Количество цифровых сущностей разрастается
Цифровую (дистанционную) идентификацию (Digital ID, DID) развивают государство и десятки коммерческих провайдеров (банки, операторы связи, интернет-платформы, международные технологические и финансовые игроки).
По данным EY, в среднем потребитель вынужден проходить идентификацию и предоставлять данные 15 и более разным сервис провайдерам. Количество идентификаторов на пользователя варьируется от 15 до 30. По ряду открытых исследований, на которые ссылаются эксперты, количество ID на человека может доходить до 90.
Digital ID наиболее востребован в таких областях, как дистанционная медицина (64%), упрощенный проход через границу (75%) и на транспорт дальнего следования (53%). В EY прогнозируют, что среднесрочный эффект от внедрения цифровой идентификации может составить 1-2% ВВП.
Несколько ID будет всегда, но часть можно консолидировать
Пользователи создают множество ID, в том числе для гарантии конфиденциальности. К первой группе EY предлагает относить подтвержденные ID в соответствии с ФЗ (ЕСИА, банки, операторы связи, и все те, кто обязан подтверждать ID по требованиям ФЗ 115). Во вторую группу эксперты включают подтвержденные ID вне требований ФЗ (Carsharing, House sharing, Marketplaces). В третью группу входят неподтвержденные ID (социальные сети, eCommerce и "одноразовые" ID для защиты от спама). Четвертой группой EY предлагает считать так называемые "другие Я": игровые ID, рейтинговые ID для eСommerce, сайты знакомств, форумы.
Как полагают в EY, интеграция ID возможна в группах 1 и 2 и будет зависеть от уровня доверия к безопасности "официальных" ID-провайдеров. Ограниченная интеграция первых трех групп возможна при условии уверенности в безопасности и конфиденциальности данных. Группа 4 всегда будет дистанцирована от остальных.
Рост числа цифровых ID чреват утечками
Данные пользователей продаются на черном рынке и используются для спама, социальной инженерии, манипулирования мнением. Доходит и до того, что мошенники для входа в аккаунт и проведения операций подделывают голос и видео (DeepFakes). В США распространено такое явление, как Synthetic ID - профиль несуществующих людей формируется из комбинации валидных данных с фиктивной информацией для совершения мошеннических операций.
В EY отмечают, что утечки данных в большинстве случаев происходят через сотрудников компаний. Причем в России работники менее сознательны, чем в других странах. Если в мире виновниками утечек данных являются в 56% случаях сотрудники компаний, то в России цифра угрожающая - 88%.
Руководитель центра технологий, медиа и телеком EY Юрий Гедгафов объясняет такой разброс в цифрах тем, что средняя зарплата работающих с персональными данными сотрудников (операционисты банков, сотрудники салонов связи, операторы колл-центров, сотрудники ресепшн в гостиницах и бизнес-центрах) в России составляет 27 тыс. руб. Эта цифра соотносится со стоимостью нескольких типов информации на черном рынке. Например, за историю звонков, SMS базовых станций можно заработать 17 тыс. руб., за данные о передвижении автомобиля - 8000 руб., за банковскую выписку, зарплату, налоги и имущество - 2000, за фото с паспортом в руке - 1000 руб.
По данным ФинЦЕРТ, только за шесть месяцев 2019 г. выявлено более 13 тыс. предложений о продаже персональных дынных. В то время как за весь 2018 г. зарегистрировано менее 100 судебных исков по статьям, связанным со злоупотреблением служебным положением для доступа к персональным данным. Число жалоб в Роскомнадзор на незаконную обработку персональных данных за шесть месяцев 2019 г. выросло на 44%.
DID увеличивает входной барьер для МСБ
В EY фиксируют, что стоимость дистанционной идентификации растет и увеличивает входной барьер для малого и среднего бизнеса. Соответствие регуляторным требованиям в области персональных данных (GDPR, 152-ФЗ, 115-ФЗ) может стоить компаниям до 20% от выручки. Стоит закладывать в стоимость дистанционной идентификации возможные убытки от утечек данных (кроме прямых убытков, это может быть отток онлайн-клиентов и сокращение операций). Нужно также учитывать затраты на регистрацию новых онлайн-клиентов (Digital onboarding).
Совокупность указанных факторов приводит к тому, что происходит ограничение выхода на рынок новых игроков. На рынке доминирующее положение занимают крупные онлайн-платформы, где требуется большой объем персональных данных при первичной идентификации (фото, паспорт, банковская карта, голос) у каждого сервис-провайдера.
Мировой опыт Digital ID
Десятки стран уже реализуют национальные проекты по цифровой идентификации. Среди лидеров по проникновению - Эстония (98%), Индия (94%), Швеция (90%), Чили (72%), Германия (51%) и Канада (50%). При этом дольше всех программа длится в Финляндии (21 год), но ее проникновение остается низким (5%) из-за высокой стоимости для потребителей, конкуренции с ID банков и ограниченного применения. Среди наиболее часто встречающихся проблем эксперты отмечают слабую безопасность или излишнюю сложность, низкую адаптацию в бизнесе и непроработанную модель взаимодействия с частным сектором.
В целом, как отмечают в EY, в мире существует три модели взаимодействия ID-провайдеров. Централизованная модель предусматривает один ID, выпущенный государством. В таком случае государство создает инфраструктуру и собирает данные для дистанционной идентификации. Такая модель эффективна для рынков с низким проникновением ID-провайдеров. Яркий пример - Китай.
Федеративная модель позволяет выпускать один ID одним из ID-провайдеров. Пользователь сам выбирает себе провайдера. В свою очередь, компании берут на себя ответственность за совместимость и признание ID другой стороны. Федеративная модель характерна для Австралии и Канады.
Конкурентная модель допускает сосуществование множества ID от каждого сервис-провайдера. При этом у каждого сервис-провайдера свой идентификатор и сервисы с собственными DID. Такая модель характеризуется большим количеством мест хранения персональных данных, что неизбежно создает риск утечек данных. Конкуренция в области DID работает в большинстве стран.
В России также больше развита последняя модель. "Есть существующие интересы ряда игроков (телеком-операторы, банки, интернет-платформы и государство), которые делают невозможным создание первой модели (централизованной модели - прим. ComNews), поскольку у этих игроков уже есть свои накопленные базы данных, - объясняет партнер EY, руководитель группы по оказанию услуг компаниям отрасли связи, сектора технологий и медиасектора, Центральная, Восточная, Юго-Восточная Европа и Центральная Азия, Антон Устименко. - У нас действует конкуренция ".
Юрий Гедгафов добавляет, что для федеративной модели действует достаточно жесткое регулирование по аналогии с переносом телефонного номера. "В таком случае у пользователя должна быть возможность переноса ID от одного провайдера к другому по своему желанию. Это такая вещь, которая большим игрокам невыгодна и неинтересна. Однако с точки зрения рынка, времени и стоимости федеративная модель хороша, поскольку не нужно строить то, что уже сделано и собрано ID-провайдерами", - заключает он.