Чем опасна передача биометрических данных
Перейти к содержимому

Чем опасна передача биометрических данных

  • автор:

«Оставлять биометрические данные опасно». Правда ли это?

Гавриил Григоров/ ТАСС

21 декабря Госдума приняла в заключительном чтении проект федерального закона об информационной системе идентификации и аутентификации с использованием биометрических персональных данных физлиц. Этот закон определяет, какие биометрические данные можно собирать, как их необходимо хранить и передавать, как осуществляется контроль над уже собранными данными — в том числе самими гражданами.

Вокруг биометрической идентификации личности часто возникают споры. Здесь мы разберем одно из мнений, которое высказывают противники этой системы.

Утверждают, что.

1

«Биометрия — это опасно, нельзя отдавать свои персональные данные банку / финансовой организации, так как мошенники смогут легко воспользоваться этой информацией».

А на самом деле?

2

Для начала разберемся с понятиями.

Под биометрическими сведениями понимают физиологические и биологические особенности человека, на основании которых можно установить его личность. Это понятие закреплено в ст. 11 федерального закона от 27.07.2006 №152-ФЗ (ред. от 14.07.2022) «О персональных данных».

В соответствии с разъяснением Роскомнадзора, к биометрическим данным могут относиться:

  • дактилоскопические данные (отпечатки пальцев и ладоней);
  • радужная оболочка глаз;
  • анализы ДНК;
  • другие физиологические или биологические характеристики человека, в том числе его изображение (фотография и видеозапись).

С помощью специальных устройств — сканеров, сенсоров и других считывателей — биометрические данные записываются в базу (единую биометрическую систему, работу которой обеспечивают Банк России и «Ростелеком»). Система запоминает информацию (например, отпечаток пальца) и преобразует в цифровой код, который получают запрашивающие компании. В случае взлома системы злоумышленники смогут найти только этот код, который нельзя будет применить при мошеннических действиях.

Сбор данных осуществляется исключительно добровольно, кроме нескольких случаев: реадмиссии (то есть приема депортированных граждан назад), осуществления правосудия или предусмотренной законом обязательной дактилоскопии (например, для трудовых мигрантов и военнослужащих).

В основном биометрические данные используют в финансовой сфере — банках, платежных системах, торговых сетях — для защиты потребителя от мошенников. Они значительно надежнее ПИН-кодов и других систем безопасности, так как их сложнее подделать: злоумышленники не смогут точно воспроизвести ваш голос, лицо или отпечатки пальцев. Если они и получат код, то все равно не смогут по нему пройти идентификацию.

В декабре 2022 года Государственная дума приняла новый закон о единой биометрической системе. Цель этого закона — создать единый механизм по сбору и хранению биометрических данных, а также обеспечению их сохранности. Закон призван устранить пробелы в требованиях к хранению и обработке таких данных, а в конечном итоге — сделать этот способ идентификации еще более безопасным и надежным.

Что в сухом остатке?

3

  • Биометрические данные позволяют гражданам получать более безопасные услуги в банковской и финансовой сфере. Такой способ идентификации личности значительно надежнее, чем привычные ПИН-коды и push-сообщения, так как эту информацию тяжелее подделать и получить.
  • В Госдуме прорабатывается вопрос о введении уголовного наказания за утечку биометрических данных (как и за незаконное принуждение к их сдаче). Это может стимулировать компании лучше заботиться о сохранности данных. В случае утечки гражданин может претендовать на компенсацию вреда.
  • Сдача биометрии была и остается добровольной. Гражданину не могут отказать в коммерческих и государственных услугах, если он не захотел предоставлять биометрию. Если кому-то удобнее использовать старые способы идентификации, никаких препятствий к этому нет. Гражданин может в любой момент отозвать ранее выданное согласие.

Стоит помнить, что сам по себе скепсис в отношении новых технологий не всегда обусловлен конкретными недостатками этих технологий. Он распространялся и по поводу 5G-интернета, и QR-кодов. Но, как показало время, эти новшества только упростили жизнь и получение услуг. То же может произойти и с биометрией.

