ID2: данные в чужие руки, незаконный доступ к ЭЦП и другое

Прошло чуть больше года с того момента, когда казахстанская компания Ak Kamal Security представила приложение ID², позволяющее считывать данные с чипа удостоверения личности РК. Уже в тот момент в компании не сомневались, что данное решение будет интересно многим компаниям, в том числе финансовым организациям, и позволит заметно упростить и ускорить работу с клиентами за счет быстрого переноса их данных во внутренние системы. С другой стороны проявилась и обеспокоенность клиентов, которые пытались понять, не сможет ли доступ к чипу и хранящимся там данным дать банкам возможность использовать ЭЦП клиента или собрать какие-то данные, которые клиент не хотел бы передавать. Мы решили узнать у разработчиков ID² о том, как живет проект и задать вопросы о продукте техническому директору Ak Kamal Security Павлу Карабиди.

— Павел, скажите, разработка оправдала ваши ожидания? Интерес на рынке к подобным продуктам есть?

— Интерес есть. Скажу даже больше — когда мы занимались разработкой ID², мы не ожидали, что приложение вызовет столь большой интерес. Конечно, мы видели потенциал. Например, были уверены, что продукт заинтересует банки. Так, кстати, и получилось. Но, как оказалось, удобные средства для сбора данных с удостоверений личности востребованы и во многих других отраслях. Причем, что интересно, разные компании видят ключевыми разные возможности ID². Для кого-то важнее одна, для кого-то — другая. Кому-то критически важно увеличить скорость сбора данных, другим важна безошибочность переноса, третьим нужна возможность проверки легитимности документа.

— А какие возможности ID² наиболее востребованы клиентами?

— Учитывая, что ID² приложение не модульное и предоставляет сразу все возможности, то используются они все. Но, естественно, как я уже сказал, задачи и приоритеты у разных клиентов разные. Для банков, конечно, одинаково важны все возможности. ВУЗы — они используют ID² в приемных комиссиях — в первую очередь заботятся о точности переноса данных, так как если ошибочные данные абитуриента будут отправлены в системы Министерства образования, то внести в них корректировки довольно сложно. Они же, кстати, активно используют фотографии абитуриентов, которые получают с удостоверений. Раньше им приходилось приглашать для этого фотографа. Так что каждый находит в ID² что-то свое, что ему особенно нужно, но и остальные возможности редко остаются невостребованными.

— Вопрос по интеграции. Какие возможности и какие сложности?

— Возможности для интеграции у ID² достаточно широки, равно как и возможности настройки. Поэтому организовать взаимодействие приложения с практически любой системой не слишком сложно. Есть самый простой вариант, когда ID² сохраняет данные в файл или буфер обмена, в соответствии с заданным шаблоном. Более универсальный вариант — это отправка данных на внутренний или внешний сервер в теле GET или POST-запроса, где впоследствии обрабатывается и сохраняется для дальнейшего использования. Есть также возможность запуска ID² в режиме локального сервера, что позволяет приложениям самостоятельно обращаться за данными, считанными с удостоверения личности. Эту возможность используют, в частности, разработанные нами расширения ID² Web для Google Chrome и ID² Word для MS Word. Они позволяют использовать данные, полученные ID² в браузере и текстовом редакторе от Microsoft быстро и максимально удобно.

— Какой сегмент рынка самый активный в плане внедрения средств для работы с удостоверениями личности?

— В данный момент наиболее активны банки. Но и в других сегментах активность заметна. ВУЗы этой весной активно внедряли ID², причем не только алматинские и астаниские. Им ID² позволила «убить нескольких зайцев» сразу: решить проблему с ошибками ввода, сократить время регистрации абитуриента и получить его фото в качестве, достаточном для печати. Кроме того, у них есть определенное преимущество перед другими нашими клиентами — среди абитуриентов нет тех, кто имеет удостоверение старого образца, то есть без чипа. Соответственно, они могли без оглядки переводить свои приемные комиссии на ID². Также заметен интерес со стороны разработчиков систем контроля и управления доступом, которые, благодаря ID² смогли отказаться от карт доступа в пользу удостоверений личности. Кстати, это именно тот сегмент, который в данный момент выглядит с нашей точки зрения максимально привлекательным. Системы контроля доступа используются на многих объектах, но имеют серьезные недостатки. В частности, при гостевом доступе все еще продолжают записывать посетителей в некую тетрадку. Да и сотрудники компаний, использующих СКУД, все также пользуются отдельными картами доступа, что, как мне кажется, не очень удобно.

— А есть какие-то реализации, которые вам не казались очевидными при разработке ID²?

— На самом деле, все реализации по-своему интересны. Но если нужно выбрать ту, о которой мы не думали на этапе разработки... пожалуй, использование в СКУД. Для нас этот вариант был очевиден лишь с точки зрения сбора данных о посетителях, а не в плане использования удостоверения как идентификатора для доступа. Уверен, что постепенно разработчики разных систем найдут еще более интересные применения для ID². Как ни крути, а приложение весьма универсальное, имеет широкие возможности по интеграции и конфигурации, а потому, и применять его можно для решения самого широкого спектра задач.

— Какие планы по доработке? Есть ли функционал, который пока не реализован?

— Буквально в прошлом месяце мы закончили внедрение в приложение важной функции, которая была запланирована уже давно — это проверка подписи данных в чипе удостоверения. При выдаче документа, а точнее при записи данных на чип, эти данные подписываются ЭЦП выдающего органа. В последней на текущий момент версии (1.11) ID² проверяет эту подпись и выдает оператору данные о результате проверки — подтверждена подлинность данных или нет. Дополнив этой возможностью уже имевшийся функционал по проверке документа, мы можем говорить о том, что задача проверки удостоверений личности решается нашим приложением достаточно эффективно.

Что касается планов, то, скорее всего, в ближайшее время займемся разработкой мобильной версии — ID² Mobile. Как минимум, для операционной системы Android. Интерес к подобному решению есть. Возможно, в будущем займемся и версией для iOS, но относительно этой системы окончательного решения пока нет.

— Кстати, о подделках удостоверений личности. Сталкивались?

— Наши клиенты, особенно в банковской сфере, регулярно сообщают о подделках. Чаще всего это настоящее удостоверение, на которое нанесен дополнительный прозрачный слой с фотографией мошенника. Оно легко выявляется с помощью ID², так как приложение выдаст фото настоящего владельца документа.

— А подделка данных на чипе? Такое бывало?

— С таким пока сталкиваться не приходилось. И нет оснований полагать, что у кого-то имеются технические возможности для изменения данных на чипе или создания удостоверения «с нуля». Но все же, возможности того, что это однажды произойдет, мы не исключаем. Поэтому в последней версии ID² добавили еще один элемент проверки подлинности документа — проверку ЭЦП органа, выдавшего документ, которой подписаны данные на удостоверении личности. Даже в том случае, если у кого-то получится преодолеть все сложности и создать фальшивое удостоверение со всеми необходимыми данными на чипе, пройти эту проверку такому документу не удастся.

— Ну и пара неудобных вопросов. Первый: законно ли вообще собирать данные с чипов удостоверений личности?

— Интересный вопрос. С ним, кстати, мы сталкивались сразу после появления приложения, когда некоторые клиенты выясняли юридическую сторону работы с данными на чипе удостоверения. Вывод юристов оказался однозначным — никаких запретов нет, а соответственно, и ограничений по использованию ID² тоже нет. Ну и если рассудить логически, то использование ID² ничем не отличается от ручного переписывания данных с поверхности документа, ведь данные в чипе их дублируют.

— Второй вопрос: многие наши читатели выражают обеспокоенность, что банки и другие компании получат возможность использовать их ЭЦП. Так ли это?

— Нет, не получат. ID² обращается к совсем другой части памяти чипа и не имеет никаких возможностей по работе с ЭЦП на удостоверении личности. Кроме того, чтобы воспользоваться ЭЦП, нужно знать ПИН-код. И если пользователь не пошел на поводу у сотрудников ЦОНа и настоял на необходимости изменить ПИН с года рождения на свой собственный, то и риска при передаче удостоверения оператору нет. Ну а вопрос об извлечении закрытого ключа и вовсе не стоит, получить его с удостоверения личности невозможно. Так что, страшилкам подобного рода верить не стоит, ID² не получится использовать ни в каких незаконных операциях.