Не только паспорта: где еще будут применяться биометрические данные

Обзор документа

Биометрические персональные данные граждан обрабатываются с их согласия (за исключением некоторых случаев, связанных, в частности, с реадмиссией, осуществлением правосудия, госслужбой, транспортной безопасностью, ОРД).

К таким данным относятся физиологические и биологические характеристики человека, которые используются оператором, чтобы установить его личность. В частности, это могут быть отпечатки пальцев, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека (фотография и видеозапись).

Изображение гражданина может использоваться без его согласия в государственных, общественных или иных публичных интересах. Причем это не любой интерес, проявляемый аудиторией, а, например, потребность общества в обнаружении и раскрытии угрозы демократическому правовому государству и гражданскому обществу, общественной безопасности, окружающей среде. В частности, речь может идти об информации, связанной с исполнением должностными лицами и общественными деятелями своих функций.  Соответственно, сообщать подробности частной жизни лица, не занимающегося какой-либо публичной деятельностью, запрещено без его согласия.

Последнее не требуется, если изображение гражданина получено при съемке, которая проводится в местах, открытых для свободного посещения, или на публичных мероприятиях. Исключение — такое изображение является основным объектом использования. Согласия также не спросят, если лицо позировало за плату.

Таким образом, для опубликования, в т. ч. редакцией СМИ, фотографии гражданина в вышеуказанных случаях, а также если изображение получено из общедоступных источников, согласие лица не нужно.

Если опубликование фотографий (видеозаписи) реально угрожает жизни и здоровью гражданина либо наносит ему моральные страдания, то на основании его мотивированного обращения распространение (демонстрация) данной информации должно быть прекращено.

К биометрическим персональным данным относятся фотоизображение и иные сведения, используемые для обеспечения прохода на охраняемую территорию и установления личности гражданина. В то же время ими не являются фотография из личного дела работника, а также подпись лица, наличие которой в различных договорных отношениях является обязательным, и почерк, в т. ч. анализируемый в рамках почерковедческой экспертизы.

Не могут считаться обработкой биометрических персональных данных ксерокопирование и сканирование паспорта для подтверждения совершения определенных действий конкретным лицом (например, заключение договора на оказание услуг) без проведения процедур идентификации (установления личности).

О видеонаблюдении в рабочих помещениях сотрудники должны предупреждаться под роспись.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Как выглядит паспорт с микросхемой?

Внешне он очень похож на загранпаспорт старого образца – такая же книжечка темно-красного цвета, но с бОльшим количеством страниц и пометкой на обложке о том, что документ содержит чип.

При этом не все загранпаспорта имеют обложку красного цвета. Дипломатические и служебные — выдаются с зеленой и темно-синей обложкой соответственно.

Всего в биометрическом паспорте 46 страниц, то есть 23 листа, при этом:

• Первый лист – пластиковый;
• Остальные 22 – бумажные.

Страницы 1 и 2 размещены на пластиковом вкладыше, являющимся многослойной, спрессованной при высокой температуре конструкцией с размещенной внутри микросхемой с антенной.

Как отозвать согласие на обработку биометрических данных?

Чаще всего согласие на обработку биометрических данных дается в письменной форме. Однако, такое согласие может быть получено и через совершение лицом действий, направленных на фиксацию биометрических данных. Например, в банках предлагают сфотографироваться на камеру и назвать цифры для аудиозаписи голоса, после чего биометрия получена и согласие тоже.

Как же отозвать согласие на обработку биометрических данных? Отозвать согласие путем совершения каких-то действий наверное не удастся, да и доказать в случае чего такой отзыв будет затруднительно. Поэтому действуем по старинке и оформляем в письменной форме заявление на отзыв соответствующего согласия.

В заявлении на отзыв согласия следует указать адресата, от кого подается заявление и в тексте указать, что Вы отзываете свое согласие на обработку Ваших биометрических данных. Поставить дату и подпись. Затем заявление можно вручить лично под отметку на Вашем экземпляре или направить по почте заказным письмом.

ПОЛЕЗНО:

Миф 6. Биометрическую базу могут взломать хакеры и использовать данные в своих целях

Мы констатируем повышенный риск для любых информационных систем со стороны хакерских атак. Это факт сегодняшнего дня. Биометрические данные, причисленные к персональным, всегда требуют повышенного внимания со стороны информационной безопасности.

Биометрия и диджитал-копии: как защитить себя и бизнес от кибермошенников

Для защиты таких данных сейчас используется распределенное хранение. Зашифрованный биометрический шаблон хранится на защищенных серверах в обезличенной форме отдельно от персональных данных. Выглядит он как некая математическая модель биометрических данных (лицо, отпечаток пальца, голос и так далее). Для обычного человека это представляет собой условно набор цифр. Восстановить из таких шаблонов образец голоса, изображение, отпечаток пальца без системы нельзя. А обезличенные сведения, даже с точки зрения внесенных в базу фотографий, не особенно интересны хакерам, поскольку для совершения каких-то мошеннических действий одного лишь изображения будет недостаточно.

«Для противодействия атакам биометрического спруфинга сегодня в банках используются такие механизмы подтверждения личности как liveness detection (дословно «проверка живости»). Это способность системы определять, является ли отпечаток пальца, лицо или другие биометрические данные реальным или поддельным. В качестве такой активной проверки биометрических данных, в частности, видеоизображения, человека могут попросить улыбнуться или повернуть голову. Система следит за естественностью движений пользователя, их соответствием полученному заданию и непрерывностью действий. При этом алгоритмы контролируют статику и динамику, что позволяет обнаружить взлом с использованием маски».

Как показывает практика, в большинстве случаев злоумышленники выбирают другие способы. Алгоритмы аутентификации пользователя мошенники стараются обходить с помощью социальной инженерии или уязвимостей в платежных приложениях.

Как защититься от кибермошенников — шесть основных схем обмана

Но нельзя исключать интерес злоумышленников к таким базам в части вывода системы из строя, что может стать элементом шантажа или вымогательства. Для защиты систем разработчики используют трансформацию биометрических параметров и криптографию. То есть в системе хранится только часть информации — защищенный эскиз.

«К примеру, при защите Единой биометрической системы в России, используется не один, а множество алгоритмов. Взлом даже одного займет у хакера много времени, сил и средств. А таких там десятки. К тому же они постоянно совершенствуются».

Как работает биометрия?

Если вы когда-либо вставляли свой отпечаток пальца в устройство, то у вас возможно сложилось смутное представление о том, как работает биометрия. В основном, вы записываете свои биометрические данные в устройство, в данном случае отпечатки пальцев. Эта информация сохраняется, и к устройству можно будет получить доступ только после сравнения вашего отпечатка и сохраненного. Любой человек в мире может прикоснуться пальцем к сенсорному кругу вашего смартфона и вряд ли сможет разблокировать его.

Отпечатки пальцев — это всего лишь одна из форм биометрических данных. Одной из новых форм биометрической технологии является сканирование глаз. Обычно сканируют радужную оболочку. Почерк и голосовые отпечатки — это другие биометрические данные, которые являются исключительно вашими и иногда необходимы для обеспечения безопасности.

Биометрическая система состоит из трех различных компонентов:

1. Сенсор. Это то, что записывает вашу информацию, а также считывает ее, когда ваша биометрическая информация должна быть распознана.
2. Компьютер. Независимо от того, используете ли вы биометрическую информацию для доступа к компьютеру или к чему-либо еще, компьютер должен хранить эту информацию для сравнения.
3. Программное обеспечение. ПО — это то, что соединяет компьютерное оборудование с сенсором (датчиком).

