Vashkontrol.ru – Официальный сайт Наталья Касперская посоветовала россиянам «не вестись на удобство» использования биометрических данных. Она считает, что их могут украсть и продать третьим лицам. По мнению бизнесвумен, главная опасность внедрения биометрии заключается в неумении защищать и верифицировать полученные данные. Она заявила, что жителей России «снимают без их ведома и согласия на улицах, на транспорте, в офисах и торговых центрах». Информацию впоследствии могут использовать мошенники.
Примерное время чтения: 3 минуты
Минцифры заключило контракт с «Ростелекомом», чтобы интегрировать портал госуслуг с государственной биометрической системой (ГИС ЕБС). Об этом сообщает «Коммерсант».
«Минцифры 30 декабря 2021 года заключило контракт с „Ростелекомом“ на интеграцию единой системы идентификации и аутентификации (ЕСИА) „Госуслуг“ с государственной информационной системой „Единая биометрическая система“ (ГИС ЕБС)», — пишет издание.
Отмечается также, что сумма госконтракта составила 1,2 млрд рублей. Работы должны быть завершены к 5 декабря 2022 года.
Почему эксперты и регулятор разошлись в оценке эффективности защиты ЕБС
Эксперт Moscow Digital School Олег Блинов полагает, что для граждан могут ограничить удаленное получение кредитов без сдачи биометрии, а затем другие услуги — выдачу загранпаспорта, водительских прав и др.
Но президент InfoWatch Наталья Касперская подчеркивает риски утечек при использовании приложения. Приложения, устанавливаемые на смартфон, контролируются производителями телефона и платформой, с которой скачаны, а значит, им могут быть доступны биометрические данные, поясняет госпожа Касперская: «Злоумышленники могут получить данные через установку зловредного ПО на смартфон или использование социальной инженерии. Нет гарантии, что биометрическая информация, переданная со смартфона через приложение “Ростелекома” в ЕБС, принадлежит именно данному человеку, а не какому-либо другому. Это может быть злоумышленник, использовавший технологии Deep Fake».
Город
, 1 мин. на чтениеНа «Госуслугах» введут биометрию, а тем, кто не захочет ее сдавать, отключат часть услуг
Минцифры заключило с «Ростелекомом» контракт на интеграцию сайта госуслуг с государственной биометрической системой. В результате модернизации на портал можно будет заходить с помощью биометрических данных, а через мобильное приложение граждане смогут сдавать образцы лица и голоса. Чтобы ускорить сбор биометрии, Минцифры планирует ограничить удаленное получение части госуслуг для тех, кто не сдал биометрические слепки в систему, утверждают источники “Ъ”.
Минцифры 30 декабря 2021 года заключило контракт с «Ростелекомом» на интеграцию единой системы идентификации и аутентификации (ЕСИА) госуслуг с государственной информационной системой «Единая биометрическая система» (ГИС ЕБС), говорится на портале госзакупок.
Из техзадания следует, что на портале госуслуг появится возможность входа с помощью биометрических данных, а через мобильное приложение планируется собирать с граждан биометрические слепки (лицо и голос) с помощью смартфонов и планшетов.
Сумма контракта составила 1,2 млрд руб. Работы должны быть завершены к 5 декабря 2022 года.
Источник “Ъ” в правительстве поясняет, что Минцифры после окончания работ по интеграции ЕБС и портала госуслуг планирует стимулировать граждан сдавать биометрию, в том числе с помощью ограничений. По его словам, обсуждается сценарий, при котором получение части госуслуг онлайн для граждан, не сдавших биометрию, станет недоступно. Собеседник “Ъ” подчеркнул, что привязка биометрии к аккаунту на портале госуслуг повысит безопасность операций: «Электронную цифровую подпись можно передать или потерять, а биометрию отдать не выйдет».
Минцифры ищет способ ускорить наполнение ЕБС, двигающееся черепашьими темпами: оно планировало к 2024 году собрать около 70 млн биометрических слепков россиян, тогда как в ЕБС зарегистрировано лишь 180 тыс. слепков (см. “Ъ” от 10 марта 2021 года).
В частности, в этом году министерство планирует масштабировать проекты по оплате проезда с помощью биометрии и прохождению контроля в аэропортах, говорят в его пресс-службе.
Пока оплату проезда лицом запустили только в московском метро, а прохождение биометрического контроля тестируют в Шереметьево и Домодедово. Представитель Минцифры подчеркивает, что сдача биометрии будет добровольной и у пользователя будут альтернативные возможности получения сервисов.
Российский союз промышленников и предпринимателей счел дискриминационными для технологических компаний правила работы с биометрическими данными, которые предложило Минцифры. Представители бизнеса попросили не распространять их действие на компании, которые используют, но не передают биометрию через интернет
Новые правила работы с биометрическими данными, которые предложило Минцифры, дискриминируют крупнейшие российские IT-компании. В частности, они запрещают сбор биометрии компаниям с долей иностранного участия более 49% и капиталом менее 500 млн рублей. Об этом пишет «Коммерсантъ» со ссылкой на отзыв на проект правил, данный Российским союзом промышленников и предпринимателей (РСПП). Эксперты называют требования, изложенные в проекте, жесткими и нерыночными.
