«Сегодня возможностей и мошеннических схем для использования биометрических данных напрямую нет, но это не значит, что в будущем их не появится», — отмечает эксперт «БИЗНЕС Online». До 30 сентября банки и прочие организации, собравшие биометрию россиян, должны передать ее в единую биометрическую систему. С помощью таких данных, например, можно оформлять кредиты, совершать сделки и подписывать документы в госуслугах. Подделать биометрию сложно, зато получить оригинал просто — достаточно сфотографировать человека или записать его голос. Вместе с тем изменить эти данные в отличие от пароля невозможно. О рисках и перспективах технологии — в материале «БИЗНЕС Online».
До 30 сентября банки и прочие организации, собравшие биометрию россиян, должны передать ее в единую биометрическую систему
Откуда взялась паника вокруг биометрии?
В конце лета офисы МФЦ в Татарстане захлестнули толпы желающих написать отказ от сбора своих биометрических данных. Напугали жителей фейки, распространяемые в WhatsApp*, о том, что сделать это можно только до 1 сентября. Всего заявления написали 28,1 тыс. человек. Причем 20 тыс. из них сделали это в последнюю неделю августа. В самом МФЦ, правда, выяснилось, что отказ можно написать в любое время. Вопрос — надо ли?
Что за ЕБС?
1 июня в России в силу вступил закон «Об осуществлении идентификации (или) аутентификации физических лиц с использованием биометрических персональных данных». Согласно ему, биометрические данные россиян теперь будут храниться только в государственной базе — единой биометрической системе (ЕБС).
В конце прошлого года глава минцифры РФ Максут Шадаев сообщал, что биометрию сдали 70 млн россиян, в основном банкам. При этом министр отмечал, что условия хранения биометрической информации оставляют желать лучшего и приводят к утечкам данных. «Поэтому нам кажется очень важным в ближайшее время обеспечить сохранность биометрических образцов, биометрических данных, свести все это в одну большую государственную систему, где весьма жесткие требования к безопасности», — говорил он. Спустя неделю после этих слов закон приняли.
Теперь до 30 сентября банки и прочие организации, собиравшие биометрию россиян, должны передать ее в ЕБС. В системе будет храниться два типа данных: слепки голоса и лица.
Биометрия упрощает получение услуг в дистанционном формате. Это расширяет возможности для малобильных россиян — инвалидов и пожилых людей, а также тех, кто живет в отдаленных поселках, где, например, нет офисов банков
Для чего нужна биометрия?
Биометрия упрощает получение услуг в дистанционном формате. Это расширяет возможности для малобильных россиян — инвалидов и пожилых людей, а также тех, кто живет в отдаленных поселках, где, например, нет офисов банков. С ее помощью можно открывать счета и вклады в банках, брать кредит, сдавать экзамены и зачеты из другого города, оформить карту болельщика, заключать договор об услугах связи и прочее. По биометрии можно получить сертификат электронной подписи и совершать сделки и другие юридические процедуры на «Госуслугах» и других площадках, интегрированных с приложением «Госключ». Кроме этого, биометрию можно использовать как дополнительную защиту для своего аккаунта на «Госуслугах».
Где можно ее сдать?
Сдать биометрию можно самостоятельно в приложении «Госуслуги Биометрия» или отделении банка. Партнерами ЕБС являются практически все крупные банки страны, адреса офисов можно посмотреть на сайте системы. Самостоятельно зарегистрированная биометрия дает доступ к ограниченному списку услуг, а сданная в банке — ко всем из перечня ЕБС.
Как узнать, сдавали ли вы биометрию?
Информация о сданных биометрических данных хранится в личном кабинете на портале госуслуг РФ. К тому же банки должны предупредить клиента о передаче биометрических данных ЕБС за 30 дней. Если предупреждение не пришло, значит, вашей биометрии у них нет.
Пользователь может удалить свои данные из системы и отказаться от обработки биометрии даже без похода в МФЦ, все можно сделать через портал госуслуг
Можно ли удалить данные из системы?
В любой момент пользователь может удалить свои данные из системы и отказаться от обработки биометрии. Для этого даже не нужно идти в МФЦ, все можно сделать через портал госуслуг.
Можно ли подделать биометрию?
Биометрия как фактор аутентификации надежнее, чем пароли, кодовые фразы и ПИН-коды, ее сложнее подделать и подобрать, отмечают эксперты. «Если пароль у пользователя ломается роботом — просто наудачу взяли тысячи адресов и все они сломались, то с биометрией так не будет, — отмечает директор департамента информационной безопасности Sitronics Group Александр Дворянский. — Даже с ростом технологий подделать человеческое лицо сложно — в биометрии используются достаточно сложные алгоритмы. Если брать картинку с лицом человека, то там миллион пикселей, система фиксирует порядка 100 из них, если они соответствуют, то человек проходит идентификацию. Взять и подделать эти 100 пикселей — это годы работы. Столько времени ради одного пользователя, наверное, никто тратить не будет. Плюс биометрия законом защищается гораздо сильнее и имеет более высокие требования по защите, хранению и передаче».