Биометрические данные широко распространены на смартфонах, таких как iPhone Apple и некоторых устройств Android. Ноутбуки и другие вычислительные устройства все больше полагаются на биометрические системы, и эта тенденция только начинается. Биометрическая аутентификация и идентификация являются безопасным способом входа на устройства и в различные службы. Кроме того, это может снять трудности с запоминанием десятков паролей учетных записей.

Чем же так привлекательна биометрия?

Ответ, казалось бы, прост: она является неотъемлемой составляющей человека, не меняется со временем и однозначно его идентифицирует.

На самом деле это не совсем так. Для различных технологий биометрической аутентификации эти утверждения имеют разную степень достоверности. Для БИ по отпечатку пальца или по радужной оболочке глаза все три утверждения достаточно справедливы. Для аутентификации по голосу или лицу – это уже не так. Эти параметры существенно меняются на протяжении жизни человека ввиду физиологических изменений. Что касается аутентификации по лицу, то здесь человек сам в состоянии довольно кардинально изменить свой образ за достаточно короткое время. Когда я этим летом в отпуске сбрил усы, младшая дочка расплакалась, когда увидела меня в первый раз: папа какой-то «незнакомый». Для современных систем биометрической идентификации по лицу сбритые усы не проблема. Но если человек не носил ни усов, ни бороды, а потом отрастил себе пышные усы и бороду в стиле Льва Толстого, то система БИ по лицу вряд ли вас распознает. У человека могут заболеть зубы и на лице вырастет флюс. После серьезной драки его может родная мать не узнать, не то что система биометрической идентификации. Я думаю, вы сами сможете найти еще десяток жизненных ситуаций, которые приводят к существенному изменению лица человека.

Если же учитывать возможности современной пластической хирургии, то утверждение о неизменности идентификатора (лица) на протяжении длительного времени вообще теряет свою достоверность.

То же самое относится и к голосу. Мало того, что он меняется на протяжении жизни, так еще он подвержен серьезным изменениям при различных, прежде всего простудных, заболеваниях, не говоря уже о том, что человек может временно потерять голос, т.е. фактически утратить средство идентификации. Я думаю, такое случалось в жизни практически любого человека. А как проходить аутентификацию немым людям и людям с серьезными проблемами речи?

Степень однозначности идентификации тоже понятие относительное. Все зависит от уровня строгости идентификации/ аутентификации, настроенного в системе. Когда мы внедряли в нашей организации биометрическую аутентификацию по отпечатку пальца, то столкнулись с тем, что практически любой человек, поэксперементировав в течение 10–15 мин с прикладыванием различных пальцев в различных положениях, может аутентифицироваться под учетной записью другого пользователя. Как же так, спросите вы, ведь отпечаток пальца у человека уникален? Дело в том, что системы биометрической аутентификации не сравнивают непосредственно два отпечатка пальца. Первоначально при регистрации в системе человек прикладывает палец, проводится его сканирование и, грубо говоря, по определенным точкам папиллярного узора формируется некая математическая модель (свертка). При последующей аутентификации происходит сканирование рисунка пальца и повторное вычисление математической свертки. Именно она и сравнивается с эталонной. Очевидно, что каждый раз человек прикладывает палец немного по-другому, область сканирования разная, поэтому в системе задается строгость совпадения отпечатков.

Для чего нужна биометрия в Сбербанке?

Биометрия — это полноценная замена паспорта и даже немного больше. Зарегистрировавшись, клиент получает возможность проводить любые операции, в том числе оформлять кредит, находясь в другой стране. Также с помощью данной технологии можно без проблем использовать онлайн-сервисы Сбербанка.

Такой доступ к системе выгоден и банку, и клиенту. Финансовой организации проще хранить информацию в цифровом формате и взаимодействовать через нее с клиентами. Подтвержденным в системе гражданам открываются максимальные возможности по использованию продуктов Сбера, при этом пользование ими упрощается: в большинстве случаях не нужно тратить время на личное обращение в отделение банка, предоставляя документы для идентификации личности.