Проект поправок к закону о предоставлении госуслуг подготовило Минцифры, 29 июня он был опубликован на regulation. gov. Правила работы с биометрическими данными россиян разрешают использовать их только компаниям, в которых доля иностранных акционеров не превышает 49%. Компания, которая претендуем на применение биометрии, должна иметь лицензию и право собственности на криптографические средства шифрования. Создавать собственные банки биометрических данных смогут только компании с собственным капиталом не меньше 500 млн рублей.
Предполагается, что эти требования вступят в силу с 1 января 2022 года. Сейчас для сбора биометрии и ее использования для идентификации пользователей финансовых услуг работает Единая биометрическая система (ЕБС, проект «Ростелекома» и Банка России). В феврале в ней было зарегистрировано около 164 000 россиян, актуальные данные в «Ростелекоме» газете сообщить отказались. ЕБС пользуются в основном банки, с 2021 года к ней также подключились страховые компании.
«Ростелеком» с правительством перезапустят Единую биометрическую систему
РСПП в своем отзыве на проект Минцифры заявило, что он дискриминирует крупнейшие российские IT-компании, что влечет отставание России в развитии биометрии. Союз призвал не распространять новые требования на компании, которые используют, но не передают биометрические данные через интернет. В Минцифры газете заявили, что новый проект только уточняет порядок аккредитации компаний для работы с биометрией, детализируя уже принятый в конце 2020 года закон. Эксперт комиссии по связи РСПП Михаил Рыженков отметил, что компании, которые не соответствуют новым правилам, не получат аккредитацию и не смогут собирать и обрабатывать биометрию. По его словам, это критично для банков и экосистем. «Биометрические данные можно использовать для заключения любых сделок на интернет-платформах. Например, оформление онлайн-ипотеки через интернет»,— сказал он.
«Недешевое удовольствие»: Альфа-банк пожаловался на впустую потраченные $1,5 млн на биометрию
Директор АНО «Инфокультура» Иван Бегтин считает, что условия, предложенные Минцифры, нельзя назвать рыночными. По его оценке, под требование о минимальном капитале в 500 млн рублей попадут такие крупные корпорации, как «Сбер», ВТБ, «Ростелеком», «Яндекс» и Mail. ru Group. Источник в крупном операторе связи назвал требования правил «жесткими». Он добавил, что в создании систем биометрии заинтересованы банки, операторы и другие компании, кто развивает цифровые сервисы. По словам гендиректора Института исследований интернета Карена Казаряна, правила делают невозможным создание коммерческих биометрических систем, под биометрией по ним можно подразумевать «даже скан паспорта». Казарян предупредил, что в итоге сами компании могут отказаться от верификации через интернет с помощью сканов документов.
Минцифры решило ускорить сбор биометрических данных россиян административными мерами
Требования правил критичны для сервисов каршеринга, иностранных платформ Booking. com и Airbnb, Avito (принадлежит зарегистрированной в Нидерландах компании), а также банков вроде «Тинькофф» (принадлежит кипрской TCS Group) и экосистемы «Яндекса» (принадлежит нидерландской Yandex B. ), отметил эксперт. Глава компании «Б-152» Максим Лагутин добавил, что бизнес использует биометрию в маркетинге и пропускной системе. Биометрией интересовалась даже «Азбука вкуса», тестировавшая оплату по отпечатку пальца. Проект закрыли из-за невостребованности, рассказали газете в компании.
Власти простимулируют тотальную сдачу биометрии введением ограничений на Госуслугах. Мнения
В Минцифры ищут способ наполнения Единой биометрической системы (ЕБС), с которой россияне не спешат делиться своими данными, и в качестве стимулирующей меры власти обсуждают возможность сделать часть онлайн-госуслуг недоступными.
Власти столкнулись с проблемой медленной наполняемости ЕБС, вследствие чего сейчас обсуждается ряд мер для стимулирования сдачи россиянами своих биометрических данных, сообщает «Ъ».
Недавно Минцифры заключило с контракт с «Ростелекомом» на интеграцию сайта госуслуг с государственной ЕБС. В результате на портал можно будет заходить с помощью биометрических данных, а через мобильное приложение сдавать образцы лица и голоса. Сумма контракта с «Ростелекомом» составила 1,2 миллиарда рублей, следует из документов на портале госзакупок. Компания должна завершить работы к 5 декабря 2022 года.
Источник «Ъ» в Правительстве рассказал, что после завершения интеграции Минцифры начнёт стимулировать граждан сдавать биометрию, в том числе с помощью ограничений. По его словам, в министерстве обсуждают возможность ограничить получение части госуслуг онлайн для россиян, не сдавших биометрию. Минцифры ищет способ ускорить наполнение ЕБС, двигающееся черепашьими темпами: оно планировало к 2024 году собрать около 70 млн биометрических слепков россиян, тогда как в ЕБС зарегистрировано лишь 180 тыс. слепков.
