Глава комитета Госдумы по охране здоровья Дмитрий Морозов заявил о необходимости ввести в России COVID-паспорта. Пока это лишь предложение, основанное на поручении президента РФ Владимира Путина, однако первые добровольцы уже появились: с 5 февраля антиковидные паспорта начнут действовать в Республике Башкортостан. У экспертов вызывает сомнение сохранность медицинских данных граждан на стороне госструктур. Аналитики оценивают расходы на внедрение решения до десятков миллиардов рублей.
© ComNews
20.01.2021

"Сейчас поднимается тема, например, COVID-паспортов, и дело это очень важное и нужное", - передает слова Дмитрия Морозова "Интерфакс". "То, что эта информация необходима для врачей, медиков, санэпидслужбы и всего остального, для принятия управленческих и организационных решений, - в этом не просто нет никаких сомнений - это 100% так", - добавил депутат.

"Сама по себе идея введения ковидных паспортов, идея попытаться скоординировать подход с другими странами - она существует. Это был и один из вопросов на ежегодной пресс-конференции Владимира Путина, и эта тема была отфиксирована в перечне поручений президента по итогам пресс-конференции", - напомнил пресс-секретарь президента РФ Владимира Путина Дмитрий Песков. "Однако окончательного решения по этому вопросу еще не принято", - добавил он.

18 января 2021 г. глава Башкирии Радий Хабиров объявил о вводе в регионе антиковидных паспортов для тех, кто переболел коронавирусной инфекцией или привился и в результате обладает иммунитетом. Предполагается, что такой паспорт позволит не соблюдать ряд карантинных ограничений, а также даст право на льготы и преференции. Получить документ можно будет через портал госуслуг и использовать по алгоритму QR-кода.

Руководитель общественной организации "РосКомСвобода" Артем Козлюк сказал корреспонденту ComNews, что внедрения таких паспортов на федеральном уровне исключать нельзя. "Видно, что будут обкатывать на пилотных регионах. Сохранность чувствительных медицинских данных на стороне госструктур вызывает большие сомнения. Постоянно есть свидетельства утечек наших данных со стороны государственных и корпоративных баз. Нет ни отлаженной системы безопасности, ни полноценного контроля доступа, ни общественного контроля. Также мы не наблюдали случаев наказаний чиновников или представителей госкорпораций за допущение таких утечек. Поэтому риски очевидны", - прокомментировал Артем Козлюк.

Первый вице-президент "Опоры России" Павел Сигал поддерживает инициативу, а внедрение ее на федеральном уровне оценивает в 200-250 млн руб.: "Антиковидные паспорта необходимы не для того, чтобы защитить одного человека от болезни, у них более широкая задача - создать возможность для людей работать, посещать учреждения и торговые точки, где будут присутствовать люди, имеющие антитела к вирусу. Эта персональная ответственность каждого позволяет сберегать жизни тех, для кого вирус особенно опасен, - пожилых граждан и людей с хроническими заболеваниями. Снижается риск передачи от родственников, которые посещают этих людей, приносят им продукты питания или проводят с ними время. Вероятно, инициатива Башкирии будет распространена на другие регионы, и контроль за сохранением персональных данных будет осуществляться за счет региональных бюджетов. В таком случае не нужно будет внедрять паспорта на федеральном уровне, но потребуются специалисты, которые создадут единую систему мониторинга. Она может обойтись в 200-250 млн руб."

Аналитик "Фридом Финанса" Валерий Емельянов оценивает внедрение системы гораздо дороже - в десятки миллиардов рублей. "Если исходить из заявлений депутатов, которые говорят о сборе и обработке больших данных по заболевшим, то к паспортам это имеет слабое отношение. Это больше похоже на систему ведения вирусного следа, которые внедряются сейчас во многих странах. Там данные о заболевших являются закрытыми и обезличенными. Государство с помощью машинного интеллекта следит за контактами заболевших, вспышками и эффективностью вакцинации. Паспорт для этого не нужен, поскольку имя и фамилия переболевшего абсолютно не важны. И вот такие системы - они довольно дорогие. Например, Британии это обошлось в сумму свыше 35 млн фунтов, это более 3,5 млрд в рублях. В США в одной только Флориде на COVID-трейсинг потратили $50 млн, а это порядка тех же 3,5 млрд руб. В масштабах большой страны, как Россия, речь может идти о расходах в десятки миллиардов рублей", - прокомментировал Валерий Емельянов.