Редакция проекта «Проверка информации»

© Информационное агентство ТАСС

Свидетельство о регистрации СМИ №03247 выдано 02 апреля 1999 г. Государственным комитетом Российской Федерации по печати.

В Минфине назвали утечки биометрии «самым страшным, что может произойти»

Безопасность биометрических данных россиян значительно важнее улучшения сервиса в банках, считает замминистра финансов Алексей Моисеев. Поменять пин-код или паспорт можно, но лицо — вряд ли, подчеркнул он

Фото: Владимир Гердо / ТАСС

Фото: Владимир Гердо / ТАСС

Власти должны обеспечить безопасность персональных данных при работе банковских клиентов через удаленные каналы связи. Об этом на конференции РБК и рейтингового агентства НКР заявил замминистра финансов Алексей Моисеев, комментируя внедрение онлайн-технологий на финансовом рынке.

Бизнес кампус РБК и SAP

«Компрометация биометрических данных — это самое страшное, что может произойти. Если человек доверил экосистеме — неважно, частной или государственной — свои биометрические данные, и эта система не оправдала его доверия, то у человека в цифровом будущем сломана жизнь. Можно поменять пин-код на карточке, можно поменять паспорт, все что угодно, можно поменять фамилию и так далее. Но поменять биометрические данные. наверное, можно, но большинство людей, наверное, посчитает слишком большой издержкой изменить лицо или еще что-то», — отметил Моисеев.

Фото:Владимир Гердо / ТАСС

Он указал, что относится к «консверваторам, если не ретроградам» в этом вопросе. Желание банков сделать систему проще и дешевле понятно, но нужно думать о безопасности, подчеркнул он.

«Я скорее нахожусь на стороне тех людей, в первую очередь правоохраны, которые предупреждают о серьезных рисках, связанных с тем, что если мы немножко не доинвестируем (да, это может быть дорого и кому-то недоступно, инвестировать в защиту персональных биометрических данных), то последствия могут быть катастрофическими. Мы знаем примеры целого ряда государств — не хочется никого называть, но вы сами знаете — многонаселенных государств, которые к юго-востоку от нас расположены, где были утечки десятков миллионов данных. И все, и непонятно, что делать. Вот это допустить ни в коем случае нельзя», — добавил Моисеев. Риски компрометации данных важнее, чем внедрение более удобных сервисов, подчеркнул он.

Фото:Алексей Даничев / РИА Новости

Программа развития — удобный инструмент непрерывного обучения новым навыкам для успешной карьеры

Возможность удаленной идентификации клиентов через Единую биометрическую систему (ЕБС) была запущена «Ростелекомом» в 2018 году. Для ее использования необходимо один раз посетить банковское отделение, чтобы сдать биометрические данные (образцы голоса и изображение лица). Такая идентификация не имеет ограничений на остаток и объем операций по счетам. В апреле Сбербанк и «Ростелеком» подписали меморандум о намерениях создать совместное предприятие в области биометрии. Они получат в нем по 49%, еще 2% будет принадлежать государству. Смысл ее создания — наполнение ЕБС: в нее внесено около 200 тыс. биометрических слепков, в то время как в собственную базу Сбербанка, по словам его главы Германа Грефа, — порядка 34 миллионов.

С началом пандемии и введением ограничений на передвижение в России участники рынка не раз обращались к ЦБ с просьбами упростить механизмы удаленной идентификации. К концу 2020 года стало известно, что крупнейшие банки планируют протестировать в регуляторной «песочнице» открытие счетов по видеосвязи.

