По всей России вводят системы цифровых пропусков. Мы проверили некоторые из них вместе с экспертами по безопасности — и вот что получилось

22 апреля стало известно, что цифровые пропуска для жителей 21 российского региона во время эпидемии COVID-2019 организуют с помощью системы «Госуслуги стоп коронавирус» — она уже действует в Подмосковье (в Москве своя система). Впрочем, в некоторых российских городах-миллионниках уже есть свои «цифровые ошейники» — системы выдачи электронных пропусков, а также «цифровые гвардейцы» — средства проверки пропусков (QR-кодов и контрольных номеров). Именно так — «Цифровой гвардеец» — называется программа в Татарстане, первом российском регионе, настроившем систему электронных пропусков. Журналисты Анна Вилисова и Илья Шевелев по просьбе «Медузы» изучили некоторые региональные системы пропусков и обсудили с экспертами по безопасности, можно ли с их помощью получить доступ к персональным данным россиян.

Для этого материала «Медуза» поговорила с несколькими специалистами по информационной безопасности, IT-экспертами и разработчиками. Некоторые из них проанализировали региональные сервисы цифровых пропусков, они делали это автономно и не имели доступа к результатам исследований своих коллег. Многие попросили нас не указывать их имена. Кроме того, эксперт из Санкт-Петербурга, исследовавший нижегородский сайт, отказался поделиться с «Медузой» баг-репортом, сославшись на возможную неадекватную реакцию властей. В опубликованный текст вошли только факты, прошедшие перекрестную проверку. Авторы материала не использовали средства взлома и эксплуатации уязвимостей на сайтах.

Что происходит с цифровыми пропусками в России

Введение электронных пропусков в московской агломерации — одно из самых обсуждаемых событий в истории борьбы с коронавирусом в России. В Москве и в Подмосковье действуют две разные системы, но связанные друг с другом: при поездке из Москвы в область, например, действителен городской код цифрового пропуска — два отдельных разрешения заказывать не нужно.

Московский пропуск можно оформить на сайте мэрии, по телефону и по СМС на короткий номер. Все эти сервисы, объединенные в единую систему, до сих пор работают с перебоями. После ужесточения пропускного режима 15 апреля QR-коды стали обязательными для перемещения по столице на любом виде транспорта, а вестибюли метро утром заполнились очередями — прямо в разгар эпидемии. На фоне разгоревшегося скандала власти Москвы перешли на автоматический режим проверки. Теперь при оформлении пропуска необходимо указывать номер проездного документа, а разовые билеты временно отменены. 

На сайте правительства Московской области информацию о пропусках найти сложнее, чем на портале московской мэрии. Есть сведения, что пропуск можно оформить непосредственно через портал «Госуслуги» или привязанное к нему приложение «Госуслуги стоп коронавирус», которое не действует в Москве. Такая интеграция, судя по всему, представляла угрозу конфиденциальности пользователей: эксперты по цифровой безопасности отмечали, что в QR-кодах этого приложения зашифрованы ссылки на персональные данные граждан. В дальнейшем информация могла попадать в выдачу поисковых машин. 

Кроме того, подмосковное информационное агентство РИАМО сообщало о возможности получить пропуск, отправив СМС на короткий номер 0250. По этому номеру у «Мегафона» можно получить платную развлекательную услугу — так и вышло, когда клиенты этого оператора, живущие в Московской области, попытались получить пропуск. Представитель мобильного оператора объяснил «Ведомостям», что правительство Московской области не обращалось к ним с запросом организовать на этом номере выдачу цифровых пропусков. Впрочем, ошибку быстро исправили.

Регионы вслед за столицей во время эпидемии экстренно запустили собственные системы выдачи цифровых пропусков, разовых и долгосрочных. Региональные власти сами подбирали технические решения и условия обслуживания, исходя из технических и финансовых возможностей, а также руководствуясь местным законодательством, принятым в целях борьбы с пандемией. 

«Мы сейчас видим, что подобные сервисы запускаются во многих регионах наспех, явно без надлежащих процедур проектирования, разработки и тестирования, — рассказал „Медузе“ Алексей Раевский, генеральный директор компании Zecurion, специализирующейся на информационной безопасности. — Это означает, что вопросам защиты таких сервисов уделялось недостаточно внимания — а может, и вообще не уделялось. Иногда уже на этапе эксплуатации в них находят ошибки при выполнении их основных функций, что уж тут говорить о безопасности». 

Раевский считает, что через некоторое время можно ожидать утечек данных пользователей этих сервисов, поскольку, по его мнению, в текущей ситуации на обязательную аттестацию сервисов в соответствии с нормативами ФСТЭК у регионов не было времени и возможностей.