Бо́льшая часть утечек в интернете происходит по вине самих пользователей, не соблюдающих цифровую гигиену, отмечает Дворянский. «Биометрия как раз страхует нерадивых пользователей, которые светят свои логин и пароль в сети. Их дополнительно проверяют по лицу, что увеличивает безопасность», — говорит он.
А что, если мошенники сфотографируют лицо или запишут голос?
Собирать биометрические данные без разрешения в России запрещено, однако технически это сделать возможно, отметил в разговоре с «БИЗНЕС Online» эксперт по информационной безопасности, сооснователь компании «Третья сторона» Антон Бочкарев. «Чтобы получить слепок голоса, достаточно позвонить, отпечатки пальцев — хорошо сфотографировать прозрачный бокал, который только что держал в руке человек. Получить изображение лица еще проще — нужно снять на камеру с инфракрасным датчиком, который стоит 3 тысячи рублей», — отмечает эксперт.
Вероятность успеха таких махинаций есть, но очень мала, уверяет Дворянский. «Если целенаправленно подобным заняться, то это может иметь успех, но непонятно, кому это нужно, если там пользователь должен идентифицироваться», — отмечает он.
Если мошенники получат оригинал, то при желании могут, например, сделать специальные накладки на пальцы или даже маску на лицо. Будут ли мошенники так утруждаться в духе шпионских фильмов, непонятно, но риски все же есть
Велики ли риски?
Если мошенники получат оригинал, то при желании могут, например, сделать специальные накладки на пальцы или даже маску на лицо. Будут ли мошенники так утруждаться в духе шпионских фильмов, непонятно, но риски все же есть. «Сегодня возможностей и мошеннических схем для использования биометрических данных напрямую нет, но это не значит, что в будущем их не появится, — отмечает другой эксперт, руководитель аналитического центра Zecurion Владимир Ульянов. — Технология будет развиваться и мошеннические методы тоже. В этом случае получится, что биометрические данные уже имеются в руках злоумышленников, и тут появилась возможность их использования». Кроме того, с помощью биометрии можно будет усовершенствовать классические способы развода, например в телефонном мошенничестве. И тогда фраза: «Мама, я попал в аварию. Срочно нужны деньги» станет звучать еще убедительнее.
Что будет, если данные из ЕБС вдруг утекут?
Упорядочивание данных в единой государственной системе действительно может увеличить их защиту, считают эксперты. Опасения по поводу передачи своих данных в ЕБС беспочвенны, отмечает Бочкарев. В системе не хранятся изображения лица и запись голоса, а только слепки биометрии. «Когда мы прикладываем наш палец или показываем лицо, с него берется слепок и отправляется на далекий сервер, который сравнивает эти слепки. Если они похожи, то система впускает пользователя. Слепок — это хеш-функция (преобразование информации в уникальный набор символов — прим. ред.), она однонаправленная. Можно из любой биометрии получить слепок, но получить из слепка биометрию невозможно. Нельзя в обратном порядке получить ваше лицо, голос, отпечаток, даже если вы сломаете сервер, где хранятся слепки», — поясняет он. Так что, даже заполучив каким-то образом слепки данных, воспользоваться ими не получится, потому что система для входа попросит не слепок, а само лицо или голос.
Биометрия лишь дополнительный способ авторизации и работает в связке с логином и паролем. Т. е., для того чтобы использовать биометрию, злоумышленник должен получить доступ и к остальным видам аутентификации. «Условно говоря, тебе нужно три ключа к двери, а ты получил один», — объясняет пример Дворянский.
А из других баз данных?
Но утечки могут быть разными, предупреждает Ульянов. Где-то могут быть только слепки, а где-то — и звукозапись голоса, и изображение лица. Кроме того, мошенники могут воспользоваться старыми утечками биометрии. Сейчас пока биометрия не так широко распространена, мошенникам негде применить эти данные, но позже, если она будет использоваться повсеместно, они смогут с ними работать.
Биометрические данные, в отличие от пароля, практически невозможно поменять
Биометрия останется у мошенников навсегда?
Биометрические данные, в отличие от пароля, практически невозможно поменять — вряд ли кто-то будет делать пластическую операцию, чтобы изменить лицо после утечки. А значит, у мошенников навсегда останутся актуальные данные. «Если человек потерял банковскую карту и она попала не в те руки, ее можно заблокировать и перевыпустить, то же самое касается и других документов, а биометрические данные невозможно поменять», — отмечает Ульянов. «Пока явных преимуществ использования биометрии нет. Непонятно, зачем это нужно. А раз не нужно, то и не стоит бежать впереди паровоза», — считает эксперт.
* принадлежит Meta — запрещенной в России экстремистской организации
Внимание!
Комментирование временно доступно только для зарегистрированных пользователей.
Подробнее
Комментарии 15
Редакция оставляет за собой право отказать в публикации вашего комментария.
Правила модерирования.