Могут ли у клиента «украсть лицо» и что ему грозит

«Важно понимать, что биометрический образец лица — это не фотография, а цифровой набор зашифрованных символов. На сегодняшний день не существует даже теоретической возможности, чтобы из биометрических данных можно было восстановить фотографию, голос или отпечаток пальца», — объясняет зампред правления Почта Банка Святослав Емельянов. Это «делает практически бессмысленным воровство или подделку этих данных», так как мошенники не смогут ими воспользоваться, подчеркивает он. Но ненулевая вероятность утечки существовала и будет существовать всегда, и от нее не застрахованы ни частные, ни государственные системы хранения биометрии, рассуждает ведущий эксперт направления «информационная безопасность» ИТ-компании КРОК Александр Черныхов. «Поэтому в дополнение к средствам защиты данных необходимо интегрировать механизмы защиты в сам процесс идентификации, сделав биометрию бесполезной без ее настоящего носителя», — говорит он. Для этого можно использовать технологии «отменяемой биометрии», когда на этапе обработки данных с помощью специального алгоритма вносятся преднамеренные искажения в биометрические данные, которые мошенники не смогут устранить. Еще один способ — «мультиспектральный анализ, который позволяет определить, живой ли человек использует, например, образец лица», добавляет Черныхов. Клиенту, который столкнулся с утечкой своих биометрических данных, в первую очередь нужно убедиться, что это не единственный способ входа в тот или иной сервис, отмечает руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков: «Например, у банков обычно еще используется кодовое слово, которое знает только клиент». Замена биометрических данных «не представляется возможной», добавляет эксперт. «Обычно для смягчения последствий возможных утечек в системах хранятся «отпечатки» биометрических данных, которые не содержат оригинальной информации, то есть из них нельзя извлечь изображение отпечатка пальца или образец голоса. Возможное использование данных мошенниками зависит от конкретной системы. Если удалось получить именно оригинальные данные, то спектр возможных последствий будет весьма велик, если человек повсеместно использовал эти данные в системах, где они являются единственным фактором аутентификации владельца», — предупреждает он. В «проработке» сейчас находится вопрос об ужесточении ответственности за неправомерное использование биометрии, заявил депутат Александр Хинштейн на выездном заседании рабочей группы Госдумы по предложениям для борьбы с преступлениями в области технологий. «Сегодня биометрические данные — это, по сути, документ, удостоверяющий личность», — отметил он.

Биометрические данные 2023: для чего это нужно, как отказаться

В сети распространяется сообщение, что написать заявление на отказ о предоставлении биометрических данных нужно до 31 августа, иначе сделать это будет уже нельзя никогда. В МФЦ уже заявляли, что сообщения не соответствуют действительности. 78.ru вместе с экспертом в сфере IT-безопасности разобрался, что такое биометрические данные, зачем они нужны, чем они опасны и как от них отказаться.

фото: storyblock

Что такое биометрические данные

Согласно тексту закона о биометрических данных, это сведения, которые характеризуют физиологические и биологические особенности человека. Зная их, можно установиться личность человека.

Существует две группы биометрических данных — статистические и динамические.

К статистическим биометрическим данным относят рост и вес человека, данные ДНК, отпечатки пальцев, рисунок век и радужки. Иными словами, всё, что относится к уникальным физиологическим характеристикам.

Динамические биометрические данные — поведенческие характеристики человека. Например голос, походка, жестикуляция, почерк — все действия, которые человек делает непроизвольно. Их существенно сложнее идентифицировать, потому что эти параметры меняются на протяжении жизни человека, в отличие, например, от отпечатков пальцев. Эти данные специалисты IT-сферы считают более надёжными, так как можно будет сразу идентифицировать поведение, которое не свойственно человеку.

Биометрические данные, вопреки распространённому заблуждению, уже используются. Например благодаря отпечатку пальца или изображению лица можно разблокировать телефон. Система относительно надёжна, поскольку злоумышленникам сложнее получить данные, ведь они имеют другое лицо и другой отпечаток. Кроме этого, система используется или авторизации в приложениях — вспомните тот же «Сбербанк Онлайн».

— Биометрические данные уже являются частью системы аутентификации пользователей, дополнительной ступенькой. Ими предлагается оплачивать покупки, проезд на транспорте, при помощи биометрии входить в какие-либо учетные записи. Активно в этой сфере развивается «Сбербанк» с биометрическими платежами. Безусловно, за этим будущее, это дополнительная аутентификация, следовательно, повышение надежности тех же платежных систем, — прокомментировал ситуацию руководитель Агентства кибербезопасности Евгений Лифшиц.

