Национальная среда доверия идентификации для дистанционных сделок

Введение

Для совершения любой сделки[1] принципиально, чтобы каждый ее участник мог достоверно установить идентичность остальных участников, т. е. решить в отношении каждого: (1) идентифицировать – получить идентификатор, однозначно его определяющий, и (2) аутентифицировать – получить достоверное подтверждение того, что предъявитель идентификатора действительно является его владельцем[2]. Совокупность средств и механизмов, обеспечивающих решение перечисленных задач, будем называть средой доверия идентификации.

Для традиционных (недистанционных) сделок сформировалась развитая среда доверия, основанная на контактной идентификации и аутентификации в условиях прямого физического взаимодействия участников, например: идентификация по документу и аутентификация путем сверки фотографии с внешним видом субъекта и получения ответов на вопросы, ответы на которые должен знать только субъект.

В экономике информационного общества сделки, заключаемые в цифровой форме, могут совершаться дистанционно без прямого физического контакта участников[3]. В этом случае методы контактной идентификации и аутентификации не работают, что ставит вопрос о необходимости создания специальной среды доверия для дистанционных сделок, основанной на принципах и механизмах, которые применимы в отсутствие физических контактов участников. В предлагаемой статье рассматривается возможный вариант архитектуры такой среды доверия в масштабе одного государства (национальная среда доверия идентификации – НСДИ). В настоящее время в области идентификации и аутентификации отсутствует устоявшаяся система понятий с единообразным пониманием терминов[4], поэтому здесь используются следующие определения основных понятий.

Идентификация – сравнение идентификатора, предъявленного субъектом, с перечнем идентификаторов, известным проверяющему, например внесенным в базу регистра субъектов НСДИ при регистрации субъекта.

Субъект – любой участник дистанционных сделок, резидент или нерезидент РФ, в том числе любое юридическое либо физическое лицо, организация без создания юридического лица, индивидуальный предприниматель, нотариус, адвокат, иное лицо, занимающееся частной практикой, или робот (автоматизированная система).

Идентификатор – совокупность идентифицирующих атрибутов, в частном случае включающая один уникальный идентифицирующий атрибут, позволяющая однозначно указать (сослаться) на субъекта (т. е. отличить его от других субъектов). Примеры идентификаторов: для человека – совокупность идентифицирующих атрибутов, в которую входят полное имя, дата, страна и место рождения[5], дата выдачи, номер и серия удостоверения личности, ИНН, СНИЛС и т. д.; для компании – точное название, страна учреждения и номер свидетельства о регистрации. Для всех категорий субъектов НСДИ – Национальный идентификационный код.

Идентифицирующий атрибут субъекта – атрибут (параметр) субъекта, входящий в состав идентификатора субъекта, в совокупности с другими идентифицирующими атрибутами позволяющий однозначно определить субъекта. Примеры идентифицирующих атрибутов: для физического лица – внешность, голос, имя, фамилия, отчество, дата или место рождения, страна проживания, пол, номер паспорта, адрес регистрации, место работы, уникальный номер клиента; для юридического лица – название, регистрационный номер, страна учреждения; для автоматизированной системы – уникальный регистрационный номер.

Аутентификация – процедура подтверждения субъектом того, что он является владельцем предъявленных последовательно идентификатора и аутентификатора, в ходе которой субъект, предъявляя аутентификатор, доказывает подлинность предъявленного идентификатора. Примеры аутентификации: предъявление и проверка пароля; запрос, расчет и проверка кода подтверждения сообщения (message authentication code); расчет и проверка электронной подписи под документом.

Принципы организации и Архитектура НСДИ

В качестве основы для дальнейшего анализа зададим ограничения и бизнес-требования, которым должна удовлетворять НСДИ.

Законность. НСДИ должна основываться на требованиях национального законодательства и не противоречить им.

Юридическая сила. Дистанционные сделки, совершаемые с использованием сервисов НСДИ, должны удовлетворять требованию неотрекаемости (неотказуемости), в частности, не допускать возможности их опротестования только на основании дистанционного характера.

Однозначность идентификации. НСДИ должна предоставлять сервисы, которые бы обеспечивали возможность однозначного указания на субъект НСДИ и делали невозможной ссылку на неоднозначность или неправильность указания как основание для опротестования сделки. В частности, идентификатор субъекта НСДИ должен быть уникальным – одному идентификатору должен соответствовать один и только один субъект. Так как нашей целью является создание национальной среды доверия, идентификатор должен быть уникальным не менее чем в национальном масштабе.

Механизмы разрешения спорных ситуаций. НСДИ должна обеспечивать возможность объективного разрешения спорных ситуаций, в частности, наличие и возможность использования для разрешения споров данных, подтверждающих идентификацию и аутентификацию субъектов НСДИ, в том числе предъявления таких данных в суд в составе других материалов по сделке в целях получения признания судом дистанционной сделки.

Полнота. НСДИ должна предоставлять сервисы, обеспечивающие возможность любому субъекту, имеющему доступ к таким сервисам, дистанционно идентифицировать и/или аутентифицировать любого другого субъекта НСДИ.