«Предоставление каких-либо государственных или коммерческих услуг через биометрию не должно иметь безальтернативный характер или нивелировать те функции, которые были доступны ранее без её сдачи. Клиент, пользователь, гражданин должен иметь право выбора: делиться ли своими чувствительными данными для тех или иных целей или не спешить делать такой выбор, основываясь на вполне реальных рисках, как непрозрачного доступа к ним третьих лиц, так и утечек. При этом, этот выбор не должен нести ущерб для граждан, лишая их тех или иных социальных и общественных благ. Я считаю, что такое тотальное принуждение к сдачи биометрии, что планируют реализовать Минцифры с Ростелекомом, является, мягко говоря, преждевременным — на фоне постоянных сливов данных из государственных и коммерческих баз и торговли этими данными в том числе самими же правоохранительными органами, как показывают журналистские расследования, включая и наше — по утечкам из московской системы видеонаблюдения с распознаванием лиц», — Артём Козлюк, руководитель «Роскомсвободы».
По мнению источника издания в кабмине, привязка биометрии к аккаунту на сайте госуслуг повысит безопасность операций:
Эксперт Moscow Digital School Олег Блинов полагает, что для граждан могут ограничить удаленное получение кредитов без сдачи биометрии, а затем другие услуги — выдачу загранпаспорта, водительских прав и др. Президент InfoWatch Наталья Касперская, однако, отметила риски утечек при использовании приложений для сдачи биометрии: их контролируют производители телефона и платформа для скачивания, поэтому им могут быть доступны биометрические данные. «Нет гарантии, что биометрическая информация, переданная со смартфона через приложение «Ростелекома» в ЕБС, принадлежит именно данному человеку, а не какому-либо другому. Это может быть злоумышленник, использовавший технологии Deep Fake», — добавила Касперская.
Телеком-эксперт Алексей Бойко в своём авторском канале высказал мнение, что «в качестве сыра, которым заманивают граждан выступают объяснения, что сдав биометрию, можно будет повысить безопасность входа на Госуслуги»:
«На деле – ситуация прямо противоположна, это действие повысит потенциал возникновения проблем для любителей комфорта.
Во-первых, сдача данных приведет к тому, что государство сможет их использовать далеко не только для того, чтобы впускать вас на портал Госуслуг. Можно будет, например, отследить с помощью вездесущих камер соблюдение человеком “масочного режима” или, скажем, переход человеком улицы в “неположенном месте” или на красный сигнал светофора. Это движение в сторону превращения людей в зомби, управляемых потоками штрафов.
Во-вторых, как любые данные, данные биометрии могут быть украдены. После этого технология Deep Fake позволит злоумышленникам выдавать себя за человека, который сдал биометрию. Он получит доступ от вашего имени к любым услугам, доступ к которым дают Госуслуги и ГИС ЕБС. В этой ситуации, каждый должен включать мозги и решать сам за себя, как и в случае с вакцинацией».
Генеральный директор АНО «Информационная культура» и руководитель Ассоциации участников рынка данных Иван Бегтин считает принуждение к сдаче биометрии для получения госуслуг ошибкой. «Причём ошибка эта двойная, – говорит эксперт. – Первая её часть в том, что если подталкиваешь к чему-то граждан, то важна просветительская кампания (которой не было, нет и, похоже, не планируется). Потому что найдутся те, кто дойдет до Конституционного суда, если их принуждать сдавать биометрию. А вторая часть этой ошибки в том, что тезисы о том, что биометрия обеспечивает лучшую защиту, очень спорный. Утечка биометрических данных невосполнима — лицо, отпечатки пальцев, голос и многое другое не поменять. И кроме биометрии есть другие пути идентифицировать граждан/пользователей».
«Я вообще не понимаю, зачем именно государство ввязалось в создание ЕБС — сама идея с постепенным принуждением будет вызывать раздражение у граждан. Уже вызывает, на самом то деле. Граждане всё больше напрягаются на любые требования по сбору их личных данных, и текущий подход по сбору биометрии ошибочен», – подытоживает Бегтин.
«Никакой «обязаловки» при сдаче россиянами государству своих биометрических данных нет и быть не может, – уверяет глава инфокомитета Госдумы Александр Хинштейн. – И уж тем более — совершенно недопустимо ограничение доступа к госуслугам для граждан, не сдавшим биометрию».
По его словам, передача гражданами биометрии должна быть сугубо добровольной и «ровно ту же позицию публично декларировало и руководство Минцифры России»:
«Наша консолидированная позиция не поменялась и останется неизменной: ЕБС — дело добровольное. Максут Шадаев подтвердил мне сегодня это ещё раз и опроверг наличие у его ведомства каких-либо планов принудительного сбора биометрических данных россиян».
