрации. Система автоматически проверит соответствие ФИО, паспортных данных и номера СНИЛС. Если они соответствуют друг другу, то пользователь сможет пройти процедуру верификации, и его аккаунту будет присвоен статус простой электронной подписи.

В нынешнем виде (через личный визит в «Ростелеком» или письмо по почте) процесс получения простой электронной подписи неудобен, говорят в Минкомсвязи: «Мы хотим сделать в ЕСИА интерфейс сотрудника (АРМ) для проведения верификации. Этот АРМ должен быть доступен чиновникам, сотрудникам МФЦ и отделений «Почты России», имеющим право удостоверять личность. При этом сами сотрудники будут авторизованы по квалифицированной электронной подписи».

В итоге процесс выдачи подписи гражданину должен выглядеть так: чиновник (сотрудник «Почты» или МФЦ) открывает интерфейс, подключает в USB-порт носитель с сертификатом своей электронной подписи. К нему приходит гражданин и предъявляет только паспорт. Сотрудник вводит в веб-интерфейс номер паспорта (без ФИО), нажимает «Найти». По запросу находится учетная запись гражданина, созданная им самостоятельно. Сотрудник идентифицирует личность и активирует учетную запись. После этого человек становится обладателем простой электронной подписи.

«Подключение к регистрации граждан в ЕСИА чиновников, сотрудников МФЦ и «Почты России» должно значительно расширить доступность сервиса. По нашему плану, в 2014 году возможность регистрировать граждан в ЕСИА получат сотрудники 5 тыс. отделений «Почты». А с учетом чиновников эта цифра должна стать еще больше», — говорит Козырев.

Процесс получения квалифицированной подписи в Минкомсвязи менять не планируют. Для этого по-прежнему будет необходимо обратиться в аккредитованный удостоверяющий центр, который за определенную плату выдаст ключ на физическом криптоконтейнере (USB, смарт-карте и т.п.).

В «идеальной модели» с точки зрения Минкомсвязи, при любом электронном взаимодействии государства с гражданами авторизация должна проходить через ЕСИА. Соответственно, и сайты федеральных органов власти и регионов, подразумевающие авторизацию, в будущем должны будут подключиться к ЕСИА. Сейчас виджет ЕСИА, размещаемый на сторонних порталах, реализован по протоколу SAML, который, по мнению министерства, сложен в использовании. В планах — обеспечить поддержку стандарта oAuth 2.0. «Цель этого в том, чтобы подключить авторизацию через ЕСИА было технически так же просто, как поставить кнопку «Войти с ВКонтакте» или «Войти с Facebook», — говорит CNews заместитель директора департамента развития электронного правительства Минкомсвязи Сергей Мартынов.

Базы данных граждан, подобные ЕСИА, уже существуют. Их ведут Пенсионный фонд, ФНС и ФМС.

«Эти три базы дают значительно большее «покрытие», чем ЕСИА, — отмечает Мартынов. — Однако есть важный момент: в ЕСИА мы стараемся сделать так, чтобы пользователь указывал мобильный телефон — это полезно и государству, и гражданину. На мобильный можно присылать уведомления о штрафах, напоминать, что пора поменять загранпаспорт, наконец, получать обратную связь о customer satisfaction (и это уже работает в пилотном режиме в системе «Мониторинг качества государственных услуг»). Такая же история с e-mail. То есть фактически мы налаживаем канал коммуникации с человеком — более эффективный и удобный, чем традиционные способы, – личные визиты и почтовые отправления».

Претензии к безопасности

Критики ЕСИА, помимо прочего, обращают внимание на низкую защищенность системы. «Выполнять разграничение доступа на основе пар «логин-пароль» — это прошлый век и совершенно небезопасно», — считает Сергей Муругов, генеральный директор компании «Топ Кросс», занимающейся разработкой систем по технологии инфраструктуры открытых ключей. Идентификация по ЭЦП, как это реализовано в ЕПГУ, по мнению эксперта, является «наидырявейшим решением», уязвимым, в частности, перед атаками класса MITM (Man-in-the-middle, «Человек посередине»). При таких атаках злоумышленник может подменить контрольное число с сервера на свертку от произвольного (возможно, даже и злонамеренного по содержанию) документа, и автоматическая выработка электронной подписи пользователем приведет к факту визирования авторства такого документа, к которому пользователь не имеет никакого отношения».

По мнению Муругова, правильнее было бы использовать две разные пары ключей с разным набором политик применения: «Например, в Эстонии это второй сертификат на ID-card (при этом все настолько автоматизирован но, что люди не замечают никаких неудобств). В Беларуси удостоверяющий центр выпускает один сертификат, но тот содержит два ключевых объекта с разными наборами KeyUsage. Один — только для личного волеизъявления, второй — для шифрования, ключевого обмена, доступа, сетевой аутентификации».

В Минкомсвязи говорят, что «обсуждают идею двух ЭЦП разного уровня доступа», но с претензиями к безопасности не согласны. «Для защиты от MITM-атак используется ряд практик, основное — общение с сервером по защищенному каналу. Разумеется, госуслуги работают по протоколу https, и это защищает от вторжения злоумышленника в канал связи, — говорит Сергей Мартынов. — Однако это не защищает, например, от вирусов на компьютере пользователя, которые могут осуществлять перехват и подмену данных на стороне клиента. И не защищает от человеческого фактора, который вообще является самой большой проблемой безопасности в массовых сервисах: если человек сам отдаст свою ЭЦП злоумышленнику и скажет пин-код, то никакие технические средства не помогут. Поэтому очень важно повышать грамотность населения и объяснять, что такое ЭЦП и как ею пользоваться».

Какова глобальная цель ЕСИА с точки зрения государства?

Вариант ответа на этот вопрос можно получить из книги «Новый цифровой мир. Как технологии меняют жизнь людей, модели бизнеса и понятие государств». Ее авторы — экс-гендиректор Google Эрик Шмидт и глава Google Ideas Джаред Коэн — попытались представить будущее на несколько десятилетий вперед.

«Некоторые правительства, решив, что иметь тысячи анонимных, бесконтрольных и непроверенных граждан — «подполье» — слишком рискованно, захотят узнать, кто скрывается за каждым онлайн-аккаунтом, и потребуют верификации на государственном уровне для усиления контроля над виртуальным пространством», — пишут футурологи из Google.

Виртуальная личность человека, по мнению Шмидта и Коэна, «станет целым созвездием профилей, созданных в интернете, которое будет верифицироваться и даже регулироваться властями».

«Представьте, что все ваши аккаунты — в Facebook, Twitter, Skype, Google+, Netflix, подписка на New York Times — привязаны к одному «официальному» профилю. Рейтинг информации, связанной с верифицированными онлайн-профилями, в результатах поиска окажется более высоким по сравнению с контентом без такой верификации, а это, естественно, приведет к тому, что большинство пользователей будут кликать на верхние (верифицированные) результаты. И тогда истинная цена анонимности может стать слишком высокой: даже самый увлекательный контент, созданный владельцем анонимного профиля, просто не будет виден в поисковой выдаче из-за своего чрезвычайно низкого рейтинга», — прогнозируют они.

Впрочем, в Минкомсвязи не склонны видеть в своей системе дополнительные скрытые возможности.

Единственная цель ЕСИА – наладить канал коммуникации с человеком, более эффективный и удобный, чем традиционные личные визиты и почтовые отправления, – настаивают в министерстве.

Полную версию статьи читайте в свежем номере журнала CNews

Александр Левашов