Нейтральность в отношении субъектов. Доступность и возможность использования сервисов НСДИ не должны зависеть от особенностей субъектов, которыми или в отношении которых используются сервисы.

Нейтральность к отношениям субъектов. Доступность и возможность использования сервисов НСДИ не должны зависеть от отношений субъектов, в частности, сервисы должны быть применимы в отношении ранее не знакомых субъектов.

Нейтральность по отношению к сделкам. Доступность и возможность использования сервисов НСДИ не должны зависеть от особенностей сделок, в частности, от предметной области, режима совершения и параметров сделок.

Экстерриториальность. Доступность и возможность использования сервисов НСДИ не должны зависеть от местонахождения участников (при условии наличия технической возможности обмена сообщениями).

Непрерывная доступность. Сервисы НСДИ должны быть доступны в любой момент времени.

Многообразие временных режимов. НСДИ должна предоставлять сервисы, обеспечивающие возможность использования во всех временных режимах, востребованных экономикой, в том числе в режиме реального времени.

Многообразие и свобода выбора каналов доступа. НСДИ должна предоставлять сервисы идентификации и аутентификации по всем технически и экономически доступным и востребованным субъектами каналам доступа с возможностью выбора таких каналов субъектами.

Многообразие и свобода выбора средств доступа. НСДИ должна предоставлять сервисы идентификации и аутентификации с использованием всех технически и экономически доступных и востребованных субъектами средств доступа с возможностью выбора таких средств субъектами.

Общедоступность. Сервисы НСДИ должна быть равнодоступны субъектам, относящимся к различным сегментам, в том числе физическим лицам с различными финансовыми возможностями, образованием, возрастом, социальным происхождением, технической грамотностью, а также компаниям различного размера и различных областей специализации.

Производительность. Производительность сервисов НСДИ должна быть постоянно достаточна для комфортного использования субъектами всех категорий.

Выбор уровня безопасности. Любой пользователь сервисов идентификации и аутентификации должен иметь возможность выбора сервисов и/или режима их предоставления, обеспечивающих уровень безопасности не ниже значения, приемлемого для пользователя.

Трансграничная интеграция. НСДИ должна обеспечивать возможность функционального расширения для использования при совершении трансграничных дистанционных сделок, стороны по которым находятся в различных странах, как в рамках национальной юрисдикции, так и юрисдикции других стран или наднациональных структур. В частности, должна быть возможность достижения операционной совместимости НСДИ с аналогичными технологиями в других странах.

Защита от ошибок. НСДИ должна обеспечивать минимизацию вероятности ошибок субъектов и устойчивость к ошибкам, в частности, наличие эффективных механизмов раннего, в том числе автоматического, обнаружения и предотвращения таких ошибок.

Баланс безопасности и стоимости. НСДИ должна обеспечивать оптимальный баланс между безопасностью и стоимостью использования сервисов (стоимость понимается в широком смысле и включает в себя как непосредственную стоимость использования каналов доступа и средств идентификации и аутентификации, так и трудозатраты субъекта).

Общая нейтральность. НСДИ должна быть максимально нейтральной по отношению к различным особенностям сделок и субъектов, таким как национальная, культурно-социальная или языковая специфика, кодировка символов, аппаратно-программные и телекоммуникационные средства.

Идентификация субъекта

Необходимость дистанционной идентификации возникла довольно давно, так как дистанционные взаимодействия осуществлялись и в контактной экономике (например, при подключении к корпоративной сети или доступе к системе дистанционного банковского обслуживания). Для подобных ситуаций был найден эффективный универсальный способ идентификации по коду субъекта в виде последовательности символов.

Поскольку данный способ отвечает всем перечисленным требованиям, логично принять его в качестве основного механизма идентификации для НСДИ и идентифицировать субъектов дистанционных сделок при помощи уникального в национальном масштабе кода (далее – Национальный идентификационный код – НИК) в виде последовательности символов.

Приведенные общие требования применительно к НИК могут быть уточнены и дополнены.

Постоянство. НИК должен назначаться субъекту НСДИ один раз и использоваться в течение всего времени существования субъекта.

Универсальность. НИК должен единообразно использоваться для всех категорий субъектов.

Национально-языковая нейтральность. НИК должен допускать возможность использования субъектами любой национальности, говорящими на любых языках.

Техническая нейтральность. НИК должен допускать возможность использования в средах с любой кодировкой символов, по любым поддерживаемым НСДИ каналам доступа, с применением любых поддерживаемых НСДИ средств доступа и аутентификации, в том числе с ограничениями по символам, в частности, допускающим только ввод цифр.

Человекочитаемость. НИК должен обеспечивать возможность прочтения, распознавания, запоминания и использования не только ЭВМ, но и человеком.

Удобство использования. НИК должен легко запоминаться и вводиться, в частности, иметь минимально необходимую длину и разбиваться на легко запоминаемые группы.

Низкий риск ошибок. НИК должен обеспечивать низкую вероятность непреднамеренных ошибок при вводе и своевременное их обнаружение, например за счет использования контрольных разрядов.

Единственное подмножество символов, единообразно понимаемое в разных языках и культурах, знакомое максимально широкому спектру потенциальных пользователей, минимально зависящее от кодировки и прочей национальной специфики, – это цифры. Таким образом, перечисленные требования оставляют только одну возможность – использовать в качестве НИК последовательность цифр.

