Минцифры расширяет возможности биометрии, но банки считают это рискованным

Время на чтение: 4 минуты Добавить в закладки

Внедрение биометрии — один из этапов внедрение цифровизации в различные сферы. Предполагается, что привязка биометрии, например, к аккаунту на Госуслугах повысит безопасность операций. Однако специалисты предупреждают о рисках, связанных с внедрением биометрии.

Так, например, известный эксперт по информационной безопасности Наталья Касперская (все помним известный антивирус Касперского) в интервью РИА Новости в конце 2021 года обратила внимание на то, что биометрия — это «сверхчувствительные» данные. То есть эти данные, в отличие от любых других, являются неотъемлемой частью самого человека. И они у него — одни на всю жизнь.

Если использующиеся сейчас пароли, телефонные номера можно изменить при утечке, то сменить лицо, отпечатки пальцев или сетчатку невозможно. Украсть эти данные один раз — значит украсть их навсегда. А поскольку эти данные хранятся в обычных базах, и работают с ними обычные люди, то не исключен риск утечки этих сверхчувствительных данных. И это беспокоит не только специалистов по кибербезопасности, но и участников финансового рынка.

Например, Национальный совет финансового рынка (НСФР) объявил о том, что банки могут ограничить обслуживание физлиц, предоставивших биометрические данные через мобильное приложение.

👤 Как Мицифры планирует расширить возможности биометрии

По сведениям издания «Коммерсантъ» 30.12.2021 г. Минцифры заключило контракт с «Ростелекомом» на интеграцию портала Госуслуг с государственной информационной системой «Единая биометрическая система» (ГИС ЕБС). Об этом говорится на портале госзакупок. Общая сумма контракта составляет 1,2 млрд рублей. А сам контракт подразумевает завершение всех работ к 5 декабря 2022 года.

В частности, предполагается, что будет реализована возможность входа на Госуслуги по биометрическим данным. Сам сбор таких данных (образец голоса и фото лица) должен быть реализован через специальное приложение для смартфонов и планшетов.

Напомним, что «Ростелеком» уже с 2018 года имеет мобильное приложение «Биометрия», с помощью которого можно дистанционно оформить eSIM (электронную сим-карту), открыть вклад или получить кредит. За период с 2018 года это приложение было скачано более полумиллиона раз. Пока ограничением этого приложения является то, что пользователю невозможно самостоятельно зарегистрироваться в ГИС ЕБС — для загрузки биометрических данных в эту систему нужно идти в банки, где такая услуга доступна.

Кстати, на официальном ресурсе «Ростелекома» ранее подчеркивалось, что это приложение изначально и предназначалось только для верификации гражданина. И в нем не было функции регистрации биометрии в государственной биометрической системе. То есть приложение только сравнивало изображение человека и его голос с информацией, уже хранящейся в ГИС ЕБС. А вот сама загрузка биометрического профиля (голоса и лица) должна была производиться по паспорту в отделении банка.

Как на пенсионерку-инвалида завели уголовное дело из-за незаконного получения социального пособия
Когда и за какие подарки придется заплатить налог государству

☝️ О каких рисках говорят банки и есть ли для этого основания

Однако Минцифры, заключив контракт с «Ростелекомом», как раз хочет исключить первичное банковское звено, которое верифицирует загружаемую информацию, подчеркнем, в государственную биометрическую систему.

Емельяненко Наталья Леонидовна
6 лет проработала помощником юриста в юридической компании
Задать вопрос
Фактически сейчас банк по паспорту подтверждает, что образец голоса и фотография лица принадлежит именно определенному конкретному человеку.

При этом банк имеет лицензию, и ограничен в своих действиях многими другими нормативными документами. То есть если у человека возникнут проблемы с биометрией, то он может обратиться в компетентные органы с претензией в адрес банка, загрузившего профиль человека в ГИС ЕБС. Кроме того, такой банк несет ответственность за сохранность этих персональных данных. А если это первичное звено будет исключено, то как проверить корректность внесения данной, сверхчувствительной для человека, информации?

Например, банки не исключают рисков недостоверности подачи таких данных в Единую биометрическую систему. И вполне правомерно хотят знать, каким образом биометрия конкретного человека была собрана — через МФЦ, банковские отделения или самостоятельно через мобильное приложение. Если данные собирались через МФЦ или банки, то вероятность достоверности повышается. А вот если данные были собраны через приложение, то гарантий достоверности нет.

Та же Наталья Касперская в уже упомянутом интервью РИА Новости подчеркивает, что устанавливаемые на смартфон приложения, контролируются производителями телефона и платформой, с которой скачаны эти приложения. Таким образом, им могут быть доступны биометрические данные человека.

Более того, в этом случае нет никаких гарантий, что биометрическая информация, переданная со смартфона через приложение «Ростелекома» в ЕБС, принадлежит именно конкретному человеку. Это, например, может быть злоумышленник, использовавший технологии Deep Fake, то есть технологии, позволяющие синтезировать человеческое изображение, практически не отличимое от настоящего. В этом случае лицо и голос будет от вообще несуществующего «цифрового синтезированного» человека, а вся остальная информация — от конкретно существующего другого.

К чему это может привести? Самый простой пример — к оформлению по фейковой биометрии кредитов и займов. После того как настоящий «не фейковый» клиент обратится в банк с вопросом, на основании чего ему был оформлен кредит, о котором он впервые слышит, банк будет вынужден проводить проверку. Окажется, что кредит был оформлен по фейковой биометрии.

Банк вынужден будет обратиться к оператору ГИС ЕБС. А поскольку эта система является государственной, то скорее всего банк столкнется с затягиванием сроков рассмотрения своих запросов. Более того, сам банк будет вынужден искать варианты, чтобы в этой ситуации снизить свои материальные и имиджевые потери. А, в конечном итоге, пострадает конкретный ни в чем не виноватый гражданин. Кстати, не факт, что его не заставят платить по такому, оформленному кем-то «за него», кредиту.

Именно поэтому, опасаясь таких ситуаций, банки могут значительно ограничить предложение своих кредитных и других банковских услуг тем, кто предоставлял свои биометрические данные через мобильное приложение.

Но для граждан есть и еще один неприятный нюанс: один из вариантов пополнения государственной биометрической системы состоит в том, чтобы подталкивать граждан к этому с помощью ограничительных мер. Если говорить простым языком, то если гражданин не сдаст свою биометрию добровольно, то он не сможет получать те или иные госуслуги. Об этом также говорит издание «Коммерсантъ». В частности, планируется к 2024 году собрать биометрические данные порядка 70 млн россиян. А пока в ГИС ЕБС — всего лишь 180 тысяч.

Таким образом, можно сделать следующий вывод: если можно обойтись без биометрии, лучше обходиться без нее, поскольку сложно сказать, насколько эффективно защищены информационные базы от утечек. Но если уж без нее нельзя будет обойтись, то внесение биометрии в ГИС ЕБС необходимо производить либо через банки, либо через МФЦ. То есть там, где имеется хоть какая-то надежда на корректное внесение этих сверхчувствительных для человека данных.

И в заключение, еще одно высказывание Натальи Касперской: по ее словам только за прошлый год в российском банковском сегменте количество утекших записей — персональных и платежных данных — составило 486 миллионов штук. И это — не технологическая проблема: большинство утечек происходит из-за человеческого фактора.

А вы как относитесь к сдаче биометрии через приложения?
Нормально, не вижу в этом ничего плохого.
0%
Скорее нет, чем да.
100%
Однозначно нет.
0%
Проголосовало: 1
Дзен
Перейти на канал
Комментарии 0
Спасибо! Ваш комментарий появится после проверки.
Добавить комментарий
Нажимая на кнопку, вы даете согласие на обработку своих персональных данных.