Безопасность уходящего москвича

QR-код не может стать сверхтехнологией слежки за людьми
Андрей Гордеев / Ведомости

В начале апреля в сеть утекла презентация, в которой говорилось, что для передвижения по Москве могут быть введены QR-коды. Предполагалось, что каждый москвич и легальный гость столицы должен будет зарегистрироваться на портале Mos.ru и получать одноразовый код, как только захочет выйти из дома. Информацию о кодах подтвердил и руководитель департамента информационных технологий Москвы Эдуард Лысенко в эфире радиостанции «Эхо Москвы», а люди, близкие к мэрии, оценивали, что такой системе придется ежедневно генерировать примерно 1 млн QR-кодов, чтобы фиксировать все походы москвичей по неотложным делам.

Но по какой-то причине в Москве от QR-кодов на базе платформы Mos.ru решили отказаться – их заменили электронные пропуска, зато инициативу распространили на всю территорию России. Для этого Минкомсвязи запустило специальное приложение, но, чтобы им пользоваться и получать пропуска, необходимо иметь учетную запись на портале госуслуг.

Пока на территории России тотальная пропускная система не введена, а портал мэрии Москвы уже не справляется с наплывом желающих: накануне оперштаб заявил о сбоях и хакерских атаках, а уже на второй день отозвал около 1 млн выданных пропусков.

Означает ли это, что Москва в спешке пошла по технологически более легкому пути, и стоит ли ждать атак на портал госуслуг с QR-кодами? Какой вариант наиболее безопасен? Ответ простой: безопасность персональных данных в обоих случаях совершенно не зависит от формата пропускной системы.

QR-код – это всего лишь способ кодирования информации, и сам формат (как и любой другой) не создает никаких дополнительных угроз. Важно, как устроена система в целом. Кодировать в QR будут не какую-то содержательную информацию типа адреса, цели поездки, ФИО, фотографии, а ключ к индексу базы данных, в которой все эти данные будут содержаться, в противном случае такой тяжелый QR-код просто не сможет отображаться на экране телефона. Создать такую систему просто – даже с поправкой на то, что в системе изначально будет несколько десятков миллионов пользователей. Сканируя код, сотрудник полиции будет получать не сами данные, а доступ к данным человека, хранящимся на портале. Такой QR-код теоретически можно подделать, однако при правильной и продуманной организации использования QR-кодов злоумышленнику это мало что даст.

Итак, сам по себе QR-код не более опасен, чем любой другой вид пропуска. Большую опасность представляет сама система, но для атаки на нее никакие QR-коды не нужны. Именно это мы и видим на примере Москвы.

Да, действительно, такая система может стать сверхбазой с данными граждан, но давайте не будем забывать, что мы и так добровольно вносим свои данные в ту же самую систему, оплачивая коммунальные услуги или штрафы в ГИБДД. Мы пользуемся мобильной связью, интернетом, отказываемся от наличных в пользу оплаты банковскими картами или электронными кошельками. Мы смело отдаем все свои данные компаниям и государству, радуясь техническим возможностям современного мира, и делаем это каждый день, несмотря на то что банковские серверы и серверы интернет-провайдеров ежедневно отражают сотни кибератак – а кое-какие могут и не отразить. Мы никогда не отказываемся от технологического прогресса в пользу своей приватности. И в этом смысле QR-коды не станут какой-то сверхтехнологией слежки за гражданами.