Уникальность НИК в национальном масштабе может быть обеспечена различными способами, однако эффективнее всего это может быть сделано путем централизации на федеральном уровне процесса генерации и назначения НИК для всех категорий субъектов.

Для этого необходимо создание федерального регистра субъектов (ФРС) – управляемой на федеральном уровне уполномоченной организацией (оператором ФРС) общенациональной базы, в которой бы регистрировались субъекты НСДИ с хранением по каждому субъекту существенной для НСДИ и дистанционных взаимодействий структурированной информации и генерацией уникального НИК субъекта (рис. 1).

С точки зрения архитектуры ФРС является выделенным специализированным компонентом федеральной технологической инфраструктуры, обеспечивающим различным потребителям инфраструктурные сервисы, связанные с информацией о субъектах.

Потребителями информационных сервисов ФРС являются любые участники процессов дистанционных взаимодействий, в том числе сервис-провайдеры, входящие в состав федеральной и/или региональной технологической инфраструктуры, либо коммерческие, а также субъекты дистанционных взаимодействий.

Рис. 1. Федеральный регистр субъектов

В основе ФРС находится промышленная высокопроизводительная база данных, в которой хранятся учетные записи субъектов. С точки зрения физической архитектуры база данных ФРС может быть как централизованной, так и распределенной, но с обязательным сохранением централизованного управления.

Регистрация в ФРС выполняется на добровольной основе субъектами, желающими осуществлять дистанционные взаимодействия в режимах, требующих использования сервисов ФРС.

Каждый субъект может быть зарегистрирован в ФРС не более одного раза, с этой целью при регистрации производится автоматический контроль уникальности идентифицирующих атрибутов.

При регистрации и/или изменении атрибутов субъекта ФРС может автоматически обращаться с запросами к другим федеральным, ведомственным, муниципальным или коммерческим информационным ресурсам, например для контроля корректности или непротиворечивости введенной информации, получения дополнительных данных и автоматического подтверждения введенных данных.

При регистрации субъекту автоматически назначается НИК, генерация которого производится в соответствии с установленными правилами и автоматическим контролем уникальности.

Регистрация выполняется через организации и физических лиц, уполномоченных оператором ФРС осуществлять управление данными субъектов в ФРС (далее – уполномоченные агенты ФРС).

В качестве уполномоченного агента ФРС может выступать любое лицо, занимающееся обслуживанием субъектов, заключившее с оператором ФРС соответствующее соглашение и получившее доступ к ФРС в соответствии с требованиями, установленными оператором ФРС (например, подразделения ФНС, ФМС, банки, небанковские финансовые организации, почта России, страховые компании, нотариусы, регистрационные палаты, операторы сотовой связи, интернет-провайдеры, удостоверяющие центры и т. п.).

Функции уполномоченного агента ФРС включают регистрацию субъектов, изменение данных зарегистрированных субъектов и подтверждение данных субъектов, включая в установленных случаях обслуживание клиентов в режиме личного присутствия, в том числе контроль документов, предоставленных субъектом, оформление документов на бумажном носителе, заверенных личной подписью (подписями уполномоченных лиц) субъекта, получение и обработку биометрической информации.

Доверие к данным ФРС определяется уровнем их подтверждения, зависящим от степени доверия к лицу, подтвердившему данные ФРС (в том числе к ответственности этого лица за недостоверность данных), и надежности процедуры контроля данных. Так, очевидно, что доверие к паспортному столу ФМС будет выше, чем к офису интернет-провайдера, а доверие к процедуре подтверждения, предполагающей личный визит и проверку паспорта субъекта, будет выше, чем к процедуре без личного визита.

Аутентификация

Задача аутентификации при дистанционных взаимодействиях также не является новой и эффективно решается в рамках корпоративных[6] сред доверия. Значительный опыт в этой области накоплен компаниями, занимающимися дистанционным обслуживанием, в первую очередь банками.

Для аутентификации в корпоративных системах используется широкий спектр инструментов, например пароли, таблицы и генераторы разовых кодов, разовые коды, передаваемые по альтернативным каналам, генераторы кодов подтверждения сообщения, электронная подпись.

Рис. 2. Корпоративная среда доверия

В основе корпоративной среды доверия (рис. 2) лежит доверие субъектов к корпоративному провайдеру аутентификации, предоставляющему субъектам сервисы аутентификации, при помощи которых один субъект внутри корпоративной среды доверия может дистанционно аутентифицировать другого.

В ходе процедуры аутентификации, которая проводится по запросу аутентифицирующего субъекта или по инициативе аутентифицируемого, последний сообщает корпоративному провайдеру аутентификации установленный набор аутентифицирующих атрибутов (АА), например пароль, разовый код, данные с чиповой карты или токена, защищенного паролем, и т. п.

Корпоративный провайдер аутентификации проверяет аутентифицирующие атрибуты, обращаясь при необходимости к профилю субъекта в корпоративном регистре субъектов, и сообщает результат аутентификации (РА) аутентифицирующему субъекту.

