Digital ID: девять непростых вопросов в адрес новой технологии
Учитывая, что технология идентификации Digital ID фактически доказала свою жизнеспособность, мы решили немного помучить своими вопросами Владимира Меркушева, менеджера продуктов BTS Digital.
Среди целой грозди интеллектуальных технологий, которыми как-то незаметно обзавелись окружающие нас устройства, системы распознавания и идентификации человека всегда стоят особняком. Меняются целые поколения программного обеспечения, видеокамеры обзаводятся новыми матрицами, появляются ультразвуковые сканеры отпечатков пальцев, но почему-то мы до сих пор при покупке товаров через банковскую карточку используем до нелепости уязвимый 4-значный код...
Еще абсурдней выглядит ситуация с идентификацией, когда вы приходите в банк, чтобы снять с текущего счета крупную сумму денег. Кассиру достаточно беглого взгляда на ваше пластиковое удостоверение, где в крошечном прямоугольнике едва проглядывает ваша подпись.
О фотографии на удостоверении не говорю — даже на карточках нового типа она весьма сомнительного качества. Лично я бы не вызвался идентифицировать лицо человека по фотографии на казахстанском удостоверении.
И тем не менее, все важные гражданские акты мы подтверждаем этими ненадёжными идентификаторами, даже не особо задумываясь насколько технологии продвинулись вперёд.
Сразу вспоминается доклад Шагылбаевой Сымбат на мастер-классе в Astana Hub, посвященный современными достижениям биометрии, где слова эксперта звучали словно приговор: «Одноразовый пароль по SMS — это каменный век».
Поэтому, каждое появление очередного нового проекта, нацеленного на улучшение этой тонкой и деликатной материи, вызывает вполне закономерные вопросы о том, насколько естественным и надёжным будет технология идентификации. Итак, переходим к нашим "мелочным" вопросам, адресованным Владимиру:
1. В последнее время системы распознавания активно избавляются от устаревших методов идентификации, и всё больше используют биометрию. Какой технологической модели придерживаются разработчики Digital ID?
Мы проанализировали существующие технологии идентификации и пришли к выводу, что распознавание лица сейчас — наиболее удобный и безопасный способ.
Современные нейронные сети позволяют при сравнении двух фотографий лица человека добиться точности, сравнимой с точностью идентификации по отпечаткам пальцев. Но, в отличии от отпечатков, где требуется специальный сканер, распознавание лица можно использовать на любом смартфоне.
Это существенно расширяет сферы использования и поддерживает основное направление BTS Digital — мобильные продукты.
2. В чем принципиальное отличие Digital ID от идентификации личности в eGov (цифровая подпись, ID)?
Главное отличие в персонализации. Человеческое лицо уникально, его нельзя потерять и очень сложно подделать. А доступ к чужому логину и паролю или ЭЦП можно получить разными методами, от кибератаки до обычного воровства. Также важным отличием является удобная работа с Digital ID на мобильных устройствах, здесь мы руководствовались принципом mobile first, ведь уже более 60% трафика в Казахстане приходится на смартфоны.
3. Ограничивается ли технология Digital ID сферой использования в финансовом супермаркете?
Конечно, нет. Уже сейчас у нас на стадии пилотного подключения система электронных денег, сервис электронной коммерции и служба доставки с распределенными исполнителями-курьерами. Интерес к технологии проявляют страховые компании и банки. Digital ID может помочь не только с идентификацией клиентов, но и с повышением доверия между участниками любой онлайн-площадки, и с защитой от "накруток" ботами.
4. Какие еще личные идентификации, кроме общегражданских типа паспорта или удостоверения, планируется добавить в приложение?
Уже сейчас есть поддержка водительского удостоверения. В планах: техпаспорт автомобиля, вид на жительство и загранпаспорта других стран мира.
5. В каких еще сферах, кроме e-commerce, может быть полезна технология Digital ID? Например, образование, криминалистика, медуслуги?
В криминалистику мы точно не пойдем, там другие требования и стандарты. Мы сейчас активно общаемся с рынком и практически каждую неделю открываем для себя новые сегменты.
Общение с потенциальными клиентами дает инсайты, которые можно использовать как новые ниши для развития продукта. Очень хочется попробовать помочь какому-нибудь большому сервису типа Крыши или OLX решить проблему дублей аккаунтов и проблему ботов.
Сейчас на стадии прототипа находится технология поиска по лицу, которая позволит сделать уникальными участников любых больших списков, например, с её помощью можно сделать онлайн-голосование, результаты которого нельзя накрутить.
6. Появились новости о том, что опыт использования цифровой подписи eGov не совсем успешен и намечается частичный или полный отказ от ЭЦП, c переходом на одноразовую устаревшую идентификацию на основе SMS-рассылок на телефон. Есть ли у Digital ID амбиции по сотрудничеству с общегражданскими институтами?
Технология одноразовых кодов хоть и используется активно в финансовых сервисах, но признана ненадежной. Основной аргумент — это легкость их получения мошенниками. Хотя все пишут “никому не передавайте код из SMS”, мошенники узнают их, используя методы социального инжиниринга, и совершают транзакции от имени владельца, например, снятие денег со счета после привязки его к своему приложению — это самый самый частый способ мошенничества в Сбербанк Онлайн. Также, отправка SMS на каждую транзакцию на больших объёмах — это просто дорого.
Плохой опыт использования ЭЦП связан не с самой технологией, а с качеством её реализации. Современные технологии криптографии позволяют безопасно хранить ЭЦП-ключи не на "флешке" или чипе удостоверения, а на облачном сервере. Мы планируем использование этих технологий в своём продукте и открыты к сотрудничеству со всеми компаниями на рынке.
7. Пока система Digital ID используется в пилотном режиме — означает ли это, что партнеры не получают для испытания весь полный функционал данной технологии?
Пилотный режим даёт весь готовый на текущий момент функционал. Мы сейчас отлаживаем стабильность работы серверной инфраструктуры, дорабатываем API на базе отзывов первых партнеров и тестируем качество распознавания на живых примерах.
8. Какова вероятность сбоя работы приложения Digital ID?
От технических сбоев не застрахован никто. Более того, мы в ближайшее время запустим программу Bug Bounty, в рамках которой будем выплачивать вознаграждения за обнаружение проблем в безопасности сервиса.
9. Какие методы защиты личных данных от утечек и уязвимостей предусмотрены в Digital ID?
Мы уделяем этому особое внимание. Весь обмен данными происходит через безопасное соединение с использованием протокола TLS. Авторизация пользователя обеспечивается JWT-токенами с коротким временем жизни.
Все персональные данные, включая копии документов, хранятся в зашифрованном виде, а ключ шифрования находится в специальном безопасном хранилище. Передача данных партнеру осуществляется только после явного согласия пользователя, которое он даёт с помощью авторизации через ПИН-код, Touch ID или Face ID на своём смартфоне.
Восстановление доступа к управлению аккаунтом пользователя реализовано через биометрию. Также пользователь в любой момент может удалить свои персональные данные из системы. Подробнее про безопасность данных читайте на сайте https://digital-id.kz.