Хочу поделиться впечатлениями о том, как я подтверждала биометрические данные для Госуслуг.
Немного предыстории. Мне нужно было воспользоваться приложением Россельхозбанка, не имея пластиковой карты. Установив приложение, я увидела вариант зайти через Госуслуги. Но просто подтвержденной записи на Госуслугах было не достаточно, требовалось зарегистрировать биометрические данные.
В приложении Госуслуги, в разделе, где содержатся сведения о пользователе, среди прочих дополнительных данных есть такое – Биометрические данные. Если они не подтверждены, то там стоит красный значок с восклицательным знаком. Если подтверждены (забегая вперед), то как у меня – зелёная галочка.
Я позвонила в Россельхозбанк, мне подтвердили: с помощью подтвержденной биометрии я смогу управлять услугами банка онлайн, не посещая отделения.
Окей, я скачала приложение “Биометрия”, чтобы получить побольше информации о том, что это такое и где можно это “организовать”. У приложения характерный значок бело-сиреневого цвета с пиктограммкой в виде лица в центре.
По сути, из всей информации там только ответы на наиболее частые вопросы о биометрии да список с адресами отделений, в которых эти данные можно подтвердить. Собственно, только эти адреса и нужны для начала.
Немного для информации:
Единая биометрическая система (ЕБС) — совместный проект Банка России и «Ростелекома», направленный на сбор биометрической информации и её использование для идентификации (в более строгом понимании — для аутентификации) пользователей финансовых услуг. Платформа была разработана по инициативе Минкомсвязи и Центрального банка, разработчик и оператор ЕБС — «Ростелеком». В конце 2021 года приобрела статус государственного информационного ресурса.
Понятно, что эта система связана с предоставлением финансовых услуг. Поэтому в первую очередь к ней подключены такие организации, как банки, почта, МФЦ и прочие. Но не в каждом отделении этих учреждений можно подтвердить свои биометрические данные.
Начать я решила с ближайшего, им оказался Альфа-банк. Ну надо понимать, что середина марта нынешнего 2022-го года – далеко не лучшее время для посещения банков, когда очередь “зашкаливает”. Но в нашем перенаселенном районе при отсутствии нормального количества госучреждений ситуация всегда плачевная: вечные очереди на почту, в МФЦ. Наверно, поэтому они даже и не взялись пока за биометрию, там и без этого тяжко.
И так как я изначально думала, что подтвердить биометрические данные – это минутное дело, то искренне не понимала, почему бы не предоставить больше возможностей и адресов.
Итак, я зашла в Альфа-банк. У меня спросили, есть ли у меня их приложение. Так как я не являюсь их клиентом, разумеется, у меня его не было. И тут выяснилось, что подтвердить в их отделение сами биометрические данные можно только являясь клиентом Альфа-банка. То есть 2 минус 1, и остался только Сбербанк.
Попытка вторая.
Захожу в Сбербанк. Консультант выбивает мне нужный талон в терминале, минут 20 я сижу в очереди. Потом подхожу к окошку. От меня требуются паспорт и банковская карта.
Мне выдают памятку с условиями и согласие для подписи. В памятке – об условиях для подтверждения – снимок Вашего лица и запись голоса. Далее менеджер Сбербанка заполняет необходимые данные и отправляет запрос на Госуслуги.
Ждём несколько минут, но ничего не происходит. Сайт Госуслуг зависает. Менеджер отправляет запрос ещё раз, после чего объявляет мне, что сайт Госуслуг не работает, и сделать она ничего не может. Ребят, ну это не серьёзно. Две крупнейшие организации РФ просто не могут наладить техническую работу, чтобы оказать простейшую, как они же сами утверждают, услугу.
Я не хочу скандалить. Разочарованно покидаю отделение. На выходе звоню на горячую линию Госуслуг, надеясь получить там какое-то объяснение по этой биометрии. На удивление, оператор очень быстро берет трубку. Но разговор начинается как-то вяло:
- Где вы находитесь?
- Ваши ближайшие отделения – Альфа-банк и Сбербанк.
- Альфа-банк должен был предоставить услугу, неужели вам отказали? Странно..
- Если в Сбере не работает, они должны отравить заявку техническим специалистам, проблема с их стороны..
“Висела” я минут 20. После чего выяснилось, что Альфа-банк все-таки ничем мне не обязан, так как в списке адресов у них имеется пометка, что они действительно работают только с действующими клиентами. (Где именно эта пометка, я так и не поняла, но будьте внимательны).
Ни почта, ни МФЦ поблизости не могли предоставить услугу, это подтвердилось. Зато вдруг обнаружился ещё один адрес прямо в соседнем доме – отделение ВТБ. Я так и не увидела его на карте своими глазами, так что – или ищите третьим глазом, или лучше позвоните для верности.
Итак, третья попытка.