Более того, благодаря биометрическим данным деньги клиента защищены намного лучше, ведь подделать голос или отпечаток пальцев намного труднее, чем паспорт. Также бывают случаи, когда банку необходимо удостовериться, что именно клиент, а не мошенник переводит большую сумму. В качестве проверки система может запрашивать дополнительные меры безопасности, например, посмотреть в камеру, для считывания информации по лицу.

Что такое биометрические данные, история появления

Все мы учились в школе, читали научные статьи, смотрим фильмы и уже давно ни для кого не секрет, что на земле не существует двух одинаковых людей, чьи б биометрические данные были идентичными. Благодаря этому, многие исследователи и научные центры активно занимаются изучением особенностей человеческого тела, дающих возможность идентифицировать человека по отдельным параметрам: голос, ДНК, отпечатки, радужка глаза, фото и многое другое.

Биометрия — это уникальная система для распознания людей. Она использует ранее упомянутые индивидуальные особенности, которые невозможно подделать или изменить.

Биометрические данные имеют ряд свойств:

• уникальность — каждый из биометрических параметров строго индивидуален, присущий только одному человеку, что делает невозможным его подделку;
• универсальность — каждый из рассматриваемых параметров присущ абсолютно всем людям на планете (в учет не берутся единичные случаи отсутствия у человека конечностей или немота);
• неизменность — как невозможно изменить без вмешательства извне отпечатки пальцев, так и нереально изменить ДНК или даже тембр голоса. Следовательно, это постоянные характеристики, присущие человеку на протяжении всей жизни.

Зарождением биометрии можно считать 19 век, когда Уильям Гершелем выдвинул теорию о том, что папиллярный рисунок (рисунок на подушечках пальцев) уникален и индивидуален для каждого человека. Именно с тех времен к нам пришла дактилоскопическая экспертиза отпечатков пальцев. Сегодня она становится все более технологичной и отпечатки можно быстро идентифицировать по электронной базе данных.

По каким правилам собираются, обрабатываются и хранятся данные

Работа с индивидуальными сведениями граждан предполагает:

• сбор;
• хранение;
• использование;
• обновление;
• защиту информации.

Эти процедуры регулирует приказ Минкомсвязи № 321.

Работа с персональными данными, в том числе биометрическими, осуществляется в следующем порядке:

1. Уведомление оператором по сбору информации Роскомнадзора о том, что биометрические сведения будут собираться. Методические рекомендации по оповещению закреплены в приказе Роскомнадзора от 30.05.2017 № 94. Уведомление не требуется, если (п. 2 ст. 22 закона № 152-ФЗ):

• сбор проводится в рамках трудового законодательства;
• информация используется только для заключения сделки, стороной которой является субъект персональных сведений, и никуда не передается;
• сведения ограничены Ф. И. О.;
• в иных перечисленных в законе случаях.

1. Получение письменного согласия субъекта персональной информации на сбор данных о нем.

Образец согласия на обработку персональных биометрических данных привели эксперты КонсультантПлюс. Получите пробный доступ к системе бесплатно и переходите к документу.

Без согласия информация может собираться в рамках (п. 2 ст. 11 закона № 152-ФЗ):

• международных договоров о реадмиссии;
• судопроизводства;
• исполнения судебных решений;
• обязательной дактилоскопической регистрации.

1. Сбор сведений. Информацию должен получать уполномоченный сотрудник при личном присутствии человека. При этом создается биометрический шаблон, который подписывается электронной подписью и размещается в единой информационной системе.
2. Хранение персональных биометрических шаблонов осуществляется не менее чем 50 лет со дня размещения в системе.

Для чего российские банки собирают биометрию?

Сейчас в биометрическую систему можно сдать запись голоса и изображение лица. По этим данным можно идентифицировать человека как в отделении, так и удаленно — например, по телефону или через мобильное приложение. Возможно, в будущем в системе будут храниться и другие параметры — отпечатки пальцев или снимки радужки глаза.

