Когда более 30 лет назад в Эстонии начался цифровой поворот, большая часть официальных данных хранилась на бумаге – в разных каталогах и папках, часто с дублирующейся или противоречивой информацией.

Составить актуальную полную картину – здоровье человека, работа и финансы, лицензии и полномочия, дипломы и награды – было сложно даже самому владельцу данных.

Сегодня мы можем легко и безопасно получить доступ к своим официальным данным через государственный портал, к результатам медицинских обследований и рецептам – через портал здоровья, к финансовым операциям – через банковские приложения, а к договорам и обязательствам – через системы самообслуживания поставщиков услуг.

Даже без полнофункционального государственного приложения, в котором большинство пользователей не испытывает острой потребности, мобильные телефоны с каждым годом играют все более ключевую роль в обеспечении безопасности цифровых услуг.

Когда мы работаем за компьютером, многие для безопасного доступа к сервисам предпочитают использовать не ID-карту, а Smart-ID или Mobile-ID. Возможность голосования через мобильные устройства (m-hääletamine) обсуждалась долгое время, но, к счастью, пока не внедрена. Спрос на такую услугу, однако, очевиден.

Кроме того, для работы и личных дел часто используются решения двухфакторной аутентификации (2FA), которые привязаны либо к номеру мобильного телефона (через звонок или SMS-подтверждение), либо к конкретному мобильному устройству с установленным специальным приложением для аутентификации.

Мошенники в курсе всех этих процессов, и в последнее время из новостей мы практически каждую неделю узнаем о случаях кражи денег и данных с помощью различных цифровых схем. Мобильные телефоны играют в этих мошенничествах ключевую роль, обеспечивая удобство злоумышленникам.

Нет оснований надеяться, что количество попыток мошенничества в ближайшие годы уменьшится. Быстро развивающиеся технологические решения делают работу мошенников быстрее и зачастую дешевле.

Номер входящего звонка можно подделать, а на основе информации из социальных сетей – планировать более эффективные атаки. Вместо людей, совершающих мошеннические звонки, все чаще используются автоматизированные системы на базе искусственного интеллекта. Технологии перевода и синтеза речи сделали значительный прогресс: ранее очевидным сигналом опасности служило плохо написанное или произнесенное на эстонском языке сообщение, теперь же его заменяет грамматически правильный и стилистически корректный текст.

Официальные и политические реакции на такие мошенничества проходили через несколько стадий преуменьшения проблем. Мы "поняли", что жертвами становятся далеко не только пожилые или неэстоноговорящие граждане.

Жертвы находятся повсюду вокруг нас: сегодня – наш сосед или коллега, завтра – член семьи, послезавтра – мы сами. С высшим или средним образованием, из города или села, теряя недельный бюджет или все накопления. Презрительные замечания в стиле "Ну не будь таким глупым, чтобы…" циничны и бесполезны. Высказывания представителей государства в этом ключе также безответственны.

Мы кое-чему уже научились из всего этого. Особенно позитивными являются недавние инициативы: предлагаемые Министерством финансов поправки к закону, позволяющие банкам приостанавливать подозрительные переводы, а также план Департамента полиции и погранохраны по созданию центра по предотвращению и расследованию мошенничеств.

Системный подход необходим, однако он не может начинаться с полумер и ограничиваться лишь смягчением симптомов. Нам нужен взгляд на весь путь цифровых услуг.

Эстония как цифровое государство продолжает оставаться уникальной. Даже в тех сферах, где другие страны, начавшие позже, технологически нас догнали, мы обладаем многолетним общественным согласием и привычками в повседневном использовании цифровых решений, обеспечении их безопасности и базовой прозрачности.

Наша жизнь переплетена с цифровыми решениями так, как большинство граждан и политиков других стран даже не могут себе представить. Поэтому при разработке новых решений и изменении существующих мы должны учитывать, что наши цифровые риски имеют совершенно другой профиль и последствия по сравнению с Испанией, Великобританией или Австралией.

Учитывая все это, недопустимо, что при планировании в Министерстве юстиции и цифровых технологий, в целом позитивной реформы мобильности номеров, которая, как ожидается, будет благоприятна для кошельков клиентов, полностью игнорируются риски кибербезопасности, будто мобильный телефон в нашем кармане имеет ту же функциональность, что и в 2006 году.

Мы не можем ограничиваться аргументами вроде "А другие страны!" или "А Европейский союз!" без тщательного анализа того, как изменения повлияют на наших собственных граждан. Если кто-то потеряет свой номер телефона в результате успешной атаки мошенника, то, в отличие от большинства жителей других стран ЕС, он рискует быстро лишиться не только средств на банковском счете, но и конфиденциальности своих медицинских данных, а также цифровой идентичности, с помощью которой он взаимодействует с государством.

Например, Smart-ID, все шире применяемый для аутентификации, сталкивается с рядом вызовов, а внедрение мер, повышающих безопасность, затягивается. При этом популярность Smart-ID – удобного и в большинстве случаев безопасного решения – одновременно усиливает риски, связанные с реформой мобильности номеров.

Эти риски необходимо осознавать, а конкретные меры для их минимизации уже доступны. Так, выбор контрольного кода в приложении Smart-ID (когда пользователь вводит правильный код вместо простого подтверждения действия) мог бы стать обязательным. Smart-ID+, более безопасное решение, должно стать стандартом для соответствующих сервисов. В случае менее надежных или слабее защищенных решений риски сторон следует распределять более справедливо. Любая реформа, затрагивающая фундамент цифровой идентичности, должна сопровождаться тщательной оценкой киберрисков.

Нашему цифровому государству 35 лет. Smart-ID скоро отметит свое 10-летие. Ни на заре создания цифровых услуг, ни даже десять лет назад никто не имел полного представления о будущей популярности этих решений и о настойчивости мошенников. Мы не знали, сколько потенциальных векторов атак сосредоточено вокруг этих сервисов и какое влияние они могут оказывать на наши кошельки.

Идентификация личности – лишь одно звено в цепочке цифровых услуг. Некоторые сегменты фундаментальных информационных систем были созданы для условий и сценариев, которые окончательно устарели, и для пользовательского поведения, которое кардинально изменилось. Часто такие системы строились на средства европейских программ, но при недостаточном бюджете на обслуживание и дальнейшее развитие они стали опасно хрупкими.

Этот вывод требует, чтобы при разработке и развитии услуг учитывались и устранялись накопленные технологические, процедурные, социальные и соответствующие реальности долги, которые уже превысили допустимый уровень риска.

Мы осознаем это, и время от времени можно услышать политические сигналы тревоги. Однако при разработке государственного бюджета и планировании реформ в соответствующих министерствах это понимание, по всей видимости, игнорируется.

Нам необходимо выработать подход к более точной оценке рисков, связанных с цифровыми и телекоммуникационными решениями, а также методику системного анализа всей цепочки услуг одновременно. Необходимо укреплять элементы цифрового государства, созданные на основе изменившихся ожиданий и ныне признанных ошибочных предположений, делая это планомерно, а не поспешно.

Полностью предотвратить атаки на цифровые системы идентификации личности невозможно, не сделав при этом услуги непригодными для использования. Чтобы найти баланс между безопасностью и удобством, угрозы должны быть адекватно осознаны. Вместо пустых опасений требуется решительно действовать.