Иду в ВТБ. Очередь даже на улице. Внутри тесный пятачок помещения, где сидит один взмыленный замученный менеджер и рядом куча народу с уставшим взглядом в ожидании. Разумеется, никаких консультантов. Я спросила, предоставляют ли они услугу по подтверждения биометрических данных. Он выдохнул: “Да, но не сейчас”. Ну, собственно, как и следовало ожидать. Да и вряд ли я была готова ради этого стоять час в очереди.
Я была готова плюнуть на все это дело, но решила перед уходом ещё раз заглянуть в Сбербанк и как-то подстегнуть их, что ли, отправить заявку техническим специалистам. Ну как бы непорядок – Госуслуги не работают, услуга не предоставляется и идите лесом.
Мне сказали, что ж, давайте попробуем. Если не получится, отправим запрос на решение проблемы.
Снова взяла талончик, снова села к тому же окошку. Уже, к счастью, без очереди. Окошко одно и то же, кстати, по той причине, что оборудование для биометрии подключено только к одному компьютеру. Это касается конкретного отделения, как в других – не знаю.
Снова паспорт и карта, снова подпись на согласии. Потом отправка заявки. Я уж ни на что не надеялась. Но чудо! Запрос ушёл и начался следующий этап – сканирование лица. Может, это как-то по-другому называется, но это было ооочень, ооочень, невыносимо долго. От вас требуется только смотреть прямо в камеру не отрываясь. Моргать можно, но нельзя отводить взгляд в сторону.
Почему-то изображение никак не хотелось загружаться. Мы вставали, садились, наклонилась, поворачивались, то ближе, то дальше, то правее, то левее. Менеджеру тоже приходилось крутиться вместе со мной. Мне уже было жаль её. Так как сзади была очередь, в камеру попадали чужие лица. Она просила всех расступиться. Наверно, со стороны это выглядело очень комично, но по факту. Когда наконец, образ загрузился, по-моему, мы обе были вне себя от радости.
Потом нужно было записать голос. Для этого нужно было читать вслух цифры, которые появлялись на экране терминала и по окончании нажимать зелёную кнопку. Это заняло гораздо меньше времени – мне кажется, около минуты.
Но самые страшные слова ждали потом, после всех перипетий: “Упс, сессия истекла. Данные не загрузились
Нет-нет-нет, только не это. Я предложила зайти в свое приложение Госуслуги, чтобы проверить. Только бы не мучиться перед этой камерой снова.
И тут, несмотря на то, менеджер сказала, что данные в личном кабинете могут появиться чуть ли не на следующий день, то есть далеко не сразу, но мне крупно повезло, я считаю – как только загрузились Госуслуги, я увидела зелёную галочку возле биометрических данных и заветное уведомление – Вы зарегистрировали свой цифровой образ.
Примерно такое же уведомление появилось и в приложении Биометрии.
И немного изменился сам интерфейс приложения после подтверждения данных.
Фух, ну наконец-то.
А пока я зашла снова в приложение Биометрия, чтобы спросить у себя самой – зачем я проходила эту процедуру? Да ещё с такими препятствиями.
Вот что ответило мне приложение.
Даже не знаю, есть ли такая перспектива в ближайшем будущем – воспользоваться услугами банков мира.
Наверно, мне пригодится это для оформления второго номера Теле2, не выходя из дома! Всего-то и надо будет найти смартфон с чипом eSIM. 🙈😂
Всё зависит от системы
«Биометрическая система сравнивает идентификатор (отпечаток пальца, изображение лица, голос и т. ) с биометрическим шаблоном, который заранее записан в систему. Если система не способна отличить живой палец от муляжа, живой голос от записи, живое изображение от фотографии и т. , тогда кража биометрических шаблонов опасна», — заявил «Секрету» коммерческий директор компании ekeyRus Константин Новиков.
Он рассказал, что гораздо реальнее и привычнее кражи персональных данных, к которым прикреплён такой шаблон. Но, по его словам, это никак не связано с биометрией, поскольку хранение персональных данных — ответственность оператора такой системы.
«Есть системы, где сотрудники записывают свои биометрические данные под внутренним ID, который, в свою очередь, персонализируется в стороннем ПО. В таком случае биометрия не связана с персональными данными, а только с обезличенными цифровыми и, желательно, зашифрованными биометрическими данными.
Эксперт привёл в пример выгрузку журнала событий в бухгалтерской программе «1С» для учёта рабочего времени. В некоторых локальных системах вообще нет имён пользователей, и такие шаблоны хранятся локально, без связи с окружающим миром. По его мнению, кража данных в таких системах практически невозможна, а главное — бесполезна для злоумышленника.
«Согласно Федеральному закону о защите персональных данных, каждый человек должен дать своё согласие на их использование, в том числе и для привязки изображения его лица к карте “Тройка”, профилю на портале “Госуслуги” и т. Но едва ли найдётся хоть один реальный человек, который такое разрешение давал письменно», — добавил Новиков.
