«Это не банковская карточка, биометрические данные нельзя перевыпустить»

Эксперты по кибербезопасности предупредили о рисках внедрения биометрических систем (КБС)

Петр Сивков/ТАСС
Российские банкиры выступили за развитие коммерческих биометрических систем наряду с государственной Единой биометрической системой. Специалисты по кибербезопасности уверены: это приведет к масштабным утечкам персональных данных россиян. «Газета.Ru» узнала позиции сторон.

Наряду с государственной Единой биометрической системой (ЕБС) должны существовать коммерческие. Такого мнения придерживается Национальный совет финансового рынка. Он подготовил заключение на проект Основных направлений цифровизации финрынка до 2024 года (есть у «Газеты.Ru»).

Коммерческие биометрические системы (КБС), по мнению НСФР, должны взаимодействовать с государственной, а не конкурировать. К таким системам не должны предъявляться повышенные требования — например, задаваться для них конкретные технические параметры.

«Это приведет к неконкурентоспособности сервисов, предлагаемых российскими участниками финансового рынка», — говорится в документе. Развивать коммерческие биометрические системы могут, как следует из постановления Минцифры, «надежные российские компании».

Биометрию сдали 0,2% граждан

Сейчас на портале Госуслуг более 85 млн учетных записей, но при этом только 300 тысяч россиян (0,2% населения) зарегистрировали свои биометрические данные в Единой биометрической системе. 21 декабря 2021 года Госдума на пленарном заседании приняла во втором чтении поправки, по которым ЕБС переводится в статус государственной информационной системы. Банкиры уверены: развитие коммерческих биометрических систем позволит ускорить сбор изображений лица и голосовых слепков, которые позволят россиянам обслуживаться в банках дистанционно по этим параметрам.

«С 1 сентября 2022 года банки смогут развивать свои собственные биометрические системы, — уточнил начальник управления пилотных проектов НСФР Борис Перов. — Для этого кредитным организациям нужна аккредитация по правилам правительства. В частности, для проведения проверки с использованием биометрии организация не должна иметь в уставном капитале долю иностранного участия выше 49%, минимальный размер собственных средств — не менее 50 млн рублей. Для проведения идентификации с использованием коммерческих систем требования еще жестче: например, минимальный размер собственного капитала должен составлять не менее 500 млн рублей».

По мнению НСФР, нельзя предъявлять такие жесткие требования к коммерческим системам.

«Компрометация биометрических данных – реалии современной среды»

Эксперты по кибербезопасности, опрошенные «Газетой.Ru», уверены: чем больше будет биометрических систем, тем больше вероятность утечки данных россиян. В результате мошенники смогут еще проще взять кредиты, используя украденные параметры. Клиент об этом вряд ли узнает до звонков коллекторов.

«Риски компрометации биометрических данных— это реальность современной цифровой среды,

— отметил тренер по компьютерной криминалистике Group-IB Сергей Золотухин. — На фоне того, что использование биометрических данных набирает обороты, защитных мер при сборе, хранении и обработке биометрических данных, совершенно недостаточно.

По словам эксперта, в организациях не обеспечен режим защиты при хранении данных — регулярно появляются все новые и новые сообщения о масштабных внутренних утечках. Не используются современные технические средства выявления атак на ранних стадиях, в результате чего внешние злоумышленники закрепляются в сетях организаций, выкачивают данные и шифруют информацию.

«Пока от масштабных инцидентов спасает лишь то, что биометрические данные используются только как дополнительный фактор безопасности», — объясняет Золотухин.

Вполне естественно, что чем больше операторов биометрических данных, а также сервисов и систем, которые их используют, тем выше риск утечек, добавляет эксперт.

Нет понимания как защищать данные, рано или поздно они «утекут» и будут продаваться, как, например, это сейчас происходит с паролями, согласен главный специалист отдела комплексных систем защиты информации компании «Газинформсервис» Дмитрий Овчинников.

«Важно понимать, что сохранить данные по биометрии каждого человека в безопасности — более важная задача, чем улучшить сервис в финансовых организациях, — подчеркнул Овчинников.

Такая утечка — это по сути потеря цифровой личности, напоминает он. «Получение доступа к банковским картам и счетам пользователей, к аккаунтам в социальных сетях и к персональным компьютерам. Паспорт можно перевыпустить, а телефонный номер сменить, и всем понятно куда обращаться с такими проблемами, а вот что делать если биометрические данные были похищены? Этот первоочередной вопрос не решен», — подчеркивает специалист.

Руководитель аналитического центра Zecurion Владимир Ульянов подчеркнул, что биометрические данные, в отличие, например, от скомпрометированной пластиковой карты проблематично «перевыпустить».

Он также обратил внимание на еще одну проблему.

«Владельцы коммерческих биометрических систем, вложившие немало средств в разработку, захотят вернуть инвестиции. И одним из способов монетизации сервиса станет предоставление доступа в том или ином виде партнерам, — считает эксперт. — Это, в свою очередь, может повысить уязвимость данных».