Что угрожает биометрическим данным граждан

Под­мена и уда­ле­ние, нару­ше­ние конфи­денци­аль­но­сти и досто­вер­но­сти — основ­ные угрозы при обра­ботке биомет­ри­че­ских пер­со­наль­ных дан­ных. Об этом гово­рится в при­казе Минцифры, кото­рый опуб­ли­ко­ван 16 сен­тября. „Пар­ламент­ская газета” узнала, как зло­умыш­лен­ники могут исполь­зо­вать биомет­рию и как госу­дар­ство её защищает.

Угрозы рядом

В Рос­сии создана Еди­ная биомет­ри­че­ская система (ЕБС) — банк дан­ных о граж­да­нах, кото­рые предо­ста­вили госу­дар­ству фото­изоб­раже­ние сво­его лица и запись голоса. Эту информацию могут исполь­зо­вать кре­дит­ные орга­ни­за­ции для иден­тифи­кации кли­ента при удалён-​ном ока­за­нии услуг. Счи­та­ется, что биомет­рия защищает при этом лучше, чем при­выч­ные пароль или кодо­вое слово.

Но при работе с такими дан­ными суще­ствуют угрозы. Их пере­чень опре­де­лило Минцифры. Они отно­сятся как к работе самой ЕБС, так и вза­и­мо­действию с ней госорга­нов, предпри­нима­те­лей, нота­ри­усов и орга­ни­за­ций. Основ­ными опре­де­лены угрозы нару­ше­ния целост­но­сти, то есть под­мена или уда­ле­ние биомет­ри­че­ских пер­со­наль­ных дан­ных, нару­ше­ние их конфи­денци­аль­но­сти и досто­вер­но­сти, то есть вне­се­ние фик­тив­ных дан­ных. В документе также ска­зано, на каких этапах акту­альны эти угрозы: при сборе и обра­ботке биомет­рии, её пере­даче между раз­лич­ными ведомствами.

Один из при­ме­ров, когда такие дан­ные могут быть исполь­зо­ваны про­тив их вла­дельца, — тех­но­логия deep fake, то есть созда­ние видео с наложе­нием лиц и голо­сов других людей на видео раз­лич­ного содер­жа­ния с при­ме­не­нием тех­но­логий нейрон­ных сетей. Выступая на XVIII Меж­ду­на­род­ном бан­ков­ском форуме „Банки Рос­сии — XXI век”, глава InfoWatch Ната­лья Каспер­ская ска­зала, что найти лицо в Интер­нете и с помощью него уда­лённо запла­тить тео­ре­ти­че­ски не пред­став­ляет ника­кой сложности.

„И это, конечно, будет сде­лано”, — при­вёл слова экс­перта ТАСС.

В Китае подоб­ные слу­чаи уже известны: там в начале года накрыли двух зло­умыш­лен­ни­ков, кото­рые с помощью дипфей­ков обма­ны­вали налого­вую службу.

Еже­днев­ная биометрия

Сбо­ром биомет­ри­че­ских дан­ных занимаются банки, под­клю­чён­ные к ЕБС, а также МФЦ. Процесс обра­ботки и хра­не­ния информации кон­тро­ли­рует Рос­ком­над­зор. Самое глав­ное — не допу­стить уте­чек и несанкци­о­ни­ро­ван­ного доступа к базе, ска­зал „Парламент–

ской газете” член Коми­тета Гос­думы по информаци­он­ной поли­тике, информаци­он­ным тех­но­логиям и связи Антон Горелкин.

„Пер­со­наль­ных дан­ных граж­дан в госу­дар­ствен­ных базах ста­но­вится всё больше, сбор биомет­рии будет только расти, как и зна­чимость МФЦ в этих вопро­сах. Одна серьёз­ная утечка или потеря дан­ных может подо­рвать дове­рие людей”, — отме­тил депутат.

Между тем многие исполь­зуют биомет­рию еже­дневно, даже не задумы­ва­ясь об этом, — смот­рят в теле­фон, кото­рый „узнаёт” хозя­ина по лицу, отдают ему команды голо­сом или при­кла­ды­вают палец к спе­ци­аль­ному окошку, чтобы раз­бло­ки­ро­вать гаджет или опла­тить покупку. Оши­бочно думать, что такое „быто­вое” исполь­зо­ва­ние своих биомет­ри­че­ских дан­ных пол­но­стью конфи­денци­ально и оста­ётся между вами и теле­фо­ном, пре­дупре­ждают эксперты.

„Запи­сы­вая своё лицо, отпе­ча­ток или голос, чело­век одно­временно может пере­да­вать эти дан­ные компа­нии — про­из­во­ди­телю мобиль­ного устройства, — объяс­нил „Пар­ламент­ской газете” ведущий ана­ли­тик Mobile Research Group Эль­дар Мур­та­зин. Таким обра­зом, IT-​гиганты соби­рают огром­ное коли­че­ство пер­со­наль­ных дан­ных о поль­зо­ва­те­лях со всего мира. Как они их исполь­зуют, неизвестно.

Скоро пере­дача биомет­рии через теле­фон ста­нет и вовсе легаль­ной — рос­си­я­нам дадут право не ходить в банк или МФЦ, чтобы зареги­стри­ро­ваться в ЕБС, а отпра­вить всё, что нужно, в спе­ци­аль­ном при­ложе­нии. Экс­пе­римент начался 1 октября и про­длится год. За это время систему про­те­сти­руют, чтобы мас­сово её внед­рить. Одно­временно будет расши­ряться исполь­зо­ва­ние биомет­рии — с её помощью можно будет полу­чать государ-​ственные услуги, про­хо­дить в транспорт и на ста­ди­оны, уда­лённо сда­вать экза­мены и многое другое.

Кому, зачем, на сколько

Биомет­ри­че­ские дан­ные — одни из самых без­опас­ных, но и при их исполь­зо­ва­нии нужно соблю­дать пра­вила. Не стоит полагаться только на биомет­рию — лучше при­ме­нять её в соче­та­нии с паро­лем или под­клю­чить допол­ни­тель­ную иден­тифи­кацию по SMS, посо­ве­то­вал Эль­дар Муртазин.

Дру­гой экс­перт — глава ана­ли­ти­че­ского агент­ства Telecom Daily Денис Кус­ков ранее гово­рил „Пар­ламент­ской газете”, что Face ID, ска­ни­ро­ва­ние отпе­чат­ков пальцев и сет­чатки глаза — тех­но­логии с высо­ким уров­нем защиты, однако уже сей­час мошен­ники учатся под­де­лы­вать голос и мик­роми­мику лица владельца.

А пред­се­да­тель IT-​комитета Гос­думы Алек­сандр Хинштейн отме­чал невы­со­кий уро­вень защиты биомет­ри­че­ских дан­ных. „Потре­буются и тех­но­логи­че­ские, и зако­но­да­тель­ные реше­ния, чтобы не допу­стить уте­чек информации”, — ска­зал депутат.

Ещё одна сто­рона вопроса — обо­рот таких све­де­ний. В Китае право соб­ствен­но­сти на информацию о граж­да­нах при­зна­ётся за госу­дар­ством, в англо­сак­сон­ских стра­нах оно раз­де­лено между биз­не­сом и граж­да­ни­ном. По мне­нию Алек­сандра Хинштейна, пер­со­наль­ные дан­ные не могут быть пере­даны тре­тьим лицам, рас­по­ряжаться ими должен сам чело­век. В помощь ему — закон, по кото­рому только он решает, кому, для чего и на какой срок может быть предо­став­лен доступ к лич­ной информации. В любой момент согла­сие на обра­ботку можно отозвать.