Европа и США против биометрии
«Создаются все условия, чтобы биометрию можно было использовать для операций в банке, для получения госуслуг, соответственно, открывается простор для мошенников. Проблема в том числе в том, что биометрические данные обычному человеку не поменять», — заявила эксперт юридической фирмы Digital Rights Center, автор телеграмм-канала «Цифровое право» Анастасия Крымская.
Она отметила, что при утечке можно сменить пароль, можно поменять номер телефона или почту, если мошенники завладели этими данными. Но поменять отпечатки пальцев, сетчатку глаза и лицо будет практически невозможно. И прекратить мошенничество с использованием биометрии будет намного сложнее
«В целом сейчас риск применения биометрии очень большой, поэтому её применение и ограничивается в развитых странах, повсеместное её внедрение в России может повлечь большие правовые риски», — добавила Крымская.
Она напомнила, что сейчас в ряде стран принимаются ограничения на использование биометрии. Недавно Европейский совет по защите данных (EDPB) и Европейский надзорный орган по защите данных высказали мнение, что искусственный интеллект не должен использоваться для удалённого распознавания лиц или каких-либо отличительных черт людей в общественных местах. А власти Нью-Йорка в 2020 году приняли закон, который запрещает использование систем распознавания лиц в школах до 2022 года.
В начале сентября МВД России заявило, что готово выдавать россиянам электронные паспорта, сообщили в министерстве. Первыми их смогут получить москвичи — с 1 декабря 2021 года. В регионах новые документы должны начать выдавать в течение ближайших полутора лет. На карточке планируется размещать в том числе биометрические данные граждан: изображение лица, папиллярных узоров двух пальцев рук владельца и т.
У банков могут забрать биометрию клиентов
Данные из коммерческих систем планируют передать в Единую биометрическую систему
Евгений Разумный / Ведомости
В наступающем году будет разработан механизм передачи биометрических данных граждан от банков в Единую биометрическую систему (ЕБС), которая будет администрироваться Минцифры. При этом сами банки и другие коммерческие организации не смогут оставить у себя копии этих данных. Об этом «Ведомостям» рассказал председатель комитета Госдумы по информполитике Александр Хинштейн.
Представитель Минцифры уточнил, что создание новой ЕБС не планируется, а предполагается проведение технических и нормативных доработок подсистем уже существующей.
Сейчас практически все крупные банки собирают биометрию клиентов с их согласия через свои системы – Сбербанк, ВТБ, Альфа-банк и проч. Нормы передачи данных из коммерческих биометрических систем в ведение государства должны быть разработаны до осени 2022 г. , отметил Хинштейн.
ЕБС создали в 2018 г. по инициативе тогда еще Минкомсвязи (теперь Минцифры) и Банка России. Оператор системы – «Ростелеком». Сейчас сдавать биометрию – слепок лица и голоса – можно только лично, в отделении банка. ЕБС не пользуется особой популярностью – всего в системе за три года ее существования зарегистрировано около 216 000 пользователей. Весной этого года стало известно, что Сбербанк и «Ростелеком» создадут совместное предприятие для развития системы. В июле «Коммерсантъ» писал, что в СП войдут другие крупные банки из-за опасений ЦБ относительно влияния крупнейшего банка.
24 декабря Совет Федерации одобрил законопроект, который закрепляет за ЕБС статус государственной информационной системы (ГИС). Ее функционирование и взаимодействие с другими системами будет утверждать правительство. Согласно поправкам, граждане получат возможность самостоятельно регистрировать свои биометрические данные в системе через специальное программное обеспечение без посещения уполномоченных органов и организаций. Для этого нужно будет иметь подтвержденную учетную запись в Единой системе идентификации и аутентификации (ЕСИА).
По словам Хинштейна, сейчас обсуждается возможность того, что коммерческие структуры будут иметь доступ к «легкой» биометрии, которая даст возможность подтвердить личность человека, но в то же время эти данные не позволят его идентифицировать вовне. Например, в базах данных организаций для пропуска сотрудников в здание по биометрии вместо полноценных 3D-портретов будут храниться так называемые векторы – наборы каких-то точек, взятых с лица, которые позволят идентифицировать проходящего человека. Но эти точки в портрет система собрать не сможет, пояснил Хинштейн.
Новое законодательство позволит коммерческим компаниям собирать биометрические данные граждан с соблюдением установленных требований (их отдельно определит правительство) и под контролем уполномоченных ведомств, отметил представитель «Ростелекома». Там считают, что это положительно скажется на рынке биометрической идентификации. Поэтому принятый Советом Федерации закон переносит с 1 января на 1 сентября 2022 г. вступление в силу нормы об использовании для идентификации и аутентификации граждан по биометрии вместо ЕБС другие ГИС или иные информационные системы: законодателям надо успеть разработать необходимые механизмы.
Сейчас, по словам представителя Минцифры, проводится оценка количества коммерческих информационных систем, которые планируют оказывать услуги по идентификации и аутентификации с помощью биометрии.
