Парадигма «Digital identity» может звучать крайне непонятно и сложно. Трудность восприятия этого концепта обусловлена не только техническими вопросами, но и юридическими аспектами. Возможно, вы задумаетесь: «это не про меня, это меня не касается». На самом деле — «касается».
Дочка впервые пошла в детские ясли. Из разговора с управляющей детским садом я узнал об интересной возможности — подключиться к камерам и наблюдать за детьми в течение дня. Камеры дают доступ практически ко всем комнатам детского сада. Подключиться можно через смартфон (если есть выход в интернет), для этого достаточно скачать приложение (например, D-link D-ViewCam), указать ip-адрес сервера, порт, имя пользователя и пароль. Имя пользователя при этом может быть достаточным простым и деперсонализированным — вроде «user01». Имени пользователя и пароля достаточно для аутентификации – введенные данные будут сопоставлены с теми, что хранятся на сервере, — и система пропустит вас дальше. Далее она проверит авторизацию — имеет ли пользователь права пользоваться сервисом видеонаблюдения ( проанализировав внутренний каталог прав, если такой есть). Вроде бы все счастливы: вы пользуетесь сервисом, видите своего ребенка, детский садик предоставляет дополнительный сервис. В действительности ли все так гладко?
Что если этим сервисом захочет воспользоваться злоумышленник? Персонификация доступов в таких системах в большинстве случаев отсутствует. Проверить личность в цифровом пространстве крайне сложно. Как поставщики подобных сервисов могут удостовериться, что за вашим ребенком наблюдаете именно вы. Это крайне сложно. И главное — кто должен осуществлять этот контроль? Разумеется, никому не хочется, чтобы за детьми наблюдали посторонние люди, каким бы классным ни был сервис.
Сервис удаленного видеонаблюдения в детских садах — отличный повод посмотреть на ситуацию в целом. На деле в интернете отсутствует необходимость прохождение идентификации (иными словами — установления личности) и инфраструктура для этого.
В исследовании Boston Consulting Group «The Value of Digital Identity» консультанты выделили несколько групп информации о пользователях, которые оказались наиболее чувствительны к неправомерному использованию. Это информация о финансовых транзакциях и финансовом положении, о здоровье пользователя и его социальная активность на просторах социальных сетей. Конечно, в исследовании аналитики не пишут ни о каких детских садах. И я уверен, что в отчете опущены еще множество областей защиты важной информации, к которой уже сегодня можно получить прямой доступ.
- Так уж важна существующая анархия в цифровом пространстве?
- Можно ли сохранить этот существующий «цифровой Вудсток» с переходом экономики на новые цифровые рельсы?
- Действительно ли вопросы идентификации в интернете будут вставать все острее?
С необходимостью ограничивать анонимность в интернете могут не согласиться те, кто стоят у истоков зарождения тредов. Но если у вас будут возникать сомнения, вспомните историю про детский садик. Ответьте себе на вопрос: хотите ли вы жить в обществе, где доступ к наиболее чувствительной информации предоставляется только тем, кто смог пройти проверку цифровой личности? Думаю, большинство ответят на этот вопрос положительно.
Парадигма «Digital identity» может звучать крайне непонятно и сложно. Это действительно очень сложный концепт, трудность восприятия которого обусловлена не только техническими вопросами, но и юридическими аспектами. Возможно, вы задумаетесь: «это не про меня, это меня не касается». Но снова: вспомните историю с детским садиком.
Кто и как должен стать тем самым провайдером Digital identity в интернете? Должно ли выступить в этой роли только государство? Эксперты, входящие в рабочую группу Международного Экономического Форума, выпустили в конце 2016 года исследование «Blueprint of Digital Identity», в котором указали несколько моделей развития этих сервисов.
В одной из таких моделей развития провайдером identity могут выступать в том числе платформы, созданные бизнес-сообществом, действующие по определенным правилам и стандартам.
Что такое провайдер? Это платформа, которая позволит используя совершенно разные учетные записи получать доступ к разным сервисам и услугам, например открытию банковских счетов или наблюдению за ребенком в детском садике. Чтобы не держать всю информацию о пользователе в одном месте, правильнее, если таких платформ будет несколько. Например, другую платформу можно использовать для аутентификации в wifi-сетях. При этом необходим базовый стандарт аутентификации, где пользователь будет проходить идентификацию, желательно с первичной личной явкой при получении информации о логине и пароле. Одним из таких стандартов аутентификации может стать платформа государственных электронных услуг (ЕСИА). Иными словами, она может стать обязательным компонентом для того, чтобы с ее помощью можно было создавать профили уже на платформах провайдеров identity.
В таком случае данные не хранятся строго в одном месте. Существует так называемая федеративно-распределенная модель таких платформ, когда отдельные платформы имеют определенный цифровой мандат и не выходят за него, но используют при этого единые принципы обмена данными.
К тому же, необходимым компонентом для хранения и управления согласием пользователей для использования их данных, возможным станет с помощью одного профиля управлять доступностью своих данных в сети. Активнее всего в этом направлении, на мой взгляд, продвигаются банки. Защита и продвижение такой концепции требует активного участия ведущих игроков рынка работы с клиентскими данными.