Что угрожает биометрическим данным граждан
Подмена и удаление, нарушение конфиденциальности и достоверности — основные угрозы при обработке биометрических персональных данных. Об этом говорится в приказе Минцифры, который опубликован 16 сентября. „Парламентская газета” узнала, как злоумышленники могут использовать биометрию и как государство её защищает.
Угрозы рядом
В России создана Единая биометрическая система (ЕБС) — банк данных о гражданах, которые предоставили государству фотоизображение своего лица и запись голоса. Эту информацию могут использовать кредитные организации для идентификации клиента при удалён-ном оказании услуг. Считается, что биометрия защищает при этом лучше, чем привычные пароль или кодовое слово.
Но при работе с такими данными существуют угрозы. Их перечень определило Минцифры. Они относятся как к работе самой ЕБС, так и взаимодействию с ней госорганов, предпринимателей, нотариусов и организаций. Основными определены угрозы нарушения целостности, то есть подмена или удаление биометрических персональных данных, нарушение их конфиденциальности и достоверности, то есть внесение фиктивных данных. В документе также сказано, на каких этапах актуальны эти угрозы: при сборе и обработке биометрии, её передаче между различными ведомствами.
Один из примеров, когда такие данные могут быть использованы против их владельца, — технология deep fake, то есть создание видео с наложением лиц и голосов других людей на видео различного содержания с применением технологий нейронных сетей. Выступая на XVIII Международном банковском форуме „Банки России — XXI век”, глава InfoWatch Наталья Касперская сказала, что найти лицо в Интернете и с помощью него удалённо заплатить теоретически не представляет никакой сложности.
„И это, конечно, будет сделано”, — привёл слова эксперта ТАСС.
В Китае подобные случаи уже известны: там в начале года накрыли двух злоумышленников, которые с помощью дипфейков обманывали налоговую службу.
Ежедневная биометрия
Сбором биометрических данных занимаются банки, подключённые к ЕБС, а также МФЦ. Процесс обработки и хранения информации контролирует Роскомнадзор. Самое главное — не допустить утечек и несанкционированного доступа к базе, сказал „Парламент–
ской газете” член Комитета Госдумы по информационной политике, информационным технологиям и связи Антон Горелкин.
„Персональных данных граждан в государственных базах становится всё больше, сбор биометрии будет только расти, как и значимость МФЦ в этих вопросах. Одна серьёзная утечка или потеря данных может подорвать доверие людей”, — отметил депутат.
Между тем многие используют биометрию ежедневно, даже не задумываясь об этом, — смотрят в телефон, который „узнаёт” хозяина по лицу, отдают ему команды голосом или прикладывают палец к специальному окошку, чтобы разблокировать гаджет или оплатить покупку. Ошибочно думать, что такое „бытовое” использование своих биометрических данных полностью конфиденциально и остаётся между вами и телефоном, предупреждают эксперты.
„Записывая своё лицо, отпечаток или голос, человек одновременно может передавать эти данные компании — производителю мобильного устройства, — объяснил „Парламентской газете” ведущий аналитик Mobile Research Group Эльдар Муртазин. Таким образом, IT-гиганты собирают огромное количество персональных данных о пользователях со всего мира. Как они их используют, неизвестно.
Скоро передача биометрии через телефон станет и вовсе легальной — россиянам дадут право не ходить в банк или МФЦ, чтобы зарегистрироваться в ЕБС, а отправить всё, что нужно, в специальном приложении. Эксперимент начался 1 октября и продлится год. За это время систему протестируют, чтобы массово её внедрить. Одновременно будет расширяться использование биометрии — с её помощью можно будет получать государ-ственные услуги, проходить в транспорт и на стадионы, удалённо сдавать экзамены и многое другое.
Кому, зачем, на сколько
Биометрические данные — одни из самых безопасных, но и при их использовании нужно соблюдать правила. Не стоит полагаться только на биометрию — лучше применять её в сочетании с паролем или подключить дополнительную идентификацию по SMS, посоветовал Эльдар Муртазин.
Другой эксперт — глава аналитического агентства Telecom Daily Денис Кусков ранее говорил „Парламентской газете”, что Face ID, сканирование отпечатков пальцев и сетчатки глаза — технологии с высоким уровнем защиты, однако уже сейчас мошенники учатся подделывать голос и микромимику лица владельца.
А председатель IT-комитета Госдумы Александр Хинштейн отмечал невысокий уровень защиты биометрических данных. „Потребуются и технологические, и законодательные решения, чтобы не допустить утечек информации”, — сказал депутат.
Ещё одна сторона вопроса — оборот таких сведений. В Китае право собственности на информацию о гражданах признаётся за государством, в англосаксонских странах оно разделено между бизнесом и гражданином. По мнению Александра Хинштейна, персональные данные не могут быть переданы третьим лицам, распоряжаться ими должен сам человек. В помощь ему — закон, по которому только он решает, кому, для чего и на какой срок может быть предоставлен доступ к личной информации. В любой момент согласие на обработку можно отозвать.