Владимир Путин, выступая в ноябре на конференции Сбербанка AI Journey 2021, сообщил, что биометрические данные должны храниться в единой системе биометрической идентификации, а государство должно быть ответственным за их хранение.
Осенью этого года правительство утвердило перечень случаев, в которых нефинансовым организациям разрешено собирать и обрабатывать в информационных системах персональные биометрические данные граждан. Биометрию разрешили собирать при проходе на территорию организаций и участии в собраниях гражданско-правового характера, за исключением случаев, связанных с оборонно-промышленным, топливно-энергетическим и транспортным комплексом. В этом перечне отдельно упомянуты сервисы такси и каршеринга. Постановление вступит в силу с 1 марта 2022 г. и будет действовать до 1 марта 2028 г. При этом с 1 января 2022 г. коммерческие организации должны будут проходить аккредитацию в Минцифре и получать разрешение на сбор и обработку биометрических данных граждан. Также осенью приказом Минцифры были установлены общие для всех стандарты сбора биометрических данных и требования к софту, модели и типу оборудования для сбора и хранения данных.
Банки, как правило, внедряли биометрию для удобства клиентов, поэтому запрет на хранение таких данных при наличии согласия клиента выглядит несправедливо, отметил директор департамента розничных продуктов «Абсолют банка» Виталий Костюкевич. Но никаких критических последствий для банков от передачи базы биометрических данных государству он не видит.
Представитель Райффайзенбанка отметил, что пока рост интереса к ЕБС со стороны клиентов сдержанный, но запуск новых сценариев ее применения наверняка улучшит динамику. Похожее мнение высказал и представитель Росбанка. По его словам, реализация подобной инициативы существенно обогатит текущий банк биометрических данных ЕБС. Это даст возможность менее значимым игрокам рынка побороться за клиентов в более конкурентной среде, а для конечного потребителя существенно расширит витрину предложений по банковским продуктам и услугам, которые можно будет оформить полностью дистанционно.
Единственной проблемой новой ЕБС может стать вероятность дублирования данных одного человека при слиянии баз данных, говорит Костюкевич. Например, человек сдал коммерческую биометрию в Сбербанке, а потом еще биометрию для ЕБС в ВТБ. В общей ЕБС после объединения с коммерческими базами данных эти образцы будут существовать как данные двух разных людей. Что делать в таком случае, пока непонятно, отметил банкир.
Что именно изменится в работе портала госуслуг после внедрения биометрии?
Планируется, что в результате модернизации заходить на портал госуслуг можно будет с помощью биометрических данных, а не только по паролю. Сейчас эта опция (идентификация по биометрии) используется во многих российских банках. Клиенты сдают свои биометрические данные (запись голоса, изображение лица), чтобы пользоваться финансовыми услугами дистанционно.
Также в будущем часть сервисов портала госуслуг будет доступна только тем гражданам, которые сдали биометрию. О каких конкретно услугах идет речь, не уточняется.
Кроме того, источник «Коммерсанта» в правительстве подчеркнул, что привязка биометрии к аккаунту на портале госуслуг повысит безопасность операций. «Электронную цифровую подпись можно передать или потерять, а биометрию отдать не выйдет», — отмечает издание.
Как пользователи «Госуслуг» смогут сдать свои биометрические данные?
Планируется, что сдавать свои биометрические данные пользователи «Госуслуг» смогут без посещения банков или МФЦ, а онлайн через специальное мобильное приложение.
«Через мобильное приложение планируется собирать с граждан биометрические слепки (лицо и голос) с помощью смартфонов и планшетов», — пишет «Коммерсант».
Сколько россиян уже сдали свои биометрические данные?
С 2018 года в Единой биометрической системе были собраны биометрические данные около 200 тысяч россиян. К 2024 году Минцифры собирается увеличить это число до 70 миллионов.
«В частности, в этом году министерство планирует масштабировать проекты по оплате проезда с помощью биометрии и прохождению контроля в аэропортах, говорят в его пресс-службе. Пока оплату проезда лицом запустили только в московском метро, а прохождение биометрического контроля тестируют в Шереметьево и Домодедово», — отмечает «Коммерсант».
Представитель Минцифры сказал изданию, что сдача биометрии будет добровольной и у пользователя будут альтернативные возможности получения сервисов. Что это за возможности, источник не уточнил.
Нет “пальчиков” – нет жизни. Цифровая угроза от Госуслуг
В середине января в центре внимания оказался сайт Госуслуг: внезапно выяснилось, что аккаунты в нём очень плохо защищены. Поэтому надо срочно переключиться на sms и потратить миллиард на подключение к биометрии. Вот только никаких убедительных доказательств как эпидемии взлома, так и надёжности “дополнительной защиты” нам не предъявили, но мы ведь и на слово поверим, правда?