Биометрическая система должна облегчить работу банков и процесс оформления финансовых продуктов для их клиентов. Теперь, чтобы определить личность клиента, не обязательно требовать паспорт — достаточно сопоставить голос и лицо с записями в базе. Клиент банка может оформить любой его продукт — например, вклад или кредит — в любое время и в любом месте по телефону или в интернет-банке. Банковские услуги станут доступнее людям из удаленных регионов, где выбор банков ограничен или отсутствует.

К октябрю 2018 года к ЕБС подключено более 400 крупных банков по всей стране. Немного позднее доступ к биометрическим данным получили коллекторы — с помощью них проще определить личность должника, и ситуаций, когда взыскатели начинают требовать долг от постороннего человека, должно стать меньше. Система привязана к ЕСИА – Единой системе идентификации и аутентификации для доступа к госуслугам. В дальнейшем она станет доступна и другим организациям и службам — например, полиции или учреждениям здравоохранения.

Поведенческая биометрия: российский опыт

Росбанк использует системы распознавания голоса для удаленной идентификации и анализа дополнительной информации о поведении клиентов, рассказывает Василий Воронов, исполняющий обязанности директора по инновациям Росбанка.. Если говорить именно о методах аутентификации клиентов с помощью биометрических данных, следует сказать о продолжении партнерства банка с Единой биометрической системой, разработанной Ростелекомом при поддержке Банка России и Министерства цифрового развития, связи и массовых коммуникаций, продолжает эксперт.

Единая биометрическая система («Ключ Ростелеком») представляет собой цифровую платформу, которая позволяет удаленно идентифицировать человека по биометрическим характеристикам – фотографии или записи голоса.

В июле 2018 года Росбанк запустил сервис по сбору и передаче биометрических данных клиентов банка в Единую биометрическую систему. Любой пользователь может бесплатно сдать биометрические данные в офисах банка. С января 2019 года Росбанк расширил географию офисов, и теперь клиенты могут сдавать свои биометрические данные в 107 отделениях Росбанка, расположенных в 70 субъектах РФ. При этом услуга доступна в самых отдаленных частях страны, в том числе на Дальнем Востоке.

Василий Воронов
И.о. директора по инновациям Росбанка

Возможности Единой биометрической системы используют также другие российские банки. Так, в июле 2018 года «Тинькофф Банк» провел первую регистрацию биометрических данных своих клиентов с помощью системы «Ключ Ростелеком», разработанной в рамках Единой биометрической системы. Специалисты банка начали собирать данные клиентов во всех регионах России, где работают представители компании.

В 2018 году сбор биометрических данных для регистрации в Единой биометрической системе стартовал также в «Альфа-Банке». Новый сервис сначала заработал в двух отделениях «Альфа-Банка» в Москве, а затем стал доступен в 87 отделениях, в том числе в других регионах.

Опыт внедрения поведенческой биометрии есть также у «Почта банка». В октябре 2018 года специалисты компании начали применять голосовую биометрию в контакт-центре банка для аутентификации клиентов. Запись голоса клиента осуществляется во время первого звонка в колл-центр.

В дальнейшем при обращении в контакт-центр система безошибочно идентифицирует клиента по голосу, и от него не требуется дополнительных подтверждений в виде кодовых слов или паролей. В «Почта банке» уверены, что система в будущем сможет существенно снизить риск мошеннических действий, упростит процессы аутентификации для клиентов и обеспечит более быстрое обслуживание.

Фото на обложке: Depositphotos

Материалы по теме: 

Примечания

1. Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 27.08.2021 № 896 «Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающей услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц»
2. Минцифры опубликовало требования к деловой репутации организации, владеющей информационной системой биоидентификации

2021: Утверждение требований к деловой репутации организации-владельца ИТ-системы биометрической идентификации

Министерство цифрового развития, связи и массовых коммуникаций РФ утвердило требования к деловой репутации руководителей организаций, осуществляющих идентификацию с использованием биометрических персональных данных. Соответствующий приказ ведомства опубликован на официальном интернет-портале правовой информации 17 сентября 2021 года. Документ вступит в силу 1 марта 2022-го и будет действовать шесть лет.

Минцифры опубликовало требования к деловой репутации организации-владельца ИТ-системы биометрической идентификации

Документ устанавливает следующие требования для единоличного исполнительного органа или члена коллегиального исполнительного органа организации, владеющей ИТ-системой, обеспечивающей идентификацию или аутентификацию с использованием биометрических персональных данных физических лиц, при проведении аккредитации:

• отсутствие у члена коллегиального исполнительного органа организации на день подачи документов для аккредитации организации неснятой или непогашенной судимости за совершение преступления;
• отсутствие факта расторжения трудового договора с лицом по инициативе работодателя по таким основаниям, как разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника, непринятие работником мер по предотвращению или урегулированию конфликта интересов, стороной которого он является – если на день, предшествующий дню подачи документов для аккредитации организации, не истёк трёхлетний срок со дня расторжения такого трудового договора;
• отсутствие факта совершения лицом в течение одного года, предшествующего дню подачи документов на аккредитацию организации, в качестве должностного лица таких административных правонарушений, как осуществление предпринимательской деятельности без специального разрешения (лицензии), если такое разрешение (такая лицензия) обязательно (обязательна), незаконная деятельность в области защиты информации;
• отсутствие факта неоднократного (два и более раз) совершения лицом в течение трёх лет, предшествующих дню подачи документов на аккредитацию организации, административного правонарушения в области персональных данных.

Технологии биометрической идентификации и аутентификации

Помните слова из известной песни группы «Корни»: Ты узнаешь ее из тысячи По словам, по глазам, по голосу… Песня, конечно, не про систему биометрической идентификации, но эти строчки вполне могли быть эпиграфом для данной статьи.

В настоящее время наиболее распространенными являются следующие виды биометрической идентификации/аутентификации:

• по отпечатку пальца;
• по лицу, как по двухмерному, так и по трехмерному изображению;
• по голосу;
• по радужной оболочке глаза;
• по геометрии ладони или рисунку вен на ладони.

Биометрическая идентификация (БИ) от аутентификации (БА) отличается тем, что при идентификации пользователь определяется путем сравнения его биометрических данных со всеми, имеющимися в системе, до момента нахождения совпадения. При биометрической аутентификации пользователь говорит системе, кто он такой (например, вводит уникальный логин), система по этому логину считывает его эталонные биометрические данные из базы данных и затем производит их сверку с теми, которые предоставляет пользователь.

Несмотря на то что на данный момент наиболее распространенной в мире является биометрическая аутентификация по отпечатку пальца, другие технологии активно развиваются и появляются новые. Наиболее перспективными на данный момент видятся технологии биометрической аутентификации по рисунку вен на ладони и на основе радужной оболочки глаза (реализована в флагманских смартфонах Samsung). Можно ожидать, что данная технология вскоре появится и в устройствах других производителей.

Как собираются данные

Начиная с 1 июля, был запущен глобальный процесс по сбору биометрических данных различными банками, среди которых эстафету начали ВТВ, «Восточный», «ФК Открытие», БинБанк и некоторые другие. Всего к процессу сбора данных подключилось порядка 400 финансовых организаций РФ в более чем 140 городах. По предварительным прогнозам, уже к концу года по системе ЕБС будет работать около 20% банков, это означает, что использовать услуги банка без предоставления документов, при предварительной идентификации, можно будет в 4 тысячах отделений страны. А уже к концу 2021 года, к программе присоединится более 90% банков и их отделений.

Оператором внедряемой системы назначили «Ростелеком», который должен обеспечить корректный сбор, обработку и хранение полученных биометрических данных. Он же должен осуществлять сверку ранее полученных шаблонных данных с последующей идентификацией клиента при каждом обращении в банк. Полученные им данные будут сверяться с ЕБС по системе ЕСИА.

В законе, подписанном президентом четко закреплено, что к числу собираемых биометрических данных относят голос и фото клиента, сделанные на качественном оборудовании, для более достоверной идентификации в дальнейшем. При попытке подделать голос или изменить внешность, в случае выявления малейших отклонений, система будет выдавать отказ в идентификации гражданина.

Плюсы и минусы

Давайте попробуем рассмотреть плюсы и минусы биометрической аутентификации на простом бытовом примере – аутентификации по пальцу в сотовом телефоне.

Что привлекает?

Скорость: приложил палец и готово.

С 2010 г. в России выдаются биометрические заграничные паспорта. С большой долей вероятности и обычный общегражданский паспорт или его аналог в ближайшее время тоже станет биометрическим. В крупных компаниях все чаще используется биометрическая аутентификация в корпоративной сети при организации доступа. Появились модели банкоматов, доступ к которым осуществляется после биометрической проверки.

Идентификатор (палец) всегда при тебе, его не надо запоминать и нельзя забыть, как это часто бывает с паролем, или потерять, как это случается с отчуждаемым носителем.

Если характеризовать в целом, то можно сказать, что основной плюс – это удобство.

А какие минусы?

Если пальцы грязные, если рука забинтована, идентификация невозможна.

Многие из вас, я думаю, сталкивались с ситуацией, что смартфон отказывается принимать легальный идентификатор: вы прикладываете палец, а вас не пускает. Сейчас это не проблема, лишний раз введешь ПИН-код. Но если биометрическая аутентификация будет единственным способом аутентификации, такая ситуация может доставить серьезные неприятности или, как минимум, заставит понервничать.

Реализуемую с помощью БА степень защиты трудно оценить. С учетом того, что биометрическая аутентификация выполняет на данный момент в мобильных устройствах роль упрощенного (удобного) доступа и на большинстве девайсов при перезагрузке требуется ввести ПИН-код, степень реализуемой защиты не очень высокая.

Единая биометрическая система: перезагрузка

Проект «Цифровой Профиль Гражданина» анонсировал планы правительства по перезапуску Единой биометрической системы (ЕБС) «Ростелекома». Ответственная за проект – группа «Национальная инновационная система» под руководством вице-премьера Дмитрия Чернышенко. «Ростелеком» планирует вложит 6,6 млрд рублей как концессионер до 2030 года в сбор биометрических слепков лица и голоса  50 млн людей для передачи и закрепления в ЕБС. Сдать данные можно будет бесплатно гражданам, а концессию спонсируют банки, нотариусы, органы власти.

Минцифры сообщило о прогнозах  выпустить приказ о разработке единой методики расчета этой платы до конца апреля. Однако информацию о вложении суммы в 6, 6 млн рублей не подтвердили.

Ранее ЦБ выпустил документ, согласно которому  банки с универсальной лицензией должны организовать сбор биометрии в 80% отделениях с конкретной численностью жителей. По данным февраля в ЕБС имеются сведения лишь 164 тыс. соотечественников, а сбор данных на текущий момент это осуществляют 228 кредитных организаций, по сообщениям из официальной статистике. Известно, что банки не проявляют должной инициативы, в связи с чем ЦБ планирует подключить к сбору данных госорганы: решено оснастить Центры “Мои документы” в десяти регионах до 31 декабря с целью налаживания и ускорения процесса по сбору данных. В перспективе планируется оснастить Центры “Мои документы” по всей стране с этой целью.

ЕБС будет присвоен статус государственной информационной системы, в связи с чем курировать систему будет государство, а не частная компания. Есть вариант, что техническим оператором системы станет компания ООО “Центр технологий идентификации”.

Максим Шапировский – Руководитель группы Deloitte Digital в СНГ пояснил апатию банков в сборе данных. Он считает, что такое отношение банков к развитию ЕБС вызвано недоверием их клиентов к системе  – в какой форме будут храниться данные, как использоваться и что клиенту дает их предоставление. Представители банков полагают, что требование о предоставлении данных снижает продажи и может в принципе оттолкнуть клиентов, что негативно скажется на прибыли.

Тем не менее, Сбербанк, ВТБ и Тинькофф-банк придумали альтернативные способы сбора биометрических данных, которые более щадящие для клиентов.

Защита средств идентификации

Мы все знаем, что пароль нельзя никому передавать и следует хранить в тайне, обязательным является периодическая смена паролей. Спрятать лицо или голос не получится, человека нельзя запереть в сейф, чтобы никто не мог скопировать его биометрические данные.

С учетом современного развития Интернета и социальных сетей, телефонии и мессенджеров получить фотографию человека и образец голоса не представляет никакой сложности. И регулярно менять лицо и голос не получится. Наоборот, биометрическая идентификация тем и привлекательна, что идентификатор не меняется или слабо меняется в течение жизни человека. Это одна из серьезных проблем систем биометрической идентификации. Какой бы способ биометрической идентификации ни был выбран, всегда надо исходить из того, что идентификатор может быть получен и использован злоумышленниками. Определенной защитой является проверка на «лайфность» предъявляемого идентификатора. Но более перспективным видится одновременное использование статических и динамических методов биометрической идентификации.

Статические методы идентифицируют по тому, чем человек обладает: отпечатку пальца, лицу, радужной оболочке глаза и т. д. Динамические методы идентифицируют человека по тому, как он что-то делает: по почерку, по работе на клавиатуре компьютера, по походке и т.д.

Например, если система биометрической аутентификации не просто анализирует лицо и голос, а еще и мимику лица при произнесении человеком конкретных выражений, такую систему обмануть будет значительно сложнее.

Следует отметить, что технологии динамической биометрической идентификации сложнее использовать, потому что эти биометрические параметры могут существенно меняться на протяжении жизни человека. Кроме того, при их использовании требуется больше времени для проведения идентификации, т.к. необходимо набрать достаточный объем данных для проведения идентификации.

С учетом того, что постоянно совершенствующиеся современные технологии позволяют провести атаку на любую технологию биометрической аутентификации, наиболее перспективным видится применение биометрической аутентификации одновременно по нескольким параметрам (технологиям) либо многофакторных систем аутентификации, одним из факторов в которых является биометрия.

На данный момент использование биометрии ограничивается отсутствием у пользователя устройств, позволяющих снять биометрические данные. Биометрические сканеры в виде отдельных устройств на данный момент достаточно дороги для большинства технологий биометрической идентификации.

Следует также отметить, что во многих странах биометрические данные человека относятся к особо охраняемой категории персональных данных, что требует применения серьезных средств защиты при их сборе, передаче и хранении.

Давайте подведем итоги: какие же плюсы и минусы есть у существующих систем биометрической идентификации?

Плюсы

1. Идентификатор неотделим от человека, его нельзя забыть, потерять, передать. Проверив идентификатор, можно с высокой долей уверенности говорить о том, что был идентифицирован именно этот человек.
2. Воссоздать (подделать) идентификатор достаточно сложно.
3. Биометрическая идентификация удобна в использовании.
4. Идентификация может проводиться прозрачно (незаметно) для человека.

Минусы

1. Доступность биометрических идентификаторов для копирования и проведения атаки в большинстве систем биометрической идентификации.
2. Необходимость наличия определенных окружающих условий для проведения биометрической идентификации.
3. Могут возникать ситуации, когда биометрические идентификаторы повреждены или недоступны для считывания.
4. Наличие ошибок первого и второго рода.
5. Для многих систем биометрической идентификации биометрические сканеры достаточно дорогие.
6. Необходимо обеспечивать требования регуляторов по защите биометрических персональных данных.