Финансовые технологии — сфера, где чаще всего используются биометрические данные. Сегодня мошенники придумывают новые способы кражи денег, а подтверждение личности по физиологическим особенностям надёжнее некоторых данных — например паспорта, мобильного телефона или кодового слова. Так, в 2018 году Банк России и компания «Ростелеком» начали сбор биометрических данных клиентов. Или в упомянутом «Сбербанке» также можно сдать динамические биометрические данные — нужно всего лишь произнести несколько фраз. Некоторые банкоматы позволяют также позволяют снять денежные средства бесконтактно — исключительно с помощью распознавания по лицу.

Бесконтактная оплата постепенно внедряется в сферы бизнеса, услуг и ретейла. Больше не нужно иметь при себе банковскую карту, помнить пин-код для оплаты покупок или получать СМС-подтверждение: достаточно поднести лицо к считывающему устройству. Например в Москве работает кафе Prime, где нужно посмотреть в камеру специального сканирующего устройства. Система находит лицо в базе и списывает деньги с привязанной банковской карты.

Зачем нужны биометрические данные на госуслугах

Единая биометрическая система (ЕБС) — государственный цифровой проект, который осуществляет сбор, хранение, обработку и проверку биометрических данные с учётом требований законодательства на портале госуслуг. Для этого биометрический шаблон хранится в обезличенной форме относительно персональных данных (ФИО, паспортные данные, СНИЛС).

фото: РБК

С помощью ЕБС можно получить государственные или коммерческие услуги дистанционно или очно. Как заверяют разработчики, это удобно и безопасно. Система была создана по инициативе Центробанка и Минцифры и заработала с 30 декабря 2021 года.

«Сейчас понятно, что фейков вокруг сдачи биометрических данных очень много. В то же время готовятся большие пакеты законодательных инициатив, которые будут достаточно чётко регулировать хранение, обработку, передачу этих данных», — отметил эксперт.

Почему кредитные организации передают биометрические данные в ЕБС

Так установлено федеральным законом (ФЗ №572), принятым в декабре 2022 года. Передача этих данных означает, что организации, ранее владеющие этой информацией, больше не смогут хранить её и самостоятельно обрабатывать. Это сделано для повышения безопасности: организации получат ограниченный доступ, а не полностью к биометрии.

Сбор данных осуществляется исключительно добровольно, кроме некоторых случаев:

  • для исполнения судебных мероприятий;
  • осуществление оперативно-розыскной деятельности.

Стоит отметить, что и в этом случае обработка такой информации допускается только с письменного согласия гражданина.

29 декабря 2022 года президент России Владимир Путин подписал закон, согласно которому запрещён принудительный сбор биометрических данных, а также дискриминация к тем, кто отказался предоставлять эту информацию.

Чем опасны биометрические данные

Некоторые эксперты из сферы IT-безопасности считают, что система сбора биометрических данных может обернуться против человека. Хакеры и мошенники также развиваются и ищут способы, чтобы завладеть заветными данными. Например небезызвестна технология deep fake — создание видео с наложением лиц и голосов других людей.

«Думаю, все мы прекрасно помним, что происходило с простыми персональными данными пользователей различных крупных сервисов: они просто «сливались» в сеть и попадали в руки мошенников. Это — результат халатности к своим персональным данным, в первую очередь. Вспомните, сколько раз вы подписывали бумагу или ставили галочку напротив «согласия на обработку персональных данных». И вы не можете проверить, насколько надежно они будут храниться, неважно, на сервере доставки или в базе данных медицинского учреждения», — добавил Евгений Лифшиц.

Если биометрические данные получают учреждения или частные компании, они могут использовать информацию для наблюдения, отслеживания и контроля, тем самым нарушая личную конфиденциальность пользователя.

фото: pixabay

Нельзя исключать вероятность массовой утечки данных. От этого, увы, не застрахованы ни частные, ни государственные системы хранения биометрии.

Отказ от биометрических данных

На днях популярные мессенджеры обрывались от сообщений о том, что нужно до 31 августа прийти в любое отделение МФЦ и отказаться от предоставления биометрии, иначе эти данные останутся в системе навсегда.