Биометрия в шутку и всерьёз
А в то же самое время жители Китая с фамилиями Ву и Чжоу уже год как обманывали налоговую службу с полноценным использованием уязвимости биометрии – они покупали фотографии граждан в высоком качестве, “оживляли” их с помощью так называемых “дипфейк”-приложений и использовали для создания через смартфон компаний-пустышек для ухода от налогов. Взяли из только в 2021 году и тогда же приняли закон, ограничивающий сбор личной информации граждан для разных категорий служб. И это в Китае-то с его “всеобщей слежкой”! У нас такого закона нет.
При этом в биометрию русских людей загоняют ускоренными темпами.
Очень вовремя вскрывают
В последние дни по СМИ прошла волна сообщений о том, что портал государственных услуг стал ненадёжным, что ЕСИА (Единая система идентификации и аутентификации) трещит по швам, что аккаунты людей постоянно вскрывают (не избежали этой темы и мы). Как правило, конкретных примеров злонамеренного использования аккаунтов при этом не приводилось.
По удивительному совпадению произошло это сразу после вступления в силу поправок в Федеральный закон “О связи”, которые обязывают операторов связи незамедлительно высылать короткие текстовые сообщения – одноразовые коды для авторизации в ЕСИА. Создалось ощущение, что людей просто подталкивают к переходу на двухфакторную авторизацию (сейчас для пользования Госуслугами актуальный номер телефона не нужен, при двухфакторной системе он станет обязательным).
Как вы думаете, что проще – подобрать сложный пароль или изготовить дубликат сим-карты, чтобы принять sms об авторизации и смене пароля? Предприниматель Даниил Бондарь имеет вполне чёткое мнение об этом – в апреле 2018 года мошенники с помощью такого дубликата сняли со счёта его ИП 26 миллионов рублей. Найти их так и не удалось.
Право на выпуск “симок” имеют десятки тысяч сотрудников мобильных салонов, и зарплаты у этих ребят очень невысокие. Если кому-то всерьёз понадобится ваш аккаунт, он без особых проблем найдёт продажного подлеца.
Нет пальчиков – нет услуги
Но это только начало. Во многих из таких статей (но, слава Богу, не у нас) ненавязчиво намекали, что хорошо бы пользоваться не просто двухфакторной авторизацией (пароль + sms), а совершенно надёжной биометрией.
“КоммерсантЪ” – для красного ли словца или что-то зная – намекнул, что после реализации нововведения ряд услуг будут вообще недоступны для тех, кто не сдал биометрию. Учитывая, что Госуслуги уже сейчас во многих случаях являются безальтернативным способом взаимодействия с государством, такое решение будет означать введение поголовной биометрической идентификации граждан России.
Разумеется, в Минцифры уже заявили, что никакого отказа в услугах “небиометризированным” не будет. И все, разумеется, немедленно в это поверили. Хотя даже сейчас определённая дискриминация граждан на этом сайте присутствует: для тех, кто не удостоверил свою личность в МФЦ (я, например, никак не успеваю туда добраться), часть сервисов недоступна, включая такой важный, как авторизация через ЕСИА в личном кабинете налогоплательщика.
Единая. Биометрическая. Интегрированная
Нет там, правда, другого контракта, на который ссылается тот же “Ъ”, – Минцифры с “Ростелекомом”, по которому последний обязался к 5 декабря 2022 года интегрировать ЕСИА с только что созданной Единой биометрической системой до 5 декабря 2022 года. Бюджету это обойдётся в 1,2 млрд рублей. Остроумцы, кстати, уже придумали для ростелекомовского гибрида не слишком приличное название “Единая биометрическая интегрированная система”.
То есть биометрия в ЕСИА может со временем стать обязательной едва ли не для самого входа в интернет.
Что с того?
Перед нами – стремительное заталкивание людей в цифровую утопию – или антиутопию, с какой стороны посмотреть. Нам говорят, что биометрия предельно надёжна – товарищи Ву и Чжоу вскрыли её весьма простым способом, и как защититься от дипфейка, не очень понятно. Получить и воспроизвести отпечаток вашего пальца сложнее, чем фотографию, но тоже никак не бином Ньютона. А главный ужас в том, что если “невозможная” утечка данных всё же произойдёт, вы остаётесь “голым” навсегда.
В самом деле, чем мы защищены сейчас? Пароль, номер телефона, паспорт – при компрометации этих данных всё можно сменить. А вот что делать с “утекшими” пальчиками, радужной оболочкой и лицом – вопрос открытый. Не верится, что на Госуслугах откроют сервис по смене отпечатков.
Кроме того, биометрические данные позволяют идентифицировать вас всегда, а не только когда это нужно вам. Любая видеокамера приличного разрешения, подключённая к базе биометрии, мгновенно расскажет оператору, кто вы такой, каковы ваши год рождения и место проживания, а в банке – ещё и кредитную историю покажут. Понятно, что вам нечего скрывать, но каждое обнажение должно иметь свои приличия.
Особенно когда вас обнажают вежливо, но неуклонно, а главное – совершенно не интересуясь вашим мнением.
А лучшая защита аккаунта – реально сложный пароль и хороший антивирус на устройстве, с которого вы этим аккаунтом пользуетесь.