С ним согласен IT-специалист, исполнительный директор НКО «Общество защиты интернета» Михаил Климарев: «Персональные данные утекут — к гадалке ходить не надо, потому что система делается в спешке. До сих пор не было ни одного громкого дела по поводу утечки персональных данных из госорганов. То есть каждую неделю сажают по паре-тройке сотрудников у оператора связи за разглашение персональных данных, но при этом я не слышал ни одного случая, чтобы посадили какого-то чиновника или хотя бы привлекли его к какой-то ответственности». На момент публикации материала «Медузе» не удалось обнаружить случаев, когда услуга «пробива» информации с любой из региональных систем электронных пропусков предлагалась бы в интернете.

Другие опрошенные «Медузой» эксперты по информационной безопасности также отметили, что тестирование пропускных сайтов и сервисов требует времени. IT-эксперт из Санкт-Петербурга, пожелавший остаться анонимным, предположил, что сейчас внутренний аудит безопасности проводят в информационных центрах, которые обслуживают региональные порталы и сервисы. 

Специалисты по информационной безопасности рассматривают две возможных группы рисков. В первой — риски несанкционированного доступа, ведущие к утечкам персональных данных и другой информации, которую пользователи доверяют пропускным сервисам. Вторая группа — возможный вывод пропускных систем из строя. «В случае сбоев в пропускных сервисах, равно как и в случае отказа систем выдачи и проверки разрешений, граждане будут получать штрафы за нарушение самоизоляции просто потому, что проверяющие не смогут подтвердить право [граждан] на выход из дома», — рассказал корреспонденту «Медузы» специалист по информационной безопасности, представившийся Петром.

Следить за соблюдением закона о защите персональных данных должен Роскомнадзор (эти полномочия ведомству передало правительство своим постановлением от 16 марта 2009 года). Обнаружив нарушение, РКН может применять к виновному разные санкции, описанные в 23-й статье закона № 153-ФЗ: от блокировки данных, собранных с нарушениями, до подачи судебных исков против нарушителей.

Однако сведений о контроле над системами цифровых пропусков, которые обрабатывают персональные данные россиян, на сайте ведомства нет. Редакция «Медузы» направила запрос в Роскомнадзор с просьбой объяснить, проводило ли ведомство технический аудит систем выдачи электронных пропусков и какие санкции ждут их операторов в случае утечки персональных данных граждан. На момент публикации этого материала ответа не последовало.

Успеть за 60 минут в Красноярске

Сервис выдачи разовых электронных пропусков в Красноярске действует с 22 апреля. Он разработан министерством цифрового развития Красноярского края для частных лиц. Самозанятые красноярцы и работодатели, не остановившие производство во время ограничительного режима, направляют запросы на получение многоразовых пропусков для сотрудников, минуя этот сервис, по электронной почте. Затем специалисты центра сами регистрируют аккаунты юридических лиц и в ответ на письма отправляют работодателям и самозанятым логины и пароли.

Пропускной сервис для физических лиц — это веб-сайт на поддомене центра информационных технологий при краевом министерстве цифрового развития. Мобильного приложения у сервиса нет, но фреймворк AngularJS, на котором написан сайт, адаптивный. Пользователям доступны форматы разовых пропусков в виде QR-кодов и текстовых кодов, передаваемых сервисом в СМС-сообщениях.

В сервисе заложены три ограничения для пользователей:

• Во-первых, этот веб-сайт получает данные для идентификации граждан из базы портала государственных услуг. Эта техническая особенность объясняется стремлением минимизировать возможные утечки персональных данных. Она же создает искусственный барьер: пропуска смогут оформить только красноярцы, зарегистрированные на «Госуслугах». Граждане, которые по каким-то причинам не доверяют свои данные государственному сервису, лишены выбора — для получения пропуска им придется создать аккаунт в «Госуслугах».
• Список причин выдачи разового пропуска достаточно обширный. Среди них посещение несовершеннолетних детей, их сопровождение, помощь нуждающимся, посещение пожилых и больных родственников, визит к адвокату и/или нотариусу, участие в похоронах, поездка на дачу, а также «иные экстренные ситуации». Сервис требует указывать адреса выхода и назначения, уточняет время каждой «прогулки». 
• Каждый гражданин имеет право на две прогулки по двум разовым пропускам, а каждый пропуск действует в течение 60 минут. С чем это связано и почему в Красноярске решили установить именно такие ограничения, неизвестно.

Красноярск — город-миллионник без метро, который известен большими расстояниями между районами, расположенными по разным берегам Енисея, и постоянными пробками. Например, движение в городе часто «останавливается» в пиковые часы в районе Коммунального моста, ведущего из Центрального района в Свердловский на другом берегу реки. По данным сервиса «Яндекс.Карты», поездка на машине с Предмостной площади до поселка Бадалык, расположенного в Советском районе, без учета дорожной ситуации занимает около получаса. Таким образом, разрешенный красноярцам час по разовому пропуску уйдет только на саму поездку к родственникам или пожилым людям.

Оператор красноярского колл-центра по противодействию коронавирусной инфекции порекомендовала корреспонденту «Медузы» альтернативное решение: вместо электронного пропуска написать на бумаге объяснительную в свободной форме с указанием причины выхода из дома.

На сайте «Активный гражданин, Красноярский край» проходит опрос граждан по поводу удобства цифровых пропусков. Корреспонденту «Медузы», живущему в Петербурге, удалось авторизоваться в системе с помощью аккаунта в «Госуслугах» и поучаствовать в голосовании.

Персональные данные

Красноярский сервис выдачи разовых пропусков имеет средства защиты и сертификаты безопасности, но не обошлось и без накладок, отмечает эксперт по информационной безопасности из Петербурга, пожелавший сохранить анонимность. Он заметил, что форма входа в клиент Pronto! облачной системы CommuniGate Pro, которая используется министерством цифрового развития, открыта на одном из поддоменов сайта министерства всему интернету.

Специалист по информационной безопасности из Петербурга, попросивший не указывать его имя, считает, что страница входа в коммуникационную систему при недостаточной настройке безопасности может создавать дополнительный риск подбора паролей методом перебора и, как следствие, открывает возможность утечки данных не только разовых пропусков, но и всех данных, которые были обработаны проектами министерства. 

Московский эксперт по информационной безопасности, также пожелавший остаться анонимным, напротив, не считает CommuniGate Pro значимой угрозой: «Учитывая, что данная система реализует совместную работу через почтовое взаимодействие, звонки и чаты, неудивительно, что к ней требуется доступ „снаружи“ через форму входа, это нормальная практика для любых коммуникационных систем».

Из документации CommuniGate Pro, на которую ссылается московский эксперт, следует, что эта система надежно защищена от подбора пары «логин — пароль». Помимо других средств защиты, она позволяет настроить аутентификацию по клиентским сертификатам: «Это один из самых безопасных способов аутентификации, особенно если используется вкупе с двухфакторной аутентификацией, поскольку его [сертификат] невозможно перебрать, а генерация требует криптографической подписи выдавшей его организации», — считает эксперт.

По данным Государственного реестра сертифицированных средств защиты информации, система CommuiGate Pro! прошла проверку ФСТЭК.

Оформить социальную карту и отчитаться о прогулке с собакой в Нижнем Новгороде

Нижегородский сервис электронных пропусков создан государственным Центром координации проектов цифровой экономики на базе сервиса «Карта жителя Нижегородской области». Заявку на цифровой пропуск можно подать на сайте карты и в ее мобильных приложениях. 

Приложения «Карта жителя НО» требуют максимум прав на устройствах пользователей: они могут записывать звук, видео и делать фото, получают доступ к истории передвижений владельцев смартфонов; версия для Android может потребовать разрешения на запуск вместе с системой, на работу в фоновом режиме и доступ к информации о сетевых подключениях мобильных устройств. Однако все перечисленные выше права часто требуют и другие популярные приложения, например, схожий список разрешений запрашивают «Госуслуги».

Персональные данные

Нижегородский сервис не требует дополнительных данных из внешних баз и со сторонних ресурсов, но для получения пропуска зарегистрироваться на портале «Карты» и предоставить информацию о себе придется даже людям без регистрации в Нижнем Новгороде. Все те же данные надо передать и в приложениях «Карта жителя НО». 

Кроме того, многоразовые электронные пропуска для выхода на работу могут оформить работодатели из реестра организаций, не прекративших деятельность во время ограничительного режима. Если работодатель корректно ввел данные своих сотрудников, после регистрации им выдадут многоразовые пропуска, доступные в персональных личных кабинетах и приложениях карты. 

Недостатки сервиса в начале апреля обсуждали пользователи «Хабра». Выяснилось, что QR-коды, выдаваемые сервисом, содержат ссылки с тестовыми идентификаторами. 

Нижегородская система пропусков может быть потенциально уязвимой, считает специалист по информационной безопасности из Петербурга, пожелавший скрыть свое имя: «На странице для юридических лиц [доступна после регистрации личного кабинета] есть форма загрузки данных с помощью файлов, и эта форма пугает. В ней нет валидации формата файла, что позволяет загрузить на сайт php-web-shell и [после некоторых манипуляций] получить несанкционированный доступ к сервису».

