© Сандурская Софья / АГН Москва
Подмена и удаление, нарушение конфиденциальности и достоверности — основные угрозы при обработке биометрических персональных данных. Об этом говорится в приказе Минцифры, который опубликован 16 сентября. «Парламентская газета» узнала, как злоумышленники могут использовать биометрию и как государство её защищает.
Угрозы рядом
В России создана Единая биометрическая система (ЕБС) — банк данных о гражданах, которые предоставили государству фотоизображение своего лица и запись голоса. Эту информацию могут использовать кредитные организации для идентификации клиента при удалённом оказании услуг. Считается, что биометрия защищает при этом лучше, чем привычные пароль или кодовое слово.
Но при работе с такими данными существуют угрозы. Их перечень определило Минцифры. Они относятся как к работе самой ЕБС, так и взаимодействию с ней госорганов, предпринимателей, нотариусов и организаций. Основными определены угрозы нарушения целостности, то есть подмена или удаление биометрических персональных данных, нарушение их конфиденциальности и достоверности, то есть внесение фиктивных данных. В документе также сказано, на каких этапах актуальны эти угрозы: при сборе и обработке биометрии, её передаче между различными ведомствами.
Один из примеров, когда такие данные могут быть использованы против их владельца, — технология deep fake, то есть создание видео с наложением лиц и голосов других людей на видео различного содержания с применением технологий нейронных сетей. Выступая на XVIII Международном банковском форуме «Банки России — XXI век», глава InfoWatch Наталья Касперская сказала, что найти лицо в Интернете и с помощью него удалённо заплатить теоретически не представляет никакой сложности.
«И это, конечно, будет сделано», — привёл слова эксперта ТАСС.
В Китае подобные случаи уже известны: там в начале года накрыли двух злоумышленников, которые с помощью дипфейков обманывали налоговую службу.
Ежедневная биометрия
Сбором биометрических данных занимаются банки, подключённые к ЕБС, а также МФЦ. Процесс обработки и хранения информации контролирует Роскомнадзор. Самое главное — не допустить утечек и несанкционированного доступа к базе, сказал «Парламентской газете» член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин.
Читайте также:
• Как не «попасть» на кредит, используя госуслуги • Сетчатку глаза нужно беречь как зеницу ока
«Персональных данных граждан в государственных базах становится всё больше, сбор биометрии будет только расти, как и значимость МФЦ в этих вопросах. Одна серьёзная утечка или потеря данных может подорвать доверие людей», — отметил депутат.
Между тем многие используют биометрию ежедневно, даже не задумываясь об этом, — смотрят в телефон, который «узнаёт» хозяина по лицу, отдают ему команды голосом или прикладывают палец к специальному окошку, чтобы разблокировать гаджет или оплатить покупку. Ошибочно думать, что такое «бытовое» использование своих биометрических данных полностью конфиденциально и остаётся между вами и телефоном, предупреждают эксперты.
«Записывая своё лицо, отпечаток или голос, человек одновременно может передавать эти данные компании — производителю мобильного устройства, — объяснил «Парламентской газете» ведущий аналитик Mobile Research Group Эльдар Муртазин. Таким образом, IT-гиганты собирают огромное количество персональных данных о пользователях со всего мира. Как они их используют, неизвестно.
Скоро передача биометрии через телефон станет и вовсе легальной — россиянам дадут право не ходить в банк или МФЦ, чтобы зарегистрироваться в ЕБС, а отправить всё, что нужно, в специальном приложении. Эксперимент начнётся 1 октября и продлится год. За это время систему протестируют, чтобы массово её внедрить. Одновременно будет расширяться использование биометрии — с её помощью можно будет получать государственные услуги, проходить в транспорт и на стадионы, удалённо сдавать экзамены и многое другое.
Кому, зачем, на сколько
Биометрические данные — одни из самых безопасных, но и при их использовании нужно соблюдать правила. Не стоит полагаться только на биометрию — лучше применять её в сочетании с паролем или подключить дополнительную идентификацию по SMS, посоветовал Эльдар Муртазин.
Другой эксперт — глава аналитического агентства Telecom Daily Денис Кусков ранее говорил «Парламентской газете», что Face ID, сканирование отпечатков пальцев и сетчатки глаза — технологии с высоким уровнем защиты, однако уже сейчас мошенники учатся подделывать голос и микромимику лица владельца.
А председатель IT-комитета Госдумы Александр Хинштейн отмечал невысокий уровень защиты биометрических данных. «Потребуются и технологические, и законодательные решения, чтобы не допустить утечек информации», — сказал депутат.
Ещё одна сторона вопроса — оборот таких сведений. В Китае право собственности на информацию о гражданах признаётся за государством, в англосаксонских странах оно разделено между бизнесом и гражданином. По мнению Александра Хинштейна, персональные данные не могут быть переданы третьим лицам, распоряжаться ими должен сам человек. В помощь ему — закон, по которому только он решает, кому, для чего и на какой срок может быть предоставлен доступ к личной информации. В любой момент согласие на обработку можно отозвать.