CC BY
8
УДК 004.6:004.056
О ПРОБЛЕМАХ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ЦИФРОВОЙ ЛИЧНОСТИ
А. С. Осанова Научный руководитель - М. Н. Жукова
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Email: anya.osa@mail.ru
В статье рассматривается понятие цифровой личности. Рассматриваются определения, заданные нормативными документами. Обсуждаются предполагаемые наборы атрибутов, которые могут составлять цифровую личность в государственных и развлекательных сервисах, социальных сетях.
Ключевые слова: цифровая личность, цифровой след, государственные сервисы, социальные сети
ON THE ISSUES OF PROVIDING INFORMATION SECURITY OF A DIGITAL
IDENTITY
A. S. Osanova Scientific supervisor - M. N. Zhukova
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
Email: anya.osa@mail.ru
The article deals with the concept of digital identity. The definitions set by the normative documents are considered. The proposed sets of attributes that can make up a digital identity in government and entertainment services, and social networks are discussed.
Keywords: digital identity, digital footprint, government services, social networks
С каждым годом появляется всё больше онлайн-сервисов, в которых пользователи оставляют о себе какие-либо данные, всё больше цифровых следов собирается в социальных сетях, магазинах, государственных структурах. Для взаимодействия с приложениями и web-сайтами часто нужно создавать профиль или учетную запись, где пользователь оставляет о себе какие-либо данные, которые называют цифровыми следами. Собрав эти данные воедино, мы получаем наше отражение в цифровом мире, нашу цифровую личность.
Цифровой след - это некоторая совокупность данных о действиях пользователя в Сети. Он может быть активным (та информация, которую пользователь оставляет осознанно, например, предоставление данных при регистрации) и пассивным (данные, которые оставляются непреднамеренно, например, история поиска). Цифровая личность включает в себя совокупность из нескольких цифровых следов.
Национальный институт стандартов и технологий США приводит следующее определение: digital identity (цифровая идентификация, цифровая личность) - это уникальное представление субъекта, участвующего в онлайн-транзакции. Цифровая идентификация всегда уникальна в контексте цифровой услуги, но не обязательно должна однозначно идентифицировать объект во всех контекстах. Другими словами, доступ к цифровой услуге
Актуальные проблемы авиации и космонавтики - 2021. Том 2
может не означать, что реальная личность субъекта известна. Подтверждение личности устанавливает, что субъект является тем, кем он себя называет [1].
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) [2].
Большие пользовательские данные - это данные, собираемые в сети различными сервисами, устройствами и приложениями о поведении пользователей, понимаемых как пользовательские профили [3].
В общем можно сказать, что цифровая личность строится из больших пользовательских данных, в состав которых входят и персональные данные. Одной из проблем является определение конкретного набора атрибутов, который можно было бы называть цифровой личностью.
На сегодняшний день в российском законодательстве и нормативных документах регуляторов такое понятие как цифровая личность не определено, но рассматривается законопроект, который должен внести некоторые изменения в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации». Предлагается дополнить ФЗ статьями, в которых будет дано определение цифрового профиля гражданина, используемого пользователями при обращении в государственные сервисы. Согласно законопроекту цифровой профиль является совокупностью сведений о гражданах и юридических лицах, содержащихся в информационных системах государственных органов, органов местного самоуправления и организаций, осуществляющих в соответствии с федеральными законами отдельные публичные полномочия, а также в единой системе идентификации и аутентификации (ЕСИА).
Для подключения к большинству государственных сервисов используется учетная запись ЕСИА, которая может быть трех уровней (упрощенная, стандартная и подтвержденная), отличающихся списком предоставляемых услуг. Для упрощенной записи достаточно указать ФИО, email или номер телефона, тогда как для создания подтвержденной записи требуется внести паспортные данные, СНИЛС и подтвердить свою личность. Упрощенная запись открывает доступ только лишь к справочной информации, а услуги недоступны, так как пользователь не предоставил никаких данных о себе и есть вероятность того, что владелец упрощенного аккаунта совсем не тот человек, которым он представился в системе. Исходя из этого, можно сделать вывод, что для создания цифровой личности в государственной системе, перечень минимально необходимых данных будет совпадать с перечнем необходимой информации для создания стандартной учетной записи, так как кроме основной регистрационной информации пользователь представляет документ, удостоверяющий личность, который в свою очередь пройдет проверку, и откроет часть услуг.
Еще одной площадкой для происхождения цифровых личностей являются социальные сети. Социальные сети, как правило, не делят профили на уровни и не ограничивают функционал в зависимости от указанных пользователем данных, но и состав цифровой личности тут определить сложнее. Некоторые соцсети требуют только контактную информацию для регистрации (email или номер телефона) и уникальный псевдоним, с помощью которого и будет производиться вход в систему, другие же, кроме контактной информации, запрашивают такие данные как фамилия и имя, дата рождения и пол. Тут можно заметить какую роль играют цифровые следы. Если в случае с первой соцсетью, где даже имя указывать не обязательно, портрет владельца профиля будет очень размыт, то во втором случае (при указании достоверной информации) уже будет понятна половая принадлежность и возрастная категория пользователя. Исходя из этой информации, алгоритмы соцсетей могут, например, предложить пользователю возможно интересных ему других пользователей.
Также сегодня достаточно популярны сервисы для просмотра фильмов и сериалов и распространения компьютерных игр. Помимо стандартных атрибутов, таких как ФИО, email и номер телефона, добавляются данные о способах оплаты, к аккаунтам привязываются карты и кошельки, а после покупки к профилю привязываются и сами товары (фильмы и игры).
Существует множество типов атак на цифровую личность, и сценарии ее использования бывают самыми различными:
а) продажа данных;
б) использование цифровой личности для создания новой цифровой личности;
в) использование привилегий пользователя;
г) выманивание денег у знакомых или распространение вредоносного программного обеспечения среди друзей пользователя.
В заключение стоит отметить, что для создания методики защиты цифровой личности нужно понимать, что является этой цифровой личностью в конкретном контексте, какие атрибуты в нее входят. Отсутствие единого определения, которое задало бы условия приравнивания конкретного набора данных к цифровой личности, также является проблемой.
Библиографические ссылки
1. NIST Special Publication 800-63B Digital Identity Guidelines. Authentication and Lifecycle Management // National Institute of Standarts and Technology U.S. Department of Commerce // United States of America, 2017. - 79 с.
2. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 30.12.2020) "О персональных данных" (с изм. и доп., вступ. в силу с 01.03.2021) // принят Государственной думой 8 июля 2006 года // одобрен Советом Федерации 14 июля 2006 года.
3. Лекториум // Большие пользовательские данные : сайт // URL: https://project.lektorium.tv/big_personal_data (дата обращения: 19.04.2021).
© Осанова А. С., 2021