Во время проверки петербургский эксперт смог загрузить в сервис php-файлы, содержащие произвольный код. Все загруженные файлы затем оказывались на сервере нижегородской карты в неизменном виде, а значит, один из этапов планируемой атаки, по его мнению, пройден успешно. Возможная цена такой ошибки, считает петербургский эксперт, — утечка персональных данных пользователей. Еще на этапе регистрации помимо номера телефона сервис запрашивает фамилию, имя, отчество, номер и серию документа, удостоверяющего личность пользователя. 

Условия и ограничения для пользователей

Частным лицам в заявке на разовый пропуск нужно указать причину выхода на улицу. В списке таких причин встречаются как распространенные, так и те, для которых в других регионах разрешение не требуется — например, выгул домашних животных, вынос мусора, поход в магазин или аптеку (неважно, в ближайший магазин или нет). 

Как и в Красноярске, в Нижнем Новгороде цифровые пропуска имеют разные сроки действия. Поездки на личном транспорте или такси, прогулки с животными, походы к мусорному контейнеру не имеют ограничений — пользователю достаточно указать нужную дату. Визит к врачу, посещение магазина, поездки к родственникам и, в случае необходимости, на работу ограничены тремя часами, а разрешение на поездку в Нижегородскую область действует в течение трех суток. Как и в других регионах, в нижегородском сервисе нужно точно указывать адреса выхода и точки назначения. 

Согласно инструкции для проверяющих, доступ к базе электронных пропусков имеют сотрудники МВД и оперативно-диспетчерской службы. Это связано с тем, что QR-коды, выдаваемые сервисом, действительны до первого считывания. В инструкции отдельно подчеркивается, что если сотрудник полиции не имеет мобильного телефона, он должен дозвониться до оператора и передать ему цифровой код для сверки. В политике конфиденциальности «Карты» тоже сказано, что полученные сервисом персональные данные могут быть обработаны и переданы третьим лицам, в том числе государственным органам в рамках законодательства.

Поделиться данными с местным банком в Казани

Татарстан стал пионером введения цифровой пропускной системы на время самоизоляции, обогнав даже столицу. Пропускной режим заработал здесь 1 апреля 2020 года. Как и в других регионах, создание электронных пропусков находилось в ведомстве республиканского министерства цифрового развития. Однако здесь чиновники объединились с «Ак Барс Банком» (АББ), один из акционеров которого — министерство цифрового развития Татарстана. 

Официально партнерство объяснялось заботой о сохранности личных данных пользователей, поскольку вся инфраструктура находится внутри республики. Еще в 2019-м «Ак Барс Банк» совместно с группой компаний «Татнефть» занимался разработкой облачной системы ABCloud, в которой и была развернута этой весной система СМС-информирования. 

Министерство цифрового развития Татарстана утверждает, что база данных после окончания режима самоизоляции будет удалена. При этом на сайте для оформления пропусков пользователям предлагается дать согласие на обработку своих персональных данных непосредственно «Ак Барс Банку». А консультированием жителей республики занимаются две сотни специалистов его же колл-центра. 

Пропуск можно получить как с помощью СМС, так и через личный кабинет специального сервиса на Едином портале органов государственной власти. 

Персональные данные

Корреспондент «Медузы» уточнил у юриста правозащитной группы «Агора» Дамира Гайнутдинова, может ли данные граждан получать фактически коммерческая структура: «В том, что для использования системы пользователю нужно согласиться с обработкой своих персональных данных, ничего странного нет, — говорит Гайнутдинов. — При регистрации дается ссылка на политику „Ак Барс Банка“, принятую 10 апреля 2019 года, то есть обычную политику банковской организации. Вопрос, почему этим занимается АББ и на каких основаниях, отдельный. Думаю, что это должно быть оформлено как госзакупка. Если стандарты безопасности соблюдаются и закупка была в соответствии с законом, то проблемы не вижу».

«Медузе» не удалось обнаружить конкурсов по государственным закупкам в 2020 году, в которых «Ак Барс Банк» выступал бы в качестве поставщика по подобному контракту. «Медуза» направила запрос в пресс-службу банка с просьбой объяснить, как оформлено их сотрудничество с министерством цифрового развития РТ и каков порядок удаления личных данных пользователей, собранных сервисом выдачи цифровых пропусков. На момент публикации этого материала ответ еще не пришел.

«Думаю, если аттестация была проведена, а закон [о защите персональных данных] выполнен, то за хранимые и обрабатываемые данные можно не переживать, данные в безопасности», — соглашается с юристом специалист по информационной безопасности из Москвы, пожелавший сохранить анонимность. Он также не видит ничего странного в партнерстве властей с банком и отмечает, что все крупные IT-компании и банки, работающие в России, аттестовывались как операторы персональных данных. Большинство опрошенных «Медузой» экспертов по информационной безопасности отметили, что им неизвестно о случаях взлома ABCloud.

Условия и ограничения для пользователей

Зарегистрироваться в системе просят всех, чтобы полицейские всегда могли сопоставить фактическое место нахождения с местом пребывания. Для выгула домашних животных, похода в ближайшие магазин или аптеку, а также приобретения услуг и выноса мусора пропуск получать не нужно. Как и в Красноярске, за сутки житель Казани может получить только два разрешения на выход из дома.

Первоначально причин для перемещения по территории Татарстана было девять: посещение суда, доставка несовершеннолетних в (из) места учебы, посещение больницы или ветклиники, участие в похоронах, восстановление паспорта, выезд на дачу или в загородный дом, возвращение оттуда, посещение кредитных организаций и почтовых отделений, доставка лекарств, еды и предметов первой необходимости или оказание помощи нетрудоспособным родственникам, а также изменение места проживания (пребывания). Потом к этому списку добавилась возможность посещения МФЦ и пенсионного фонда, а позже и парикмахера, но только раз в месяц. 

Самозанятые имеют возможность, указав свой ИНН, получить дополнительные опции выхода на улицу: выполнить курьерскую доставку, оказать услуги такси или доехать до места работы. Для проверки подлинности пропусков запустили специальное веб-приложение «Цифровой гвардеец».

Пропуск не нужен тем, кто обязан ходить на работу, — в этом случае работодатель выдает справку установленного образца. Также не регистрируются в системе волонтеры, им справку выдает министерство по делам молодежи Татарстана. 

Далее — везде

22 апреля мэр Москвы Сергей Собянин предложил для борьбы с коронавирусом распространить систему цифровых пропусков по всей стране. Теперь в планах властей ввод цифровых пропусков и в других регионах. Но их оформление будет происходить не с помощью региональных разработок, а прямо в приложении Минкомсвязи «Госуслуги стоп коронавирус». Список участников пока состоит из 21 субъекта РФ, заявки они подали сами. 

Не во всех регионах, желающих подключиться к этой системе, введен режим обязательной самоизоляции. Например, в Ярославской области людям лишь устно рекомендовано не выходить на улицу. Однако губернатор Дмитрий Миронов заявил, что из-за роста заболевших и низкого уровня самоизоляции, а также по просьбам самих граждан необходимо ужесточать меры. 

Несмотря на планы регионов, данные сервиса «Индекс самоизоляции» от «Яндекса» говорят, что никаких значительных изменений в поведении людей с запуском системы цифровых пропусков не произошло. Более того, опрошенные корреспондентами «Медузы» эксперты считают, что инфраструктура в провинции просто не готова и не способна справиться с пропускной системой, а электронные сервисы нужны только местным чиновникам, в первую очередь для отчетов о формальном соблюдении рекомендаций федеральных властей.

«Все законодательство РФ в области IT и телекома лежит на трех основополагающих принципах, — считает исполнительный директор „Общества защиты интернета“ Михаил Климарев, — ЗЗС: запретить, запугать, своровать. Вместо того, чтобы объяснять людям, что самоизоляция — это в ваших интересах, их пытаются просто запугать. На самом деле даже в Москве вероятность быть оштрафованным меньше, чем вероятность заразиться ВИЧ».

«А как это в регионах сделать, я вообще не понимаю, когда нет централизованной системы управления общественным транспортом, когда никто не сможет проконтролировать. Нельзя поставить полицейского к каждому дому. Кому надо, все равно выйдут, и вероятность того, что их там поймают, а это люди очень быстро поймут, она крайне мала», — уверен эксперт. 

Однако есть основания полагать, что в российских регионах могут возникнуть не только проблемы с физическим контролем перемещения людей на улицах, но и серьезные технические сбои в работе самих электронных сервисов вплоть до невозможности их использования.  

Так, обязательные цифровые пропуска в Приморье, ввод которых власти запланировали на 7 апреля, были отменены сразу в тот же день. Жители должны были получить специальное СМС-сообщение через портал «Госуслуги», но уже к обеду на официальном сайте правительства Приморского края появилось сообщение, что сервис находится в режиме тестирования и полиция не будет никого штрафовать за отсутствие пропуска. Спустя 10 дней глава Приморья Олег Кожемяко уволил с поста министра цифрового развития и связи Сергея Максимчука за плохие показатели эффективности его работы.