«Проблема идентичности в киберпространстве, это не просто вопрос логина и пароля. Это фундаментальный разрыв между тем, как мы существуем в физическом мире, и тем, как нас определяют и контролируют в цифровом. Регуляторные требования вроде 152-ФЗ и стандартов ФСТЭК пытаются навести порядок, но они работают с цифровыми следами, а не с целостной личностью. Континуитет личности, это способность оставаться собой, сохраняя права, доступы и доверие, даже когда всё вокруг цифровое. Сейчас этот континуитет постоянно нарушается.»
От паспорта к токену: как изменилась идентичность
В физическом мире идентичность человека, это документ, выданный государством. Паспорт, водительское удостоверение, СНИЛС. Эти артефакты материальны, их можно потрогать, они существуют в одном экземпляре и подкреплены авторитетом выпустившего их органа. Их сложно скопировать без последствий, а утрата заметна и требует официального восстановления.
В киберпространстве всё иначе. Идентичность становится набором цифровых утверждений: логин, пароль, cookie-файлы, токены доступа, биометрические шаблоны, история действий. Эти данные легко копируются, передаются, теряются и модифицируются. Они не существуют сами по себе, а всегда привязаны к какой-либо системе — банку, соцсети, госуслугам. У вас нет единого цифрового паспорта, есть десятки его фрагментов, разбросанных по разным платформам, каждая из которых определяет вас по-своему.
Это порождает первую проблему: фрагментацию. Ваша личность в банковском приложении (где вы — клиент с кредитной историей) и в рабочем мессенджере (где вы — сотрудник с определёнными правами), это два разных набора данных, слабо связанных между собой. Континуитет, то есть непрерывность вашего «я» между этими контекстами, обеспечивается лишь вашим субъективным ощущением, но не технически.
Регуляторный ответ: защита данных вместо защиты личности
Российское законодательство, в первую очередь 152-ФЗ «О персональных данных», подходит к проблеме с позиции защиты информации. Оператор обязан обеспечить конфиденциальность персональных данных, получить согласие на их обработку, сообщить о утечках. ФСТЭК России устанавливает требования к защите информации в информационных системах персональных данных (ИСПДн), предписывая меры в зависимости от уровня защищённости.
Это важный, но ограниченный подход. Регуляторика защищает «цифровой след» — статические данные о человеке. Но она почти не касается динамического аспекта идентичности: как эти данные используются для принятия решений о человеке в реальном времени. Система, которая корректно хранит ваш пароль (защищая его по 152-ФЗ), может при этом использовать сомнительный алгоритм для оценки вашей платёжеспособности, основываясь на других ваших цифровых следов. Ваша личность в таком алгоритме, это уже не вы, а некая производная модель, континуитет с вами потерян.
Более того, требования часто формальны. Сертификация по ФСТЭК проверяет наличие средств защиты информации (СЗИ), журналов событий, политик разграничения доступа. Но не проверяет, насколько эти механизмы обеспечивают именно континуитет личности пользователя. Можно пройти аттестацию, имея неудобную, раздробленную систему аутентификации, которая заставляет пользователя каждый раз доказывать, что он, это он, нарушая тем самым ощущение целостности.
Технические разрывы континуитета
На практике континуитет личности в цифровой форме рвётся в нескольких ключевых точках.
Аутентификация и сессии
Сессия, это временное цифровое воплощение пользователя в системе. Когда сессия истекает, это воплощение «умирает». Пользователь должен заново родиться через процесс логина. Современные системы стремятся к «бесшовности», используя долгоживущие токены или единый вход (Single Sign-On, SSO). Однако SSO часто работает только внутри экосистемы одного вендора или доверенной группы. Выйдя за её пределы, пользователь снова сталкивается с новым порогом аутентификации. Континуитет оказывается ограниченным стеной сада конкретной экосистемы.