Особенностью корпоративной среды доверия является ее закрытость – сервисы аутентификации предоставляются только внутри ее и только в отношении зарегистрированных в корпоративном регистре субъектов. Наружу корпоративные среды доверия сервисы дистанционной аутентификации не предоставляют.

Теоретически можно создать национальную среду доверия в форме корпоративной среды доверия национального масштаба. Архитектурно такая НСДИ будет подобна описанной выше корпоративной среде доверия (см. рис. 2) за исключением того, что вместо корпоративного провайдера аутентификации будет федеральный провайдер аутентификации, с которым все субъекты должны будут заключить соглашения о дистанционной аутентификации.

Технически и архитектурно задача вполне решаема, однако можно ожидать, что при этом возникнут проблемы не технического характера. Наиболее существенна, как показывает опыт других стран, проблема востребованности сервисов (acceptance).

Из-за наличия в любом процессе аутентификации двух сторон – аутентифицирующего и аутентифицируемого субъектов – НСДИ является сетевой системой с положительной обратной связью. Ценность ее сервисов для первых увеличивается с ростом числа вторых и для вторых – с возрастанием числа первых. На начальном этапе, пока число присоединившихся к НСДИ субъектов мало, система не представляет интереса ни для тех ни для других, поскольку затраты (как прямые финансовые, например, на приобретение средств аутентификации, так и косвенные в виде потери времени и т. п.), необходимые для подключения, не окупают получаемые преимущества.

Чтобы интерес возник, должен быть преодолен «сетевой барьер» – число присоединившихся субъектов должно превысить некоторый минимальный уровень, после чего начинается ускоряющийся (экспоненциальный с выходом на насыщение) рост количества участников.

Преодоление «сетевого барьера» требует значительных административных и/или финансовых ресурсов, но, как показывает опыт некоторых стран, даже это не гарантирует успеха. Поэтому важно использовать все возможные рычаги, позволяющие снизить «сетевой барьер» и облегчить решение проблемы востребованности, в том числе не исключая использование сервисов федерального провайдера аутентификации, рассмотреть другие механизмы аутентификации, для которых «сетевой барьер» менее выражен или отсутствует.

Одним из способов, при помощи которого проблема «сетевого барьера» может быть если не решена, то в значительной степени смягчена, является использование при построении национального пространства доверия в качестве строительных блоков уже имеющихся корпоративных пространств доверия.

В настоящее время в РФ существует значительное количество функционирующих корпоративных сред доверия с огромной базой зарегистрированных субъектов. В это число входят все организации, предоставляющие дистанционное обслуживание: сотни банков, тысячи сайтов, множество небанковских финансовых организаций.

Внутри каждой корпоративной среды доверия уже реализованы механизмы, обеспечивающие дистанционную аутентификацию с той или иной степенью надежности. Субъекты таких КСД, а это значительная часть населения, уже заключили соответствующие договора, имеют средства аутентификации и привыкли ими пользоваться, т. е. для них проблема «сетевого барьера» решена.

Для превращения множества закрытых и не связанных друг с другом КСД в единое национальное пространство доверия необходимо «открыть» КСД, превратив их в коммерческих провайдеров аутентификации (далее – КПА) и научив предоставлять сервисы аутентификации в отношении известных им субъектов другим участникам НСДИ.

Достижение этой цели в общем случае требует решения целого комплекса задач, включающего такие элементы, как создание необходимой нормативно-правовой среды, задающей правила игры и устанавливающей права, обязанности и ответственность участников; разработка стандартов, описывающих аутентификационные процессы, процедуры и протоколы взаимодействия; создание коммуникационной среды, включая соответствующую технологическую инфраструктуру, обеспечивающей взаимодействие между участниками, в частности маршрутизацию сообщений. В настоящей статье ограничимся архитектурно-технологическими аспектами создания НСДИ.

Рассмотрим в обобщенном виде процесс аутентификации (рис. 3).

В процессе дистанционных взаимодействий у одного из ее участников (инициатора аутентификации – ИА) возникает необходимость аутентификации второго участника (аутентифицируемый субъект – АС). Как правило, в качестве АС выступает покупатель услуг, в качестве ИА – продавец, хотя возможны ситуации, когда обе стороны по сделке должны аутентифицировать друг друга.

В общем случае АС и ИС не знакомы. Взаимодействие между АС и ИА осуществляется по каналу дистанционного доступа, предоставляемого ИА.

ИА имеет соглашения об аутентификации других субъектов с коммерческим провайдером аутентификации ИА (КПА ИА) и в вопросах аутентификации доверяет только ему. Аналогично АС имеет соглашение об аутентификации с коммерческим провайдером аутентификации АС (КПА АС) и может аутентифицироваться только через него.

Взаимодействие между АС и КПА АС и между ИА и КПА ИС осуществляется по защищенным каналам, предоставляемым КПА АС и КПА ИА соответственно, с соблюдением условий соглашений об аутентификации.

КПА ИА и КПА АС в общем случае не имеют прямых отношений, но могут обмениваться сообщениями, используя сервисы технологической инфраструктуры НСДИ[7] (ТИ НСДИ).

