В связи с введением в Москве оплаты проезда в метро FacePay по биометрическим данным и установке в школах турникетов с аналогичной системой жителей столицы волнует вопрос, насколько безопасна передача данной информации.
Ранее ИА FederalCity неоднократно сообщало о различных сбоях в московских цифровых сервисах. Наиболее скандальный инцидент произошел в декабре 2020 года, когда в открытом доступе оказались полные имена заболевших COVID-19 москвичей, их адреса проживания и прописки, информация о течении болезни, паспортные данные.
Очередной сбой произошел 12 января: система оплаты проезда по биометрии FacePay в московском метро начала массово списывать у пользователей деньги.
ИА FederalCity обратилось к экспертам с просьбой дать ответы на ряд вопросов о правовых аспектах и технической безопасности введения системы использования биометрических данных в электронных сервисах.
Турникет с Face Pay. Источник: mos.ru (по лицензии Creative Commons Attribution 4.0)
Александр Ветколь, ведущий системный инженер компании Varonis:
"Так как биометрические данные сложно подделать, доверие к ним высоко со стороны различных сервисов, если человек предстаёт перед ними очно. Например, тот же FacePay или схожая идентификация в МФЦ.
Но, к сожалению, эти данные можно легко получить мошенническим способом, поэтому удалённая верификация личности посредством голоса, например, вообще не должна использоваться, а к применению различных сканеров на удалённых по отношению к сервису устройствах тоже следует относиться с изрядной долей скепсиса. И хотя бы дополнять их проверками по стандартному двухфактору, прежде чем проходить эту процедуру.
Это не убережет от злоумышленников полностью, но, как минимум, усложнит им жизнь. Что касается последствий, в текущих реалиях это могут быть финансовые потери – например, кредит на крупную сумму или под огромные проценты выдан вам, а физически получило его третье лицо; имущественные потери – переоформление недвижимости, земельных участков, транспортных средств; попросту "кража личности", с целью дискредитации или банального спама от вашего имени".
Турникет с Face Pay. Источник: The New York Times
Архитектор ИТ-компании HFLabs (создание программных продуктов для обработки данных) Денис Ишутинов:
"Биометрические данные хранятся не в исходном виде модальностей (фото, видео, запись голоса), а в виде хешей, то есть восстановление исходных данных невозможно.
Помимо этого, биометрия сохраняется отдельно от персональных данных и идентификаторов. Таким образом, в случае хищения биометрических данных, их будет невозможно применить ни для подложной аутентификации, ни для получения персональных данных гражданина. Также при совершении чувствительных операций (получение кредита, перевод денег) требуется второй фактор аутентификации, помимо биометрии, вход через ЕСИА с логином и паролем.
К информационным системам, хранящим и обрабатывающим биометрические данные, предъявляются повышенные требования по защите информации со стороны регулятора. Это, конечно, не обеспечивает абсолютной защиты, однако значительно повышает стоимость взлома таких систем".
Отпечаток пальца. Источник: https://pixabay.com
Руководитель проектов по информационной безопасности компании BPS Кристина Анохина:
"Преимущество биометрических данных перед, например, привычными бумажными документами в том, что их невозможно потерять или забыть дома. Отпечатки пальцев, сетчатка глаза, голос и другие данные позволяют получать доступ к различным информационным системам.
1. Чем грозит хищение биометрических данных злоумышленниками?
- Это зависит от навыков и знаний злоумышленника. Чаще всего кража биометрических данных бесполезна, так как биометрические системы аутентификации сравнивают не фото, а «векторы» – комплекс признаков, позволяющих однозначно определить их владельца. Чтобы получить выгоду, злоумышленник должен знать, в какой системе и как применить украденные биометрические данные.
К примеру, известны случаи мошенничества с использованием банковских телефонных роботов, которые позволяют подтвердить операцию с помощью голосовой идентификации. Злоумышленник параллельно звонит роботу и потенциальной жертве, пытаясь заставить ее сказать ключевые слова «счет», «да» или другие. Еще один пример мошенничества с «кражей» биометрии – при оплате лицом (FacePay). Злоумышленник может находиться перед вами в очереди на оплату, а в момент подтверждения покупки терминалом, может выйти из «поля зрения» камеры так, что туда попадете вы.
В московском метро. Источник: The New York Times
2. Насколько безопасны государственные архивы с такими данными, кому можно доверить, кому нет?
- Скорее стоит обсуждать не насколько безопасны архивы с биометрическими данными, а насколько безопасны системы, использующие эти архивы. К примеру, единая государственная система биометрии, закон о создании которой 30 декабря 2021 года подписал президент. В ней планируется обрабатывать (в том числе хранить) биометрические данные большинства россиян. Она будет предоставлять другим системам возможность аутентификации наподобие той, что предоставляют "ВКонтакте" и Facebook (кнопки «Войти с использованием …»).
Главный вопрос – насколько защищенными будут алгоритмы системы, а не само хранилище.
Минцифры уже выпустило приказ от 6 августа 2021 г. № 816 «Об утверждении методик проверки соответствия предоставленных биометрических персональных данных физического лица его биометрическим персональным данным …», который описывает часть алгоритмов. Они не выглядят опасными или понижающими уровень безопасности.
FacePay-турникеты в метро Москвы. Источник: mos.ru (по лицензии Creative Commons Attribution 4.0)
3. Есть ли в России правоприменительная практика об ошибках систем биометрического распознавания субъекта прав?
- Решений российских судов по ошибкам систем аутентификации, использующих биометрические данные, не найдено.
4. Готова ли Россия к цифровой экономике без бумажных денег и бумажного документооборота?
- Часть жителей России уже является частью цифровой экономики. К примеру, ИП, принимающие оплату только по картам и использующие электронную подпись для взаимодействия с государственными органами и юридическими лицами. Государство же постепенно движется в сторону облегчения перехода на цифровую экономику своих граждан.
5. Как (юридически) можно запретить сбор биометрических данных гражданина, с учетом скандалов в школах, родителю несовершеннолетнего?
- Не давать согласия на обработку или отозвать, если оно дано. Законом установлено, что для обработки биометрических данных необходимо согласие субъекта данных или того, кто ими распоряжается (в случае школьников – их родители или люди, выполняющие их функцию). Достаточно не подписывать согласие на обработку биометрических данных, чтобы у школы не было оснований для их обработки. Если же согласие подписано, то всегда можно воспользоваться своим правом и отозвать его".
Ранее ИА FederalCity сообщало, что перед новым годом, Департамент здравоохранения Москвы издал приказ, в соответствии с которым социальное обеспечение льготных категорий продуктами питания, в том числе молочной продукцией для детей, стало возможно только при условии регистрации на сайте mos.ru и подачи электронного заявления.
Приказ от 13.12.2021 № 1240 называется "О совершенствовании организации обеспечения бесплатным питанием". В движении "Родители Москвы" напомнили в связи с выходом приказа, что любое использование электронных услуг в Москве возможно только на добровольной основе. И по имеющейся у движения информации, если родители не используют портал mos.ru по каким-либо причинам, то семья не может пользоваться льготами. В движении возмутились нарушением прав горожан и фактическим принуждением их к необходимости пользоваться цифровыми сервисами.