Перенос профилей и репутации
В физическом мире ваша профессиональная репутация следует за вами. В цифровом — она прикована к платформе. Ваш рейтинг как фрилансера на одной бирже, ваши достижения в корпоративной системе обучения, ваша история в рабочем чате — всё это остаётся в системе при вашем уходе. Попытка перенести эти цифровые свидетельства вашей личности (скиллы, опыт, доверие) на другую платформу технически почти невозможна. Личность не континуальна, а дискретна: вы начинаете с нуля в каждом новом цифровом пространстве.
Контекстная идентификация и алгоритмы
Самый глубокий разрыв создают системы, которые идентифицируют вас не по тому, кто вы есть, а по тому, что вы делаете. Алгоритмы рекомендаций, системы скоринга, поведенческий анализ формируют «теневую» цифровую личность — модель, которая живёт своей жизнью. Она может приписать вам несуществующие интересы, неверно оценить риски, принять решение, которое вы не сможете оспорить, потому что не поймёте его логику. Здесь континуитет с вашей волей и самосознанием разрывается полностью.
Что стоит за требованием «континуитета» в ИБ?
В профессиональной сфере информационной безопасности термин «континуитет» обычно относится к бизнес-процессам (континуитет бизнеса) или к обслуживанию (континуитет управления). Однако применительно к личности он приобретает особый смысл.
Континуитет личности в корпоративном секторе, это обеспечение того, что права и доступы сотрудника корректно следуют за ним при любых изменениях: повышение, перевод в другой отдел, увольнение. Нарушение этого континуитета ведёт к классическим уязвимостям: остаточные права у бывших сотрудников (несанкционированный доступ) или, наоборот, блокировка доступа у действующих (отказ в обслуживании).
Технически это реализуется системами управления идентификацией и доступом (IAM), которые синхронизируют учётные записи между Active Directory, CRM, ERP и другими системами. Но даже продвинутые IAM-решения часто выстраивают работу вокруг ролей (бухгалтер, менеджер), а не вокруг целостной личности сотрудника с его уникальным путём и контекстом.
Возможные векторы развития: от учётных записей к цифровым аватарам
Проблема не имеет простого решения, но можно обозначить направления, в которых может идти поиск.
Децентрализованная идентификация (Self-Sovereign Identity, SSI). Это концепция, где пользователь хранит свои цифровые удостоверения (дипломы, права, пропуска) в личном кошельке на своём устройстве и предъявляет их системам по мере необходимости, не оставляя там полную копию. Это технически сложно, особенно с точки зрения соответствия 152-ФЗ, где оператор должен контролировать данные. Но такой подход потенциально может вернуть пользователю контроль над его цифровым воплощением.
Национальные платформы и ЕСИА. Российская Единая система идентификации и аутентификации (ЕСИА) — шаг к унификации. Она создаёт точку континуитета для доступа к госуслугам. Однако её экосистема ограничена, и для частного сектора она остаётся лишь одним из многих возможных провайдеров идентичности.
Фокус на пользовательском опыте (UX) безопасности. Континуитет, это также ощущение. Если процесс восстановления доступа занимает три дня и требует визита в офис с паспортом, континуитет личности нарушен, даже если с точки зрения ИБ всё правильно. Будущие стандарты, возможно, будут оценивать не только криптостойкость алгоритмов, но и то, насколько система поддерживает беспрерывность цифрового существования законного пользователя.
Заключение
Проблема идентичности в киберпространстве, это не узкотехническая задача по улучшению аутентификации. Это вызов целостности человеческой личности в эпоху, когда её всё чаще составляют из данных. Действующие регуляторные рамки, такие как 152-ФЗ и стандарты ФСТЭК, создают необходимый базис защиты, но работают на уровне инцидентов и данных, а не на уровне сохранения цифрового «я».
Континуитет личности, это следующий рубеж. Его обеспечение потребует не только новых технологий вроде децентрализованных идентификаторов, но и пересмотра подходов к проектированию систем, где пользователь будет не просто объектом обработки данных, а центральной, непрерывной сущностью, чьё цифровое воплощение защищено от фрагментации и несанкционированной реконтекстуализации.