Доступ КПА ИА и КПА АС к ТИ НСДИ осуществляется по защищенным каналам в соответствии с соглашениями, заключенными КПА ИА и КПА АС с организацией, ответственной за предоставление доступа к сервисам ТИ НСДИ.

Рис. 3. Обобщенный процесс аутентификации

До начала аутентификации АС представляется ИА, сообщая ему НИК (1). Кроме того, АС может передать ИА политику аутентификации (структурированный набор требований АС к аутентификации, например имеющиеся в наличии в настоящий момент средства доступа и аутентификации).

Процесс аутентификации начинается с направления ИА в адрес КПА ИА запроса (2) на аутентификацию с передачей НИК, политики аутентификации АС и политики аутентификации ИА (структурированный набор требований ИА к необходимому уровню доверия к аутентификации, например, ограничения на возможные режимы и средства аутентификации).

КПА ИА формирует и направляет в ТИ НСДИ запрос (3) на верификацию НИК и получение списка КПА, обслуживающих АС, доступных в настоящий момент и удовлетворяющих условиям политик аутентификации АС и ИА. В параметры запроса включаются НИК и политики аутентификации АС и ИА.

ТИ НСДИ верифицирует НИК (проверяет наличие НИК и его статус) и формирует список доступных в момент обработки запроса КПА, обслуживающих АС и удовлетворяющих политикам аутентификации АС и ИА. В случае положительного результата верификации НИК и непустого списка последний возвращается КПА ИА (4) и далее ИА (5).

ИА передает список АС (6) для выбора наиболее приемлемого КПА, результат выбора возвращается ИА (7) и далее передается КПА ИА.

На основании входящего запроса на аутентификацию и информации о выбранном КПА АС КПА ИА формирует и направляет (9) в ТИ НСДИ запрос на аутентификацию, адресованный выбранному КПА АС. ТИ НСДИ обеспечивает передачу запроса на аутентификацию КПА АС.

АС обращается к КПА АС для проведения аутентификации, выбирает (10) из предоставленного перечня (учитывающего политики аутентификации ИА и КПА АС) оптимальные для него режим и средства аутентификации и выполняет аутентификацию (11).

КПА АС, используя сервисы защищенного информационного обмена ТИ НСДИ, возвращает (12) результат аутентификации КПА ИА, который, завершая процесс аутентификации, передает его ИА (13).

Технически процесс обмена сообщениями между участниками вышеописанного процесса может осуществляться в различных режимах, например через выделенные защищенные каналы или через браузер АС. Подробный анализ таких режимов относится к этапу технического проектирования и в настоящей статье не рассматривается. Мы ограничимся рассмотрением основных требований, которым должна отвечать система инфраструктурных сервисов НСДИ, чтобы обеспечить безопасность дистанционных сделок[8].

Общее требование состоит в том, что процесс аутентификации должен быть защищен от любых возможных атак, в результате которых может быть нанесен ущерб интересам кого-либо из участников сделки. В основе таких атак могут лежать различного рода вмешательства в процесс аутентификации (атаки, основанные на вмешательстве в процесс подтверждения сделок, здесь не рассматриваем), такие как подмена идентичности или результата аутентификации, атака «человек посередине», атака на протокол аутентификации, атака путем подмены учетных записей и т. п.

Для исключения подобных атак ТИ НСДИ должна обеспечить выполнение, в частности, следующих условий:

  • стороны, обменивающиеся сообщениями, используя сервисы защищенного информационного обмена ТИ НСДИ, должны быть уверены, что содержание сообщения в процессе передачи не изменилось и не стало доступно третьей стороне, не имеющей права на доступ к такой информации;
  • сторона, получающая сообщение, должна быть уверена, что оно сформировано и отправлено субъектом, указанным в сообщении в качестве отправителя;
  • сторона, отправляющая сообщение, должна быть уверена, что оно будет доставлено лицу, указанному в нем в качестве получателя;
  • КПА ИА должен быть уверен, что КПА АС уполномочен аутентифицировать АС, и доверять информации, возвращаемой в составе результатов аутентификации;
  • КПА АС должен быть уверен, что КПА ИА уполномочен запрашивать аутентификацию, и доверять информации, передаваемой в составе запроса на аутентификацию;
  • сторона, получившая сообщение и выполняющая на его основании какие-либо действия в соответствии с установленными правилами, должна быть уверена, что в случае спора данное сообщение будет рассматриваться как основание для таких действий.

Создание ТИ НСДИ, отвечающей перечисленным требованиям, является основной целью при проектировании архитектуры НСДИ.

Архитектура ТИ НСДИ

Выполнение требований к ТИ НСДИ, перечисленных в предыдущем отделе, проще всего обеспечить в одноранговой архитектуре, основанной на прямых отношениях каждого субъекта с каждым КПА (рис. 4), в которой любой КПА является общим для ИА и АС.

Рис. 4. Архитектура «каждый субъект с каждым КПА»

Очевидным плюсом данной архитектуры является то, что она основана на прямых договорных отношениях и не требует внесения изменений в законодательство.

Платой за простоту является проблема количества связей. Для M субъектов и N КПА и связности «каждый субъект с каждым КПА»: число связей с КПА на одного субъекта (число связей «субъект – КПА») равно N, число связей с субъектами на одного КПА (связи «КПА – субъект») равно M, число связей между КПА (связи «КПА – КПА») равно 0.

В случае РФ консервативная оценка M~108, N~104 дает ~104 связей «субъект – КПА», ~107 связей «КПА – субъект». Понятно, что заключение каждым субъектом (например, физическим лицом) десятков тысяч договоров с различными КПА и каждым КПА около 1000 млн договоров с субъектами практически невозможно.

Поскольку столь большое число связей является следствием требования «каждый субъект с каждым КПА», проблема может быть смягчена, если это ограничение снять. Допустим, что КПА может принимать запросы на дистанционную аутентификацию незнакомых ему субъектов и передавать такие запросы КПА, который знает субъекта. При этих условиях каждому субъекту достаточно установить отношения доверия только с одним КПА, который будет служить для него «входом» в ТИ НСДИ (рис. 5).

Рис. 5. Архитектура «каждый КПА с каждым КПА»

Оценка структуры связей для этой архитектуры дает одну связь «субъект – КПА», ~M/N связей «КПА – субъект», N связей «КПА – КПА» на одного КПА. Для РФ число связей «КПА – субъект» и связей «КПА – КПА» оцениваются как ~104 и ~104 соответственно, что делает рассматриваемую архитектуру теоретически возможной, но трудно реализуемой.

В случае небольшой страны с населением около миллиона человек и несколькими десятками КПА число связей «КПА – субъект» и «КПА – КПА» оценивается как ~104 и ~101 соответственно, т. е. такая архитектура вполне реализуема.

Чтобы еще больше снизить число связей, полностью снимем требование «КПА ИА должен напрямую обращаться к КПА АС» и предположим, что в архитектуре НСДИ есть один или несколько «центров доверия», каждый из которых может принять запрос на аутентификацию любого субъекта, каким-то образом обеспечить процесс аутентификации и вернуть результат аутентификации.

Частным случаем архитектуры с центрами доверия является моноцентрическая архитектура (рис. 6) с одним центральным доверенным контрагентом (ЦДК), выступающим в качестве доверенной третьей стороны (ДТС), задачей которого является определение КПА, знающего субъекта, и дальнейшая организация процесса дистанционной аутентификации. В данной архитектуре КПА при поступлении запроса на дистанционную аутентификацию незнакомого субъекта всегда обращается к ЦДК и полностью полагается на полученный от него ответ.

Рис. 6. Моноцентрическая архитектура

Оценка структуры связей для вышеописанной архитектуры дает одну связь на каждого субъекта, ~M/N связей «КПА – субъект», одну связь с ЦДК для каждого КПА (связи «КПА – ЦДК») и N связей с КПА для ЦДК (связи «ЦДК – КПА»). Для РФ оценка числа связей «КПА – субъект» и «ЦДК – КПА» дает ~104 и ~104 соответственно, показывая практическую реализуемость такой архитектуры.

Внутреннее устройство ЦДК показано на рис. 7. Тот факт, что в качестве провайдера аутентификации может выступать как коммерческий, так и федеральный провайдер аутентификации, отражен пересечением соответствующих областей.

Рис. 7. Центральный доверенный контрагент

Менеджер аутентификации предоставляет внешним потребителям сервисов (коммерческим провайдерам аутентификации) набор интерфейсов, необходимых для проведения аутентификации, и обеспечивает маршрутизацию и доставку сообщений между участниками процесса аутентификации.

Федеральный провайдер аутентификации (ФПА) функционально полностью аналогичен КПА, но входит в состав ЦДК и соответственно является федеральным инфраструктурным сервисом. Использование сервисов ФПА является правом, но не обязанностью субъекта[9].

Обратим внимание, что как компоненты ЦДК, так и КПА для получения структурированной информации о субъекте, необходимой для аутентификации, в том числе получения перечня провайдеров аутентификации и списка средств аутентификации субъекта ЦДК, используют сервисы Федерального регистра субъектов.

Моноцентрическая архитектура имеет несколько недостатков: (1) ЦДК является единой точкой «концентрации транзакционной нагрузки», что снижает масштабируемость; (2) ЦДК является единой точкой отказа – в случае его выхода из строя вся система перестает работать; (3) все КПА, многие из которых могут быть региональными, должны иметь договорные отношения с ЦДК, в стране с большой территорией такая концентрация функций может стать фактором, затрудняющим развитие.

Разрешить вышеперечисленные проблемы можно путем дополнения иерархии участников уровнем региональных доверенных контрагентов (РДК), с делегированием последним части функций ЦДК, в частности договорных отношений с КПА (рис. 8).

РДК могут также взять на себя функцию организации процесса аутентификации в случаях, когда в процессе аутентификации участвуют КПА, относящиеся к одному региону. Это снизит нагрузку на ЦДК, через который будут обрабатываться только кросс-региональные запросы.

При установлении связей РДА – РДА[10] решается и проблема «единой точки отказа», так как в случае выхода из строя ЦДА система продолжит работать, используя для передачи сообщений горизонтальные связи между РДА.

Рис. 8. Полицентрическая архитектура

Конечное архитектурное решение должно приниматься с учетом всех существенных факторов и особенностей страны. Для РФ на первом этапе более предпочтительной представляется моноцентрическая архитектура с одним федеральным ЦДК под управлением государства. В дальнейшем возможен постепенный переход к полицентрической архитектуре с коммерческими РДА.

Управление безопасностью

Требования безопасности дистанционных сделок и требования качества их предоставления[11], как правило, разнонаправлены – повышение безопасности сопровождается ухудшением качества, и наоборот.

Поскольку конечной целью любого бизнеса является максимизация прибыли и ему одинаково неинтересны сервисы как абсолютно безопасные, но крайне неудобные и поэтому не пользующиеся спросом и не генерирующие прибыль, так и абсолютно удобные, но крайне небезопасные и, следовательно, генерирующие убытки, бизнес готов принять на себя определенный риск и решать задачу максимизации прибыли на двумерном пространстве «безопасность – качество».

Взаимозависимость безопасности и качества предоставления связывает задачи повышения качества и безопасности в единую задачу максимизации прибыли путем создания еще качественных, но уже безопасных сервисов.

Борьба за компромисс идет по двум направлениям.

Первое направление – решение задачи минимизации потерь. Экспертное сообщество активно ищет и внедряет новые средства и способы защиты дистанционных сделок, ставя целью нахождение инструментов, которые обеспечили бы максимально возможную безопасность без существенного ухудшения (а если получится, то и с улучшением) качества предоставления сервисов.

Второе направление – решение задачи максимизации дохода. На базе существующих (включая новые) средств и способов обеспечения безопасности ведется поиск максимально достижимого качества при допустимом снижении уровня безопасности. Рассмотрим эту задачу более подробно на примере типичной ситуации заключения дистанционной сделки между поставщиком (продавцом) и потребителем (покупателем) сервисов.

В общем случае покупатель и продавец отвечают каждый сам за себя и могут иметь разные представления об оптимальном балансе безопасности и качества, в частности разные «аппетиты» к риску. Поэтому разумно не ограничивать их свободу выбора и предоставить каждой стороне право выбора приемлемых для нее уровней риска и качества.

Поскольку в сделке участвуют две стороны, сделка может быть совершена, только если сторонами найден режим совершения сделки, при котором баланс «безопасность – качество» устраивает обе стороны.

Примем, что каждая из сторон по сделке характеризуется «аппетитом» к риску, описываемым зависимостью максимально допустимого риска потерь от ожидаемой величины потерь , где  – максимально допустимая для стороны вероятность потери средств в результате нарушения безопасности (например, мошенничества),  – ожидаемая стороной величина потерь. Вид зависимости определяется каждой стороной самостоятельно и является частью ее политики управления рисками.

Для принятия решения о достаточной безопасности сделки каждая сторона рассчитывает (или, как минимум, субъективно оценивает) вероятность  потерь по совершаемой сделке. В расчет (оценку) принимается вся известная стороне информация об условиях сделки: содержание, сумма и режим совершения сделки, контрагенты, надежность идентификации и аутентификации и т. д. Порядок расчета  определяется каждой стороной самостоятельно и является частью ее политики безопасности.

Рассчитав , сторона сравнивает полученный результат с максимально допустимым риском для ожидаемой величины потерь . Любая ситуация при совершении сделки, когда , считается стороной приемлемой, а сделка возможной.

В модели «продавец – покупатель» первый является «сильной стороной» и устанавливает ограничения, которым должен удовлетворять покупатель[12]. Продавец может управлять уровнем риска, устанавливая различные ограничения для покупателя, например на сумму сделки для данного уровня риска или на уровень надежности аутентификации и/или подтверждения сделки в зависимости от ее суммы.

Для выполнения требований продавца покупатель может варьировать параметры сделки и режима ее совершения, например, снизить сумму или повысить уровень подтверждения своих данных либо выбрать более надежные средства аутентификации.

Являясь «слабой стороной», покупатель не может устанавливать ограничения для продавца и может только минимизировать свои риски, например путем снижения  до приемлемого уровня, в частности за счет полного отказа от сделки.

Управление ТИ НСДИ

Ключевой фактор, от которого зависит возможность создания и развития ТИ НСДИ, – правильный выбор модели управления.

При выборе модели управления для ТИ НСДИ будем исходить из того, что ТИ НСДИ является частью национальной технологической инфраструктуры и подчиняется тем же законам управления, что и другие национальные инфраструктуры.

Одна из особенностей национальной инфраструктуры заключается в том, что ее создание требует унификации и стандартизации в национальном масштабе, а также принятия решений, отражающих общенациональные интересы, возможно, в ущерб интересам отдельных участников рынка, кроме того, значительных инвестиций. Решение такой задачи исключительно силами частного бизнеса вряд ли возможно.

Как показывает практика, в отсутствие направляющей руки государства формирование инфраструктуры под воздействием рыночных механизмов происходит довольно стохастично и медленно. В результате, как правило, возникает «лоскутное одеяло» из многочисленных слабо интегрированных частных инфраструктур, основанных на разных стандартах, операционно несовместимых, конкурирующих друг с другом и не имеющих единого центра управления развитием.

Такая модель развития крайне неэффективна и неконкурентоспособна, поскольку из-за отсутствия экономии масштаба (многократного дублирования расходов на создание и обеспечение функционирования сходной функциональности) влечет повышенные инвестиции, а из-за операционной несовместимости и отсутствия единых стандартов не способна обеспечить достаточное качество сервисов и полное удовлетворение потребностей субъектов экономики.

Создание децентрализованно управляемой распределенной инфраструктуры путем интеграции и частичной унификации множества частных инфраструктур теоретически возможно, но представляется труднореализуемым, так как потребует координации усилий множества участников с разнонаправленными (ведомственными или коммерческими) интересами и заключения огромного количества парных соглашений.

С учетом вышесказанного оптимальным вариантом модели управления представляется гибридная модель, в рамках которой ТИ НСДИ разделяется на федеральную технологическую инфраструктуру (ФТИ) и коммерческую технологическую инфраструктуру.

Если коммерческая ТИ, как следует из названия, управляется и развивается коммерческими компаниями, то в отношении ФТИ применяется централизованное управление и финансирование (полное или частичное) со стороны государства через уполномоченную структуру (компанию или ведомство), назначенную ответственной за создание и развитие ФТИ НСДИ (далее – оператор ФТИ НСДИ).

В задачу оператора ФТИ НСДИ помимо собственно развития и обеспечения функционирования ФТИ НСДИ входит управление соответствующими стандартами и стратегией развития ФТИ НСДИ в целом. Кроме того, оператор ФТИ НСДИ может обеспечивать управление и другими информационными ресурсами федерального уровня, например ФРС.

Теоретически в качестве оператора ФТИ НСДИ может быть назначено одно из действующих ведомств. Однако, поскольку ФТИ НСДИ создается в интересах многих ведомств, выделение одного из них нарушило бы баланс интересов. Кроме того, являясь довольно специфической, задача создания ФТИ НСДИ окажется непрофильной для любого из существующих ведомств.

С учетом вышесказанного и специального характера задачи представляется наиболее правильным создать для ее решения отдельную специализированную компанию с государственным участием. Финансирование работ по созданию, дальнейшему развитию и сопровождению ФТИ НСДИ на начальном этапе целесообразно производить из средств государственного бюджета. В дальнейшем, по мере увеличения количества пользователей сервисов ФТИ НСДИ можно будет перейти к гибридной модели финансирования с частичной оплатой расходов из получаемых доходов.

[1] В настоящей статье понятие «сделка» рассматривается в широком смысле – как любая экономическая сделка или операция, К сделкам относим, например, операции по переводу денег.

[2] Перечень сервисов, составляющих среду доверия, не ограничивается идентификацией и аутентификацией и включает сервисы подтверждения сделок, например путем подписания документов электронной подписью. В данной статье рассмотрение ограничивается сервисами идентификации и аутентификации.

[3] Эта возможность настолько существенна, что, возможно, более корректно говорить об информационном телеинтерактивном обществе (ИТ-обществе).

[4] Например, идентификация может пониматься как (1) способ ссылки на субъекта; (2) комбинация ссылки на субъекта и аутентификации; (3) сбор информации о субъекте в рамках процедур know your client и в целях ПОД/ФТ.

[5] Вообще говоря, данное сочетания может быть неуникальным, например, если родители двух или более близнецов одного пола дадут всем одинаковое имя (странно, но юридически и технически допустимо). Тем не менее даже в этом случае удостоверения личности у таких субъектов будут разными (как минимум, иметь разные номера).

[6] Под корпоративной системой понимается любая «закрытая» система с установленными правилами поведения участников, предоставляющая сервисы только зарегистрированным субъектам (участникам), согласным с правилами системы (например, банк, частная платежная система).

[7] Под технологической инфраструктурой НСДИ понимается система взаимодействующих друг с другом федеральных, региональных и коммерческих технологических сервис-провайдеров, обеспечивающих предоставление технологических сервисов, на базе и с использованием которых бизнес-сервис-провайдеры, обслуживающие участников дистанционных взаимодействий, реализуют бизнес-сервисы, необходимые для осуществления дистанционных сделок.

[8] Рассматриваются только требования к доверенной среде НСДИ. Предполагаем, что обмен сообщениями между АС и КПА АС и между ИА и КПА ИА достаточно защищен от несанкционированного доступа.

[9] Для некоторых категорий субъектов, например госорганов, использование сервисов ФПА может быть установлено как обязательное.

[10] Кроме связывания РДА потребуются реализация и поддержание в РДК части функциональности ЦДК, а также репликации необходимых для выполнения этих функций данных, например региональной части базы субъектов.

[11] Под качеством предоставления понимается совокупность субъктивно и объективно воспринимаемых потребителем факторов, таких как надежность системы предоставления сервисов, доступность сервисов, их прямая стоимость (комиссии и т. п.), трудозатраты (затраты времени) при получении, легкость и удобство использования и т. д.

[12] Покупатель также может сформулировать для себя требования к продавцу и отказаться от заключения сделки, если продавец им не отвечает.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Цифровой девелопмент

Подробнее
Спецпроект

Машиностроительные предприятия инвестируют в ПО

Подробнее


Подпишитесь
на нашу рассылку