Открыть сервис

Цифровая идентичность

Цифровая идентичность — это совокупность цифровых данных, атрибутов и записей, которые однозначно характеризуют субъекта (человека, организацию, устройство или программный агент) в информационно-коммуникационной среде. Цифровая идентичность позволяет системе распознавать субъекта, авторизовывать его действия и связывать с ним определённые права, роли и историю взаимодействий.

Основные компоненты и структура

Цифровая идентичность не является единым файлом или паролем. Она складывается из нескольких категорий данных:

  • Идентификаторы: уникальные метки, присваиваемые субъекту. Примеры: логин, номер мобильного телефона, адрес электронной почты, IP-адрес, идентификатор устройства (IMEI/UDID), номер паспорта (в цифровых системах), ИНН, СНИЛС.
  • Атрибуты: описательные характеристики субъекта. Делятся на:
  • Врождённые/биометрические: отпечатки пальцев, рисунок радужной оболочки глаза, геометрия лица, голос, ДНК.
  • Приобретённые: имя, фамилия, дата и место рождения, гражданство, образование, профессия, семейное положение.
  • Поведенческие: история покупок, геолокация, частота посещений сайтов, стиль набора текста, маршруты передвижения.
  • Учётные данные (Credentials): средства, подтверждающие, что субъект является владельцем идентификатора. К ним относятся пароли, одноразовые коды, сертификаты электронной подписи, биометрические шаблоны, токены и аппаратные ключи (например, YubiKey).
  • Цифровой след: совокупность записей о действиях субъекта в цифровой среде. Пассивный след (логи серверов, данные телеметрии) и активный след (публикации в соцсетях, комментарии, загрузка файлов).

Типы цифровой идентичности

По степени анонимности

  • Анонимная: субъект не раскрывает никаких личных данных. Система знает только обезличенный идентификатор (например, случайный ID сессии). Используется для однократного доступа к информации.
  • Псевдонимная: субъект использует постоянный псевдоним (никнейм). Система может связывать действия с этим псевдонимом, но не знает реальной личности. Примеры: форумные аккаунты, игровые персонажи.
  • Верифицированная (идентифицированная): личность субъекта подтверждена документально или через биометрию. Используется в государственных услугах, банковском деле, электронной коммерции.

По способу создания

  • Централизованная: идентичность создаётся и управляется одной организацией (провайдером). Примеры: учётная запись в «Госуслугах», аккаунт Google, корпоративный профиль в Active Directory.
  • Федеративная (децентрализованная): одна идентичность позволяет входить в несколько независимых систем. Пользователь аутентифицируется у одного провайдера (IdP — Identity Provider), а другие сервисы доверяют этому подтверждению. Примеры: вход через аккаунт VK ID, Apple ID, «ВКонтакте» или «Сбер ID».
  • Самостоятельная (Self-Sovereign Identity, SSI): концепция, при которой субъект полностью контролирует свои данные, не полагаясь на центральных хранителей. Данные хранятся в децентрализованных реестрах (блокчейн) или на устройстве пользователя, а подтверждение происходит через криптографические доказательства (Zero-Knowledge Proofs).

История развития

Концепция цифровой идентичности прошла несколько этапов:

  1. Эпоха локальных систем (1960-1980-е): идентификация сводилась к учётным записям на мейнфреймах и в операционных системах. Пароль был единственным фактором аутентификации.
  2. Эпоха интернета и веб-порталов (1990-е — 2000-е): появление веб-сайтов привело к массовому созданию учётных записей. Возникла проблема «усталости от паролей» (password fatigue). Появились первые попытки федерации (Microsoft Passport, Liberty Alliance).
  3. Эпоха социальных сетей и мобильных устройств (2010-е): социальные сети (Facebook, «ВКонтакте») стали крупнейшими провайдерами идентичности. Массовое распространение смартфонов привело к использованию биометрии (Touch ID, Face ID) и двухфакторной аутентификации (2FA).
  4. Эпоха цифрового государства и SSI (2020-е — настоящее время): государства активно внедряют национальные системы цифровой идентификации (Aadhaar в Индии, NemID в Дании, «Госуслуги» в России). Развиваются технологии самообслуживаемой идентичности (SSI) на блокчейне, а также стандарты верифицируемых учётных данных (Verifiable Credentials).

Применение

Цифровая идентичность лежит в основе большинства современных онлайн-сервисов:

  • Государственные услуги: получение паспорта, регистрация по месту жительства, подача налоговой декларации, запись к врачу. В России ключевым элементом является Единая система идентификации и аутентификации (ЕСИА), обеспечивающая доступ к порталу «Госуслуги».
  • Финансовый сектор: удалённое открытие счетов, проведение платежей, получение кредитов. Используется упрощённая, стандартная и полная идентификация в соответствии с Федеральным законом № 115-ФЗ.
  • Электронная коммерция: персонализация предложений, сохранение корзины покупок, история заказов.
  • Корпоративные системы: управление доступом сотрудников к информационным ресурсам компании (Identity and Access Management, IAM).
  • Здравоохранение: ведение электронных медицинских карт, выписка рецептов, идентификация пациента в системе ОМС.
  • Образование: электронные дневники, зачётные книжки, доступ к образовательным платформам.

Риски и угрозы

  • Кража идентичности (Identity Theft): несанкционированное использование чужих персональных данных для совершения мошеннических действий (оформление кредитов, покупки).
  • Утечка данных: взлом баз данных провайдеров идентичности (например, утечка данных пользователей «Яндекс.Еда» или «СберЛогистика» в 2022-2023 годах).
  • Фингерпринтинг (снятие цифрового отпечатка): сбор уникальных характеристик устройства (браузер, разрешение экрана, установленные шрифты, плагины) для идентификации пользователя без его согласия.
  • Дипфейки и синтетическая идентичность: создание полностью вымышленной личности с использованием сгенерированных нейросетями фотографий и поддельных документов. Используется для обхода систем KYC (Know Your Customer).
  • Чрезмерная централизация: единая точка отказа — взлом одного провайдера идентичности (например, «Госуслуг» или Google) ставит под угрозу все связанные сервисы.

Правовое регулирование в России

В Российской Федерации цифровая идентичность регулируется рядом нормативных актов:

  • Федеральный закон № 152-ФЗ «О персональных данных»: устанавливает принципы обработки, хранения и защиты персональных данных, включая биометрические.
  • Федеральный закон № 149-ФЗ «Об информации, информационных технологиях и о защите информации»: определяет правовой статус электронного документа и электронной подписи.
  • Федеральный закон № 63-ФЗ «Об электронной подписи»: регламентирует виды электронных подписей (простая, усиленная неквалифицированная, усиленная квалифицированная) и их юридическую силу.
  • Постановление Правительства РФ № 584 (о ЕСИА): устанавливает порядок использования Единой системы идентификации и аутентификации.
  • Федеральный закон № 572-ФЗ (о биометрической идентификации): вводит Единую биометрическую систему (ЕБС) для сбора и обработки биометрических данных граждан.

Будущие тенденции

  • Безпарольная аутентификация (Passwordless): замена паролей на биометрию, аппаратные ключи (FIDO2/WebAuthn) и одноразовые коды.
  • Децентрализованные идентификаторы (DID): стандарты W3C, позволяющие создавать идентификаторы, не зависящие от центральных реестров.
  • Идентификация на основе поведения (Behavioral Biometrics): анализ динамики набора текста, движений мыши, походки для непрерывной аутентификации.
  • Интернет вещей (IoT): присвоение цифровых идентичностей миллиардам устройств (датчики, умные колонки, автомобили) для безопасного взаимодействия в сети.

Источники

  1. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных».
  2. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи».
  3. Постановление Правительства РФ от 28.11.2011 № 977 «О единой системе идентификации и аутентификации».
  4. Федеральный закон от 29.12.2022 № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных».
  5. Стандарт W3C «Decentralized Identifiers (DIDs) v1.0».
  6. Стандарт W3C «Verifiable Credentials Data Model v1.1».
  7. Доклад «Digital Identity: The New Value Driver» (McKinsey & Company, 2019).
  8. Материалы конференций по кибербезопасности (PHDays, Positive Hack Days).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →