Правительство сталкивается с вопросами о том, можно ли доверять системе, лежащей в основе его планов по внедрению цифрового удостоверения личности, в обеспечении безопасности персональных данных.
Цифровое удостоверение личности будет доступно всем гражданам и лицам, имеющим вид на жительство в Великобритании, но будет обязательным только для трудоустройства, согласно предложениям правительства.
Подробная информация о том, как будет работать система, пока не опубликована, но премьер-министр сэр Кир Стармер настаивает, что «в основе её работы будет лежать безопасность».
Система будет основана на двух государственных системах: Gov.uk One Login и Gov.uk Wallet.
One Login — это единая учётная запись для доступа к государственным услугам онлайн, к которой, по данным правительства, уже присоединились более 12 миллионов человек.
К этому времени в следующем году их число может достичь 20 миллионов, поскольку с 18 ноября регистрирующимся директорам компаний необходимо будет подтверждать свою личность через систему «Единый вход».
Gov.UK Wallet пока не запущен, но в будущем он может позволить гражданам хранить на смартфонах свои цифровые удостоверения личности, включая имя, дату рождения, гражданство, статус проживания и фотографию.
Для доступа к кошельку пользователям потребуется система «Единый вход» Gov.UK.
В прошлом месяце правительство запустило цифровое удостоверение личности для ветеранов вооруженных сил, чтобы протестировать эту концепцию.
Правительство надеется избежать проблем с безопасностью, храня персональные данные, к которым осуществляется доступ через систему «Единый вход», в отдельных правительственных ведомствах, а не в единой централизованной базе данных.
Однако ветеран движения за гражданские свободы и депутат парламента от Консервативной партии Дэвид Дэвис выразил обеспокоенность потенциальными недостатками в разработке и реализации системы «Единый вход», которые, по его словам, могут сделать её и новую схему цифровой идентификации уязвимыми для хакеров.
Выступая в начале этого месяца на дебатах в Вестминстерском зале, он заявил: «Когда эта система вступит в силу, все данные населения станут доступны злоумышленникам – иностранным государствам, злоумышленникам, распространяющим программы-вымогатели, злонамеренным хакерам и даже их личным или политическим врагам.
«В результате это будет хуже, чем скандал с Horizon [Почтой]».
Дэвис обратился к Национальному аудиторскому управлению, органу, контролирующему расходы, с просьбой провести «срочное» расследование расходов на One Login, которые, по его словам, наверняка превысят уже выделенные на него 305 миллионов фунтов стерлингов.
В своем письме депутат упоминает инцидент 2022 года, когда было обнаружено, что система One Login разрабатывалась на незащищенных рабочих станциях подрядчиками, не имеющими необходимого допуска к секретной информации в Румынии.
Дэвис также отмечает, что One Login не соответствует требованиям правительства для классификации в качестве безопасного и надежного поставщика удостоверений.
Правительство обвинило поставщика в том, что он допустил аннулирование сертификата Digital Identity and Attributes Trust Framework в начале этого года, и заявило, что работает над его восстановлением, которое произойдет «в ближайшее время».
Кроме того, представитель либерал-демократов по технологиям лорд Клемент-Джонс усомнился в соответствии One Login стандартам Национального центра кибербезопасности.
Член парламента сообщил, что разговаривал с информатором, который утверждает, что правительство пропустило срок до 2025 года, установленный в национальной стратегии кибербезопасности для защиты «критически важных» систем от кибератак.
Министры это отрицают, но член парламента от либерал-демократов заявил, что, по словам чиновника, One Login не пройдет необходимые испытания безопасности до марта 2026 года.
Информатор также подчеркнул Инцидент, произошедший в марте этого года, когда так называемая «красная команда», которой было поручено имитировать реальную кибератаку, предположительно смогла получить привилегированный доступ к системам One Login.
Министерство науки, инноваций и технологий (DSIT) заявило, что не может раскрыть подробности учений «красной команды» по соображениям безопасности, но заявило, что заявления о том, что их системы были взломаны без обнаружения, ложны.
Представители DSIT также заверили лорда Клемента-Джонса, что субподрядчики в Румынии — это «несколько человек», ни один из которых не имел доступа к производству, «и весь код был проверен».
Министерство утверждает, что все члены команды, работающей над One Login, используют устройства, «управляемые корпорацией», которые отслеживаются службой безопасности для выявления любой вредоносной активности.
Однако лорд Клемент-Джонс заявил BBC, что заверения министерства его не убедили.
Он сказал, что послужной список сменявших друг друга правительств Использование One Login и других систем «не должно вселить в нас никакой уверенности в том, что новый обязательный цифровой идентификатор, который будет на них основан, обеспечит безопасность наших персональных данных и будет соответствовать самым высоким стандартам кибербезопасности».
На прошлой неделе премьер-министр передал общее управление системой цифровой идентификации Кабинету министров, который возглавляет один из самых доверенных и высокопоставленных министров Даррен Джонс, что отражает её важность для правительства.
Однако Правительственная цифровая служба, входящая в состав DSIT, сохранит за собой ответственность за разработку проекта.
Представитель DSIT заявил: «Gov.UK One Login продолжает предоставлять услуги гражданам по всей Великобритании.
«В настоящее время One Login предоставляет доступ к более чем 100 сервисам и используется более 12 миллионов человек, что составляет почти шестую часть населения Великобритании.
«One Login соответствует самым высоким стандартам безопасности, применяемым в государственном и частном секторах, и полностью соответствует законам Великобритании о защите данных и конфиденциальности.
«Система регулярно проходит проверки и тестирование безопасности, в том числе независимыми сторонними организациями, чтобы гарантировать её надёжность и актуальность».