В последнее время от чиновников всех уровней (особенно Минцифры и Банка России) звучат анонсы о разработках все новых биометрических сервисов. Использование биометрии позиционируется как исключительное благо – это удобно, быстро, однако практически всегда о безопасности новых технологий разработчики умалчивают.
Многие эксперты по информационной безопасности не согласны с мнением чиновников о биометрии. Так, член СПЧ, признанный эксперт в области информационных технологий Игорь Ашманов выступил с критикой планов чиновников по внедрению новых биометрических сервисов. По его мнению, биометрическая система добровольна только на словах. Отказ от нее ничего не значит: камеры все равно считывают все лица и сохраняют вместе с персональными данными. Также эксперт осветил важный вопрос фактического вымогательства биометрии.
Принуждение к сдаче биометрии или ее вымогательство, как, например, это делает сервис «Авито» (о чем неоднократно писали СМИ), все чаще практикуется в нашей стране.
Вопросами безопасности при внедрении биометрических сервисов их идеологи руководствуются мало, несмотря на миллиардные убытки граждан от киберпреступности, ее небывалый и устойчивый рост в нашей стране и в мире в целом.
При всех очевидных рисках внедрения биометрии чиновники последовательно проводят политику «биометризации», превознося это как благо. При этом правовое регулирование сбора и использования биометрии имеет явные пробелы, в результате чего биометрические данные обрабатываются и хранятся как обычные сведения, без обеспечения надлежащего уровня безопасности. Этим пользуются недобросовестные компании, осуществляя сбор биометрии граждан в обход закона. С учетом количества информационных инцидентов, связанных с утечками персональных данных, очевидно, что биометрические данные в скором времени (а может быть, и уже) станут новым «товаром» на черном рынке информации, что грозит непредсказуемыми последствиями для граждан нашей страны, чьи данные утекли в сеть.
Несмотря на сложившуюся ситуацию, Минцифры вместо усиления контроля за сбором данных, наоборот, предлагает упростить подтверждение биометрии.
В ведомстве разработали проект постановления правительства, касающийся подтверждения данных граждан в Единой биометрической системе (ЕБС).
Минцифры предлагает установить правило: пользователи, которые зарегистрировали упрощенную либо стандартную биометрию в приложении «Госуслуги биометрия», смогут повысить ее уровень до подтвержденной в банке без необходимости предъявлять СНИЛС и запись голоса. То есть в банке необходимо будет сверить данные, а не сдать их повторно, чем, на мой взгляд, смогут воспользоваться злоумышленники для достижения корыстных целей.
При этом в Минцифры считают, что упрощение процедур не снизит безопасность данных, однако не подкрепляют этот тезис конкретными доводами. Эксперты обоснованно опасаются, что в погоне за популяризацией биометрии может произойти рост мошеннических действий, связанных с использованием биометрии граждан, и такие опасения, как я полагаю, являются вполне обоснованными.
Отмечу, что за «биометризацию» также выступают коммерческие банки, которые пытаются внедрить все новые «удобные» сервисы, несмотря на потенциальные и реальные риски для клиентов.
Росфинмониторинг поддержал недавнюю инициативу Ассоциации банков России об упрощенной идентификации физлиц для открытия счета в банках без личного присутствия. В качестве условия для реализации механизма указано прохождение процедуры установления личности в другой кредитной организации.
Банки считают, что их идея позволит улучшить качество предоставляемых услуг на финансовом рынке, а небольшие коммерческие банки получат возможность конкурировать с крупными кредитными организациями, что якобы сделает рынок для граждан более доступным.
По моему мнению, идея банкиров о фактическом обмене персональными данными граждан и открытии счетов дистанционно связана с целями увеличения прибыли путем открытия счетов все большему числу граждан. При этом реальные риски возникновения информационных инцидентов при открытии счета без посещения банка, возможные убытки для граждан в результате оформления незаконных кредитов остаются без должного внимания.
Инициатива банкиров обсуждается не в первый раз, и я последовательно выступаю за привлечение экспертного сообщества при решении вопросов о внедрении биометрии, получение независимого мнения экспертов, учета всех потенциальных рисков, поскольку все инициативы по открытию счетов и обмену данными о клиентах между банками так или иначе касаются персональных данных клиентов. К сожалению, при обсуждении вопросов биометрии интересы граждан вновь остаются где-то в стороне.
Принимая во внимание частые и резонансные факты утечек персональных данных граждан в кредитных учреждениях, очевидно, что при «обмене» такими данными между банками риски утечек возрастают кратно. Открыв счет в одном банке или пройдя «процедуру установления личности» (аутентификацию, которую все чаще практикуют для обхода ограничений на сбор биометрии), гражданин потенциально может стать «счастливым» обладателем других счетов в кредитных учреждениях, а также кредитов, о которых даже не будет знать.
Ежегодный рост кибер-преступлений, утечки банковской информации, многомиллиардный размер ущерба граждан от действий злоумышленников говорят о том, что информационную безопасность в банковском секторе нужно усиливать, исключать механизмы, которые способствуют получению незаконных кредитов.
Вместо этого наблюдаются абсолютно противоположные действия банкиров и контрольно-надзорных органов, чьи идеи, мягко говоря, очень далеки от реальных и необходимых мер для защиты прав и интересов клиентов банков.
Дистанционное открытие расчетных счетов, выпуск электронной подписи, совершение и подтверждение операций по биометрии – все это предмет пристального внимания кибер-преступников. Упрощение системы подтверждения биометрии, на мой взгляд, будет иметь негативные для граждан последствия, исходя из возможных неправомерных действий самих сотрудников банков.
Из-за огромного количества утечек информации, персональных данных и кражи средств с банковских карт граждане обоснованно опасаются новых сервисов, связанных с биометрией. Заверения Минцифры, Банка России и банкиров о том, что все «под контролем» и данные в безопасности, объективно не соответствуют количеству информационных инцидентов, что формирует у граждан лишь противоположное мнение.
Очевидно, что для популяризации использования биометрии и ее массового добровольного использования необходимо прежде всего обеспечить безопасность хранения персональных биометрических данных, запретить сбор биометрии в обход закона, ввести оборотные штрафы и уголовную ответственность за незаконный сбор и использование биометрии граждан, а не упрощать процедуры, которые только ослабляют безопасность данной технологии.
Поэтому в настоящее время, несмотря на неоспоримые преимущества биометрических сервисов, их внедрение связано с огромными рисками, которые практически не учитываются авторами подобных инициатив. Поэтому считаю, что для повсеместного внедрения биометрии необходимо создание устойчивой и эффективной системы обеспечения информационной безопасности персональных данных, которая в настоящее время практически отсутствует.
Надеюсь, что рассматриваемые в Государственной Думе законопроекты об оборотных штрафах и уголовной ответственности за утечки персональных данных (проекты федеральных законов № 502113-8 и № 502104-8) изменят ситуацию к лучшему, что снизит возможные неблагоприятные последствия от использования гражданами предлагаемых биометрических сервисов.
А пока биометрические сервисы являются скорее новыми рисками, нежели удобным и безопасным механизмом получения дистанционных услуг.
Биометрические сервисы: удобство или новые риски?
Проект постановления правительства о данных граждан в Единой биометрической системе
