В России стартует новый этап цифровой идентификации: граждане смогут использовать QR-код из сервиса «Госдоки» наравне с паспортом. На первом этапе такой код будет можно предъявлять в магазинах при покупке товаров с ограничением по возрасту, в кино и музеях, при проходе в офисные центры, а также при отправке и получении посылок. В перспективе его применение расширится на финансовые организации, салоны связи, частные клиники и даже гостиницы.
Правительство заверяет, что технология безопасна, а использование - сугубо добровольное. Но вместе с удобством неизбежно возникают вопросы о защите персональных данных и новых рисках мошенничества.
Сегодня мы обсуждаем эти риски с Павлом Коваленко, директором Центра противодействия мошенничеству компании "Информзащита", чтобы понять, какие угрозы могут сопровождать цифровой паспорт и как защитить себя в новой реальности.
1. Какие риски мошенничества связаны с использованием QR-кодов вместо паспорта?
Главная угроза - подделка или «кража» кода. Если QR статичен, его достаточно просто сфотографировать на чужом телефоне, и злоумышленник сможет выдавать себя за владельца. Поэтому критически важно, чтобы код был динамическим, обновлялся в реальном времени и быстро терял актуальность.
2. Насколько безопасно хранить и передавать персональные данные через QR-код?
При корректной реализации в самом коде не будет открытых персональных данных - только зашифрованный токен, подписанный Минцифры. Даже если кто-то сфотографирует QR, расшифровать данные он не сможет. Однако остается риск взлома устройства или приложения, где этот токен хранится.
3. Насколько уязвимы QR-коды для фишинга?
Риск высок. Любая новая технология привлекает мошенников: появятся поддельные сайты с призывами «обновить QR» или «получить новый паспортный код». Минимизировать опасность можно с помощью широкой информированности пользователей и короткого срока жизни каждого кода.
4. Что делать при утере или компрометации QR-кода?
В приложении должна быть функция моментальной блокировки (по аналогии с банковскими картами) и возможность мгновенно выпустить новый код. Без этого система превращается в «паспорт без права замены».
5. Как внедрение QR-кодов повлияет на борьбу с подделкой документов?
Преимущество очевидно: подделать бумажный паспорт проще, чем цифровую подпись. Но вектор атак смещается - вместо подделки печатей и бланков мошенники будут пытаться взломать цифровую инфраструктуру.
6. Насколько реально создать поддельный QR-код?
Если код подписан и проверяется через сервер Минцифры, подделка практически невозможна. Но если это просто статичное изображение с ФИО и датой рождения, сделать поддельный вариант элементарно. Все упирается в качество реализации и уровень защиты.