В Минфине назвали утечки биометрии «самым страшным, что может произойти»
Какая опасность может грозить банковским клиентам в случае «кражи лица»Власти должны обеспечить безопасность персональных данных при работе банковских клиентов через удаленные каналы связи. Об этом на конференции РБК и рейтингового агентства НКР заявил замминистра финансов Алексей Моисеев, комментируя внедрение онлайн-технологий на финансовом рынке.
«Компрометация биометрических данных — это самое страшное, что может произойти. Если человек доверил экосистеме — неважно, частной или государственной — свои биометрические данные, и эта система не оправдала его доверия, то у человека в цифровом будущем сломана жизнь. Можно поменять пин-код на карточке, можно поменять паспорт, все что угодно, можно поменять фамилию и так далее. Но поменять биометрические данные... наверное, можно, но большинство людей, наверное, посчитает слишком большой издержкой изменить лицо или еще что-то», — отметил Моисеев.
Он указал, что относится к «консверваторам, если не ретроградам» в этом вопросе. Желание банков сделать систему проще и дешевле понятно, но нужно думать о безопасности, подчеркнул он.
«Я скорее нахожусь на стороне тех людей, в первую очередь правоохраны, которые предупреждают о серьезных рисках, связанных с тем, что если мы немножко не доинвестируем (да, это может быть дорого и кому-то недоступно, инвестировать в защиту персональных биометрических данных), то последствия могут быть катастрофическими. Мы знаем примеры целого ряда государств — не хочется никого называть, но вы сами знаете — многонаселенных государств, которые к юго-востоку от нас расположены, где были утечки десятков миллионов данных. И все, и непонятно, что делать. Вот это допустить ни в коем случае нельзя», — добавил Моисеев. Риски компрометации данных важнее, чем внедрение более удобных сервисов, подчеркнул он.
Возможность удаленной идентификации клиентов через Единую биометрическую систему (ЕБС) была запущена «Ростелекомом» в 2018 году. Для ее использования необходимо один раз посетить банковское отделение, чтобы сдать биометрические данные (образцы голоса и изображение лица). Такая идентификация не имеет ограничений на остаток и объем операций по счетам.
В апреле Сбербанк и «Ростелеком» подписали меморандум о намерениях создать совместное предприятие в области биометрии. Они получат в нем по 49%, еще 2% будет принадлежать государству. Смысл ее создания — наполнение ЕБС: в нее внесено около 200 тыс. биометрических слепков, в то время как в собственную базу Сбербанка, по словам его главы Германа Грефа, — порядка 34 миллионов.
С началом пандемии и введением ограничений на передвижение в России участники рынка не раз обращались к ЦБ с просьбами упростить механизмы удаленной идентификации. К концу 2020 года стало известно, что крупнейшие банки планируют протестировать в регуляторной «песочнице» открытие счетов по видеосвязи.
Могут ли у клиента «украсть лицо» и что ему грозит
«Важно понимать, что биометрический образец лица — это не фотография, а цифровой набор зашифрованных символов. На сегодняшний день не существует даже теоретической возможности, чтобы из биометрических данных можно было восстановить фотографию, голос или отпечаток пальца», — объясняет зампред правления Почта Банка Святослав Емельянов. Это «делает практически бессмысленным воровство или подделку этих данных», так как мошенники не смогут ими воспользоваться, подчеркивает он.
Но ненулевая вероятность утечки существовала и будет существовать всегда, