По материалам портала
Profit.kz


ID2: данные в чужие руки, незаконный доступ к ЭЦП и другое

Прошло чуть больше года с того момента, когда казахстанская компания Ak Kamal Security представила приложение ID2, позволяющее считывать данные с чипа удостоверения личности РК. Уже в тот момент в компании не сомневались, что данное решение будет интересно многим компаниям, в том числе финансовым организациям, и позволит заметно упростить и ускорить работу с клиентами за счет быстрого переноса их данных во внутренние системы. С другой стороны проявилась и обеспокоенность клиентов, которые пытались понять, не сможет ли доступ к чипу и хранящимся там данным дать банкам возможность использовать ЭЦП клиента или собрать какие-то данные, которые клиент не хотел бы передавать. Мы решили узнать у разработчиков ID2 о том, как живет проект и задать вопросы о продукте техническому директору Ak Kamal Security Павлу Карабиди.

Павел Карабиди, Ak Kamal Security

— Павел, скажите, разработка оправдала ваши ожидания? Интерес на рынке к подобным продуктам есть?

— Интерес есть. Скажу даже больше — когда мы занимались разработкой ID2, мы не ожидали, что приложение вызовет столь большой интерес. Конечно, мы видели потенциал. Например, были уверены, что продукт заинтересует банки. Так, кстати, и получилось. Но, как оказалось, удобные средства для сбора данных с удостоверений личности востребованы и во многих других отраслях. Причем, что интересно, разные компании видят ключевыми разные возможности ID2. Для кого-то важнее одна, для кого-то — другая. Кому-то критически важно увеличить скорость сбора данных, другим важна безошибочность переноса, третьим нужна возможность проверки легитимности документа.

— А какие возможности ID2 наиболее востребованы клиентами?

— Учитывая, что ID2 приложение не модульное и предоставляет сразу все возможности, то используются они все. Но, естественно, как я уже сказал, задачи и приоритеты у разных клиентов разные. Для банков, конечно, одинаково важны все возможности. ВУЗы — они используют ID2 в приемных комиссиях — в первую очередь заботятся о точности переноса данных, так как если ошибочные данные абитуриента будут отправлены в системы Министерства образования, то внести в них корректировки довольно сложно. Они же, кстати, активно используют фотографии абитуриентов, которые получают с удостоверений. Раньше им приходилось приглашать для этого фотографа. Так что каждый находит в ID2 что-то свое, что ему особенно нужно, но и остальные возможности редко остаются невостребованными.

— Вопрос по интеграции. Какие возможности и какие сложности?

— Возможности для интеграции у ID2 достаточно широки, равно как и возможности настройки. Поэтому организовать взаимодействие приложения с практически любой системой не слишком сложно. Есть самый простой вариант, когда ID2 сохраняет данные в файл или буфер обмена, в соответствии с заданным шаблоном. Более универсальный вариант — это отправка данных на внутренний или внешний сервер в теле GET или POST-запроса, где впоследствии обрабатывается и сохраняется для дальнейшего использования. Есть также возможность запуска ID2 в режиме локального сервера, что позволяет приложениям самостоятельно обращаться за данными, считанными с удостоверения личности. Эту возможность используют, в частности, разработанные нами расширения ID2 Web для Google Chrome и ID2 Word для MS Word. Они позволяют использовать данные, полученные ID2 в браузере и текстовом редакторе от Microsoft быстро и максимально удобно.

— Какой сегмент рынка самый активный в плане внедрения средств для работы с удостоверениями личности?

— В данный момент наиболее активны банки. Но и в других сегментах активность заметна. ВУЗы этой весной активно внедряли ID2, причем не только алматинские и астаниские. Им ID2 позволила «убить нескольких зайцев» сразу: решить проблему с ошибками ввода, сократить время регистрации абитуриента и получить его фото в качестве, достаточном для печати. Кроме того, у них есть определенное преимущество перед другими нашими клиентами — среди абитуриентов нет тех, кто имеет удостоверение старого образца, то есть без чипа. Соответственно, они могли без оглядки переводить свои приемные комиссии на ID2. Также заметен интерес со стороны разработчиков систем контроля и управления доступом, которые, благодаря ID2 смогли отказаться от карт доступа в пользу удостоверений личности. Кстати, это именно тот сегмент, который в данный момент выглядит с нашей точки зрения максимально привлекательным. Системы контроля доступа используются на многих объектах, но имеют серьезные недостатки. В частности, при гостевом доступе все еще продолжают записывать посетителей в некую тетрадку. Да и сотрудники компаний, использующих СКУД, все также пользуются отдельными картами доступа, что, как мне кажется, не очень удобно.

— А есть какие-то реализации, которые вам не казались очевидными при разработке ID2?

— На самом деле, все реализации по-своему интересны. Но если нужно выбрать ту, о которой мы не думали на этапе разработки... пожалуй, использование в СКУД. Для нас этот вариант был очевиден лишь с точки зрения сбора данных о посетителях, а не в плане использования удостоверения как идентификатора для доступа. Уверен, что постепенно разработчики разных систем найдут еще более интересные применения для ID2. Как ни крути, а приложение весьма универсальное, имеет широкие возможности по интеграции и конфигурации, а потому, и применять его можно для решения самого широкого спектра задач.

Павел Карабиди, Ak Kamal Security

— Какие планы по доработке? Есть ли функционал, который пока не реализован?

— Буквально в прошлом месяце мы закончили внедрение в приложение важной функции, которая была запланирована уже давно — это проверка подписи данных в чипе удостоверения. При выдаче документа, а точнее при записи данных на чип, эти данные подписываются ЭЦП выдающего органа. В последней на текущий момент версии (1.11) ID2 проверяет эту подпись и выдает оператору данные о результате проверки — подтверждена подлинность данных или нет. Дополнив этой возможностью уже имевшийся функционал по проверке документа, мы можем говорить о том, что задача проверки удостоверений личности решается нашим приложением достаточно эффективно.

Что касается планов, то, скорее всего, в ближайшее время займемся разработкой мобильной версии — ID2 Mobile. Как минимум, для операционной системы Android. Интерес к подобному решению есть. Возможно, в будущем займемся и версией для iOS, но относительно этой системы окончательного решения пока нет.

— Кстати, о подделках удостоверений личности. Сталкивались?

— Наши клиенты, особенно в банковской сфере, регулярно сообщают о подделках. Чаще всего это настоящее удостоверение, на которое нанесен дополнительный прозрачный слой с фотографией мошенника. Оно легко выявляется с помощью ID2, так как приложение выдаст фото настоящего владельца документа.

— А подделка данных на чипе? Такое бывало?

— С таким пока сталкиваться не приходилось. И нет оснований полагать, что у кого-то имеются технические возможности для изменения данных на чипе или создания удостоверения «с нуля». Но все же, возможности того, что это однажды произойдет, мы не исключаем. Поэтому в последней версии ID2 добавили еще один элемент проверки подлинности документа — проверку ЭЦП органа, выдавшего документ, которой подписаны данные на удостоверении личности. Даже в том случае, если у кого-то получится преодолеть все сложности и создать фальшивое удостоверение со всеми необходимыми данными на чипе, пройти эту проверку такому документу не удастся.

— Ну и пара неудобных вопросов. Первый: законно ли вообще собирать данные с чипов удостоверений личности?

— Интересный вопрос. С ним, кстати, мы сталкивались сразу после появления приложения, когда некоторые клиенты выясняли юридическую сторону работы с данными на чипе удостоверения. Вывод юристов оказался однозначным — никаких запретов нет, а соответственно, и ограничений по использованию ID2 тоже нет. Ну и если рассудить логически, то использование ID2 ничем не отличается от ручного переписывания данных с поверхности документа, ведь данные в чипе их дублируют.

— Второй вопрос: многие наши читатели выражают обеспокоенность, что банки и другие компании получат возможность использовать их ЭЦП. Так ли это?

— Нет, не получат. ID2 обращается к совсем другой части памяти чипа и не имеет никаких возможностей по работе с ЭЦП на удостоверении личности. Кроме того, чтобы воспользоваться ЭЦП, нужно знать ПИН-код. И если пользователь не пошел на поводу у сотрудников ЦОНа и настоял на необходимости изменить ПИН с года рождения на свой собственный, то и риска при передаче удостоверения оператору нет. Ну а вопрос об извлечении закрытого ключа и вовсе не стоит, получить его с удостоверения личности невозможно. Так что, страшилкам подобного рода верить не стоит, ID2 не получится использовать ни в каких незаконных операциях.