«Если до 31 августа не написать отказ от предоставления биометрических данных, то с 1 сентября Вы автоматически в базе, так как Ваши данные уже без Вашего согласия снимут в любом банкомате, где установлена камера, а так же при звонке из Ростелеком запишут голос. Официальные сборщики данных согласно Федеральному закону от 29.12.2022 № 572-ФЗ “О единой биометрической системе» – «Ростелеком» и «Российский Банк»», — гласил текст сообщения.

Эксперты поспешили успокоить напуганных россиян и заявили, что это информация, распространяемая в социальных сетях, недостоверная.

Никаких заявлений на отказ от хранения биометрии до 1 сентября 2023 года не нужно предоставлять. Если вы не хотите хранить биометрические данные, вы можете отказаться от их сбора, хранения и обработки в любой момент. Также, если вы ранее не предоставляли банкам и другим частным организациям данные биометрии, то никуда обращаться не нужно.

До 30 сентября 2023 года, действительно, формируется Единая биометрическая система хранения данных: различные организации передадут данные только тех пользователей, которые уже есть в системе.

Как отозвать биометрические данные

Сначала расскажем, как можно проверить, есть ли ваши биометрические данные в Единой биометрической системе. Для этого нужно зайти на портал госуслуг, найти раздел «Биометрия». Если биометрические данные не зарегистрированы, будет отображаться информация «Биометрия не зарегистрирована». Если биометрия была сдана, то она отразится в личном кабинете в соответствующем разделе вместе со сроком её действия и местом регистрации. Кроме портала госуслуг, можно обратиться за помощью к ближайшее отделение МФЦ в сектор пользовательского сопровождения.

Отказаться от биометрических данных можно в два клика на сайте госуслуг. Для этого нужно перейти в раздел «Биометрия», выбрать биометрию, которому планируете удалить — и нажать кнопку «Удалить». После удаления получить услуги через ЕБС будет не получится: придётся заново сдавать биометрические данные. Также, как и в предыдущем случае, за помощью можно обратиться к сотрудникам ближайшего отделения МФЦ.

Когда можно отозвать биометрические данные

Если вы хотите отозвать биометрические данные на сайте госуслуг, то сделать это можно в любой удобный момент. Если вы хотите отозвать биометрические данные, обратившись в отделение МФЦ, то ориентируйтесь на время работы ведомства.

фото: pixabay

Что ещё нужно знать о биометрических данных

Резюмируем основное содержание статьи в соответствии с положениями, принятыми Минцифры.

1. Сбор биометрии без согласия граждан недопустим.

2. Загрузка биометрических данных из коммерческих систем в ЕБС обязательна.

3. Информация из коммерческих систем не смешивается.

4. ЕБС надёжно хранит данные.

5. Сдача биометрических данных — это не обязанность, а право.

Если после прочтения статьи вы решили сдать биометрические данные, то для этого вам понадобятся несколько документов.

Документы для сдачи биометрических данных

  • паспорт, удостоверяющий личность, — гражданина РФ, иностранного гражданина / лица без гражданства;
  • документ, подтверждающий полномочия законного представителя (если представитель не может сдать биометрию по каким-либо причинам) + документ, удостоверяющий личность законного представителя;
  • СНИЛС.

Россияне массово отказываются от сбора и хранения биометрии. Почему и нужно ли это делать?

С августа россияне массово отказываются от сбора и хранения своих биометрических данных — отпечатков пальцев, фотографий лица, снимков сетчатки глаза. «Афиша Daily» выяснила, почему это происходит, нужно ли это делать и что по поводу биометрии говорит закон.

Что произошло?

В последний месяц лета россияне начали массово приходить в МФЦ с требованием удалить их биометрические данные. «Коммерсант» пишет, что с 21 по 30 августа в Дагестане было зарегистрировано 11 тыс. таких заявлений, при этом за весь предшествующий 2023 год их было всего 4000. В других регионах ситуация похожая: в Башкортостане — 13,3 тыс. заявлений c 21 по 29 августа против 5000 за период с 1 июня по 21 августа, а в Удмуртии только за последнюю неделю лета приняли около 4700 отказов.

Ажиотаж спровоцировала рассылка в мессенджерах: в распространившихся сообщениях говорилось, что заявление об отказе можно подать только до 31 августа, а сбор биометрии приведет к массовому чипированию. РБК отмечает, что чаще всего заявления с отказом пишут те, чьей биометрии даже нет в базе.

Если поискать информацию по слову «биометрия» во «ВКонтакте», то можно обнаружить, что многие пользователи ссылаются на выпуск программы «Святая правда» на телеканале «Царьград», который вышел в марте 2021 года. В нем протоиерей Андрей Ткачев рассказал, что сбор биометрических данных приведет к тотальному контролю над человечеством и воцарению Антихриста.

На деле же никакого запрета на отказ от биометрии нет. Сделать это можно в любой момент . Единственное нововведение затрагивает тех, кто собирает биометрию, — в основном это банки. Они должны загрузить все данные в Единую биометрическую систему до 31 сентября. Если человек против передачи этой информации, то он также может отказаться — нужно уведомить, например, свой банк или место, в котором он сдавал биометрию, до этой даты.

Что такое биометрия и где ее собирают?

Под биометрией понимают уникальные характеристики человека, которые фиксируют на электронных носителях: например, фотографии лица, аудиозаписи голоса, изображение сетчатки глаза или рисунка вен на ладони. Собирать такие данные сейчас могут только банки и портал «Госуслуги», закон запрещает это делать через банкоматы и кол-центры. Сдается она исключительно добровольно — организации не могут требовать биометрию для оплаты услуг .

Если вас когда‑то фотографировали в банке, то, вероятнее всего, ваша биометрия есть в распоряжении организации. Проверить, так ли это, можно непосредственно в банке, например, обратившись в службу поддержки. Также, если вы отправляли свое фото на портал «Госуслуги», стоит проверить статус своей биометрии там.

Где может использоваться биометрия?

Сейчас биометрические данные могут пригодиться при оформлении финансовых услуг — например, для открытия вклада или кредита, создания электронной подписи или покупки eSIM. Также ими можно воспользоваться при оплате проезда в московском метро.

Что говорят чиновники?

Сенатор Андрей Клишас в своем телеграм-канале написал, что принудительного сбора таких данных не планируется. Он отметил, что по закону организациям, которые собирали биометрию, больше нельзя хранить ее у себя — только в Единой биометрической системе. «Закон установил право граждан на предоставление биометрических персональных данных, но никак не обязанность. При этом право граждан отказаться от сбора и хранения таких данных не ограничивается каким‑либо сроком», — заявил чиновник.

Минцифры тем временем пытается успокоить тех, кто боится слежки и записи телефонных разговоров: «Единая биометрическая система не подключена к камерам видеонаблюдения и не используется для слежки, так как ее функционирование строго ограничено предоставлением услуг в гражданской сфере».

Можно ли собирать и использовать биометрию человека без его согласия?

Минцифры уточняет, что для сдачи биометрии необходимо письменное согласие. Но в банках этот пункт нередко есть в договорах, которые люди могут подписать, не вчитываясь.

Как отказаться от хранения биометрических данных?

Для этого нужно обратиться в МФЦ с паспортом и написать соответствующее заявление. На «Госуслугах» свои данные можно удалить в разделе «Биометрия». В Сбербанк придется прийти лично с документом, удостоверяющим личность.

Опасно ли сдавать и хранить биометрию?

Представители сервиса «Единая биометрическая система» уверяют, что использование биометрии безопасно. Такие данные хранятся отдельно от персональных — сведений о паспорте, ИНН и СНИЛС. В биометрическом банке содержатся не сами фотографии человека или аудиозаписи его голоса, а обезличенные математические коды — векторы. Дешифровать их невозможно, то есть даже если информация попадет в руки мошенников, то они не смогут перевести код в изображение или воспроизвести из него голос. При этом подделать биометрию вряд ли получится: системы считывают только живое присутствие человека.

Елена Авакян

Вице-президент Федеральной палаты адвокатов РФ в разговоре с Российским агентством правовой и судебной информации (РАПСИ)

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *