Цифровые водительские удостоверения появились в Австралии как инновационный способ упрощения и ускорения процесса идентификации личности. Несколько штатов, включая Новый Южный Уэльс, Викторию, Квинсленд и Южную Австралию, активно внедряют свои версии цифровых прав, обещая удобство и технологичность. Однако несмотря на продвижение этих решений как современных и безопасных, специалисты в области кибербезопасности выражают серьезную обеспокоенность по поводу качества их защиты и рисков мошенничества. Одним из основных элементов цифровых водительских удостоверений, рекламируемым как противомошенническая технология, является так называемый «он-приложенный голограмм» или «голограмма на экране». В документах и маркетинговых материалах штатов эта функция описывается как визуальный знак подлинности, который трудно или невозможно подделать.
Однако эксперты в области безопасности информационных технологий называют эту меру «дешевым кодовым трюком», не обладающим реальной защитной силой. По мнению специалистов, настоящая голограмма требует сложных технических решений, которые невозможно реализовать на обычных смартфонах. Кроме того, даже если бы существовал способ создать истинную голограмму, необходимо гарантировать возможность ее проверки и аутентификации с помощью надежных криптографических средств. Текущие приложения цифровых водительских удостоверений в Австралии не обладают такими возможностями, что делает визуальную проверку с помощью якобы голографического эффекта крайне ненадежной. Ассоциированный адъюнкт-профессор Австралийского национального университета и генеральный директор компании Thinking Cybersecurity Ванесса Тиг (Vanessa Teague) открыто критикует подход австралийских властей к безопасности цифровых удостоверений.
По ее словам, использование «голограммы» — это «абсолютная ерунда», представляющая собой обман, основанный на незнании технических аспектов и неумении должным образом оценить уровень цифровой защиты при распределении государственных средств. Основная опасность такой ложной меры безопасности в том, что она формирует у проверяющих людей, например сотрудников баров, кассиров или контролеров, ошибочное впечатление о подлинности документа. В инструкции Государственных служб Виктории и ВИКроадс проверяющим советуют обращать внимание на «голограмму», а сайт Службы Нового Южного Уэльса указывает на движение «голографического» символа как признак достоверности. Однако как отмечают эксперты, такой подход не только не обеспечивает реальную защиту, но и открывает легкие пути для подделок. Простой поддельный электронный документ с имитацией «пульсирующего» эффекта может быть создан за минимальные затраты — буквально за несколько строчек кода.
Появившиеся случаи фальшивых цифровых удостоверений, предъявленных в развлекательных заведениях, в том числе в Mornington, привели к отказу некоторых баров принимать цифровые права вовсе. Разработчики и специалисты напоминают, что единственным надежным способом проверки подлинности цифрового водительского удостоверения является сканирование уникального QR-кода, встроенного в приложение. Этот код должен соответствовать международным криптографическим стандартам, включая ISO 18013-5, разработанный для стандартизации цифровых лицензий. Несмотря на то, что некоторые штаты, например Квинсленд, заявляют о том, что их цифровые удостоверения соответствуют международным стандартам, практика допускает использование визуальных элементов как первичного средства проверки, что снижает общую безопасность. По словам эксперта Майкла Юрена, рекомендации относительно визуальных осмотров вместо обязательного сканирования QR-кодов — «позорная» ошибка, которая позволяет несовершеннолетним покупать запрещенные товары или попадать в заведения с ограничениями по возрасту.
Кроме того, риски фальсификации цифровых прав выходят далеко за рамки доступа к алкоголю или табачным изделиям. Мошенники могут использовать поддельные удостоверения личности для получения незаконного доступа к аренде недвижимости, заключению договоров, регистрации на автомобильные аварии и даже получения почтовых отправлений за чужой счет. Потенциальные масштабы использования сфальсифицированных цифровых удостоверений вызывают серьезные опасения у правоохранительных органов и IT-специалистов. Австралийские государственные органы, в ответ на критику, подчеркивают, что проводятся тесты на проникновение и аудит безопасности цифровых приложений, и результаты считаются положительными. Квинслендское ведомство транспорта указывает, что визуальные проверки предназначены только для ситуаций с низким уровнем риска, хотя конкретные определения этого понятия отсутствуют.
В Виктории идет активное информирование о необходимости всегда сканировать QR-код для окончательной проверки. Тем не менее вопросы остаются по поводу того, насколько корректно и надежно реализованы элементы криптографической защиты и как уровень экспертности разработчиков соответствует требованиям такого рода приложений. Отсутствие прозрачности и публичных проверок усиливает недоверие к существующим цифровым решениям. Эксперты призывают к тому, чтобы австралийские государства перестали изобретать собственные решения в области цифровой идентификации и взяли за основу уже проверенные и проверяемые международные стандарты. Аналогичная ситуация наблюдалась и с приложением для отслеживания контактов во время пандемии COVID-19, когда австралийские разработки не оправдали ожиданий по безопасности и удобству использования.
В целом цифровые водительские удостоверения в теории представляют собой прогрессивное и удобное новшество. Они позволяют избежать необходимости постоянно носить с собой пластиковую карту и обеспечить возможность удаленной верификации личности. Однако на практике их текущая реализация в Австралии демонстрирует недостаточное внимание к основам кибербезопасности и отсутствие комплексного системного подхода, что делает их уязвимыми к злоупотреблениям. Для повышения уровня безопасности и доверия к цифровым удостоверениям требуется внедрять многофакторную авторизацию, использовать современные криптографические протоколы, обучать проверяющих и конечных пользователей реальным методам верификации, а не доверять обманчивым визуальным эффектам, которые можно легко подделать с помощью современных технологий, включая искусственный интеллект. В будущем только переход к единому международному стандарту, таким как ISO 18013-5, и постоянный аудит безопасности приложений помогут создать надежную и защищенную систему цифровой идентификации.
Без этого цифровые водительские удостоверения могут стать лишь красивой, но бесполезной формальностью, открывающей двери для мошенников и создающей ложное ощущение безопасности для общества.
