Это – сфера применения паролей и логинов, биометрических маркеров и оцифрованных сертификатов. Существуют и несколько других атрибутов. Они выполняют миссию заменителей инструментов традиционной идентичности физического мира в виртуальном пространстве. Основная задача, с которой цифровые идентификаторы призваны справляться – открывать пользователю доступ к онлайн-сервисам.
Цифровая идентификация: ключевые компоненты
· Аутентификаторы
К этой группе идентифицирующих средств относятся пароли, данные биометрики, токены. С их помощью посетитель интернет-ресурса подтверждает свою персону.
· Данные для идентификации
Этот блок состоит из имени, адреса места проживания, даты рождения – личной информации, позволяющей однозначно подтвердить личность пользователя.
· Данные пользовательской активности
Здесь мы говорим о сведениях – истории покупок, логах посещений сайтов и прочей информации относительно действий, которые пользователь совершает в цифровой среде.
· Цифровые сертификаты
Выпуском этих особых документов занимается специализированный управляющий центр. Они предназначаются для удостоверения подлинности цифровой персоны.
Технологии, используемые в цифровом пространстве для подтверждения личности
Регистрация посетителя на каком-либо веб-ресурсе является стартовым этапом в процедуре создания цифровой идентичности. Чтобы получить доступ, ему необходимо предоставить администраторам требуемую информацию. Предоставленные сведения направляются на верификацию. Например, их сопоставляют с базами данных банковских и правительственных структур. Также могут задействоваться биометрические маркеры.
Чтобы удостоверить особу пользователя применяют технологию многофакторной аутентификации, когда к паролям прибавляется SMS-код и оцифрованные сертификаты. Если говорить о системах, учитывающих биометрию, то в данном случае, чаще всего, сканируется лицо или снимаются отпечатки пальцев.
При успешном прохождении верификационной процедуры пользователь становится обладателем уникального идентификатора. С этого момента он получает возможность свободного доступа ко всем функциям избранного веб-сервиса.
Цифровая идентичность: проблемы управления
· Кражи и мошенничества
Злоумышленники крадут учетные данные интернет-пользователя, а далее входят в его аккаунты и совершают мошеннические действия от его имени.
· Неправомерное пользование данными
Существует риск, что информация, собранная администрацией веб-площадки, может использоваться без получения на то согласия со стороны ее законного владельца. В результате создается угроза конфиденциальности.
Осуществление защиты пользовательских данных
· Многофакторная аутентификация (MFA)
Механика процесса, обеспечивающего безопасность персональной информации, выстроена на задействовании нескольких факторов аутентификации – минимум двух. Параллельно с паролем, придуманным пользователем либо сгенерированным системой интернет-ресурса, в процедуре могут применяться коды, поступающие:
- через SMS-уведомление;
- на ящик электронной почты;
- с генератора паролей.
Также к комбинированной схеме защиты может подключаться идентификация с отпечатком пальцев.
· Шифрование данных
Инструмент призван защищать информацию от несанкционированного доступа, что особенно важно, когда осуществляется ее передача.
· Биометрика
В этом случае мы имеем дело с физическими характеристиками уникального свойства – системами распознавания лиц или сканирования отпечатков пальцев. Подделка идентичности усложняется в разы.
· Мониторинг и анализ поведения
При помощи этого инструментария можно выявить аномальные – нехарактерные для конкретного посетителя поведенческие сценарии на сайте. Такие несвойственные действия могут указывать на то, что аккаунт взломан.
Цифровая идентичность: регуляторные нормы управления
1. Единая система идентификации и аутентификации
Это – государственная платформа, распространяющая свое действие исключительно на территории Российской Федерации. ЕСИА позволяет подтвердить личность гражданина, когда он хочет получить доступ к электронным службам, в том числе к порталу Госуслуги.
2. General Data Protection Regulation
Это – регламент, действующий в странах Европейского Союза. На GDPR возложена миссия европейского регулятора обработки персональной информации и защитника прав пользователей на конфиденциальность цифрового пространства. Человек обладает полным правом пользоваться неограниченным доступом к своей личной информации, исправлять, удалять и ограничивать ее обработку по собственному усмотрению.
3. Electronic Identification, Authentication and Trust Services
Еще один регламент, функционирующий на территории Еврозоны. В eIDAS установлена стандартизация в отношении электронных идентификаторов и сервисов доверия, в том числе и плане цифровых подписей.
4. National Institute of Standards and Technology
Это – система, работающая в Соединенных Штатах Америки. NIST определяет стандарты, управляющие цифровой идентичностью. Она включает требования к прохождению аутентификации и обеспечению безопасности.
5. Aadhaar
Представляет собой крупнейшую на планете систему цифровой идентификации. Ее разработали индийские специалисты. Она выражается 12-значным уникальным идентификационным номером. Воспроизводится данная неповторяющаяся последовательность на базе биометрических и демографических маркеров. Этот код присваивается каждому гражданину страны.
В РФ регуляция и управление цифровой идентичностью осуществляется специальными нормативно-правовыми актами и стандартами. Они распространяются на всю сферу защиты конфиденциальных сведений, аутентификации, затрагивая сектор электронных подписей и сервисы доверия.
· Федеральный закон «О персональных данных»
Определяет регулирующие механизмы по сбору, обработке, хранению личной информации. В документе № 152-ФЗ четко обрисованы требования по защите, конфиденциальности и безопасному применению данных. Операторы, будь то государственные организации или частные компании, на основании этого закона обязуются обеспечивать безопасность информации. Также они должны сообщать субъектам, владеющим ею, для каких целей их данные собираются, и какими методами будут обрабатываться.
· Федеральный закон «Об электронной подписи»
Законом определяется, каким образом следует использовать электронные подписи в ходе выполнения каких-либо юридически значимых действий. Правовой акт № 63-ФЗ обозначает, как необходимо создавать, применять и признавать подлинность электронных подписей. Также устанавливаются требования к инфраструктуре доверия, основной составляющей частью которой являются удостоверяющие спец-центры.
· ФЗ «О государственной информационной системе электронных доверительных услуг»
В рамках этого документа устанавливается последовательность того, как должны предоставляться электронные доверительные услуги. № 249-ФЗ объясняет, как законодательно верно должны создаваться, проверяться и храниться цифровые сертификаты, используемые в качестве средства, подтверждающего цифровую идентичность.