Замруководителя Лаборатории компьютерной криминалистики Group-IB Сергей Никитин считает, что защищенность подобных систем напрямую зависит от того, кто и каким образом будет их вводить в эксплуатацию. "Давать какие-либо оценки возможно только после комплексного аудита уже реализованной системы. На данный момент рынок баз данных перегрет и проблема с утечками стоит достаточно остро", - отметил он.

Пресс-служба Eset пояснила, что ценность информации на черном рынке определяется ее уникальностью. "А уникальность файла с биометрическими или медицинскими показателями стремится к 100%. При доступе к параметрам чужого организма у мошенников нет необходимости дополнять такие данные чем бы то ни было, чтобы они казались убедительными. Количество атак, направленных на похищение медицинских данных, в 2020 г. увеличилось, поскольку из-за пандемии вырос объем такого рода информации. В 2021 г. тенденция сохраняется. А если где-то хранится ценная информация, всегда могут найтись желающие заполучить к ней доступ или выгодно продать в даркнете. И если раньше медицинские данные концентрировались в базах учреждений здравоохранения, то теперь такую информацию собирают многочисленные работодатели, транспортные компании, пограничные службы и правоохранительные органы, госструктуры. То есть каналов потенциальных утечек становится больше. Получивший доступ к чужому биометрическому профилю мошенник может наладить цифровое взаимодействие с целым рядом финансовых и государственных инстанций, буквально уничтожив вашу реальную жизнь", - рассказали в пресс-службе Eset.

Директор центра компетенций управления доступом компании "Ростелеком-Солар" Дмитрий Бондарь предупреждает: перед созданием таких информационных массивов следует оценить потенциальную пользу от их создания, потенциальные риски утечки и их последствия. "Если мы принимаем решение этот массив создать, то важно продумать хорошую систему защиты. Как показывает практика, от утечек мало кто защищен на 100%. Оценить вероятность потенциальной утечки пока невозможно, так как нет данных, где информация будет храниться и как к ней будет разграничен доступ. Очевидно, что нужна многоуровневая система защиты, где доступ будет контролироваться на всех этапах - от момента внесения информации в базу до потребления этой информации специалистами на местах", - говорит Дмитрий Бондарь.

Руководитель направлений "Комплаенс" и "Аудит" управления информационной безопасности Softline Илья Тихонов отметил, что медицинские данные относятся к классу особо чувствительной информации, работать с которой могут только лица с определенным уровнем доступа. "Полностью избежать рисков потери информации на сегодняшний день невозможно. К сожалению, только за последний год мы сталкивались с примерами утечек и баз ковидных больных, и даже базы ВИЧ-пациентов. К сожалению, уровень развития ИБ-инфраструктуры в медицинских организация и некоторых региональных ведомствах все еще далек от идеала, хотя работа в этом направлении непрерывно ведется. Оценить эффективность использования таких документов для борьбы с распространением вируса сложно, так как непонятно, в каких ситуациях они могут использоваться. Например, при перемещении между странами в дальнейшем могут запрашивать информацию о наличии прививки или антител, но устроит ли принимающую сторону российский ковидный паспорт, пока неясно. При подготовке к госпитализации или лечению в санатории анализы на ковид в любом случае придется сдавать повторно. А требование предъявить документ о наличии антител при входе в магазин или бар - это как минимум нарушение личных границ", - считает Илья Тихонов.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев согласен: "Как показал печальный опыт ряда стран, данные из информационных систем и приложений по COVID-19 подвержены рискам утечек, в том числе вызванных человеческим фактором. Если информация о COVID-паспортах будет скомпрометирована, эти данные могут быть использованы, в частности, для травли привитых людей активными противниками вакцинации. И наоборот, злоумышленники смогут вычислять непривитых людей, формируя атмосферу нетерпимости вокруг них. В плане удобства предоставления социальных услуг в период пандемии COVID-паспорта - это скорее позитивная мера. Однако при определенных условиях введение QR-кодов для привитых людей может рассматриваться как форма принуждения к вакцинации. Также нельзя исключать, что отсутствие у человека паспорта для отдельных чиновников и работодателей станет поводом к ущемлению прав".

Руководитель проектов по информационной безопасности компании BPS Кристина Анохина напомнила инцидент с порталом Госуслуг, произошедший в декабре 2019 г.: "Тогда "Коммерсант" писал, что в свободном доступе в интернете оказались данные около 28 тыс. клиентов Госуслуг. То есть риск утечек есть всегда. Так, в феврале того же года порталом autonews.ru были опубликованы результаты расследования. В нем утверждалось, что за определенную сумму можно получить доступ к базе данных - с государственными номерами, VIN и другой информацие - 30 млн автовладельцев, которые оплачивали парковку в Москве при помощи мобильного приложения или просто по номеру телефона. Через девять месяцев была обнаружена база с 20 млн налоговых деклараций граждан России за период с 2009 г. по 2016 г., которая была доступна без пароля на сервере Amazon Web Services Elasticsearch. Записи включали в себя ФИО, адреса, статусы резидентов, номера паспортов, телефонные номера, идентификационные номера налогоплательщиков, имена работодателей и суммы налогов".

В Израиле уже начали выдавать так называемые зеленые паспорта для привитых от COVID и тех, кто уже переболел. Интересно, что в конце 2020 г. подобная инициатива зародилась и во Франции, однако там большинство населения заявило, что некорректно делить людей на условно "хороших" и "плохих" - привитых и непривитых. И в настоящее время власти Франции не планируют вводить такие паспорта.

По мнению Кристины Анохиной, в России люди тоже будут недовольны подобной инициативой. "Другой вопрос, что в ряде ситуаций выполнение ее условий может стать обязательным", - отмечает она.

Генеральный директор "Доктор Веб" Борис Шаров рассказал, что подобные инициативы прорабатываются во многих странах - аналогичные дискуссии ведутся сейчас в Евросоюзе. "В России делаются пробные вбросы информации по поводу судьбы ковид-паспортов. На этом фоне становится очевидным одно: человечество подошло - или уже прошло - черту, где индивидуум идентифицируется по фамилии-имени-дате рождения-национальности. Появляются новые идентифицирующие признаки, которые неизбежно станут частью стандартной идентификации человека в не очень отдаленном будущем. Пока рано говорить о конкретных контурах этой системы, поскольку везде явно заметно стремление занять место у той или иной кормушки - особенно это видно в инициативе трех американских компаний. Но для того, чтобы это приобрело глобальный характер, странам предстоит пройти сложный и неочевидный путь взаимного признания вакцин. Поскольку за этим также стоят национальные экономические интересы, вряд ли стоит ожидать быстрого прогресса на этом пути. Но вряд ли сам вектор движения будет изменен, - комментирует Борис Шаров. - Если же думать о том, утечет ли эта информация или нет, то можно предположить, что потребность в ней будет сильно зависеть от того, как она будет в конечном итоге использоваться. Любая информация рано или поздно копируется, но многое зависит от того, какую выгоду может принести обладание ею. Сейчас строить на эту тему гипотезы - дело неблагодарное".

В отчете о киберпреступности за 2019 г., опубликованном Cybersecurity Ventures, говорится, что атаки хакеров во всем мире происходят каждые 14 секунд, а к 2021 г. их частота возрастет до 11 секунд.

Управляющий партнер DIS Group Александр Тарасов советует: "Чтобы минимизировать риски утечек, оптимально хранить данные о вакцинированных централизовано - как вариант, эти сведения можно включить в "Цифровой профиль гражданина". Не стоит создавать отдельные региональные базы, их может быть сложнее защитить. Доступ к данным о вакцинированных должен предоставляться только через систему авторизации, на основе ролевой модели. Если данные будут использоваться для аналитики и исследований, их необходимо обезличивать, маскировать. У сотрудников должен быть доступ только к тем данным, которые нужны им для выполнения их непосредственных обязанностей".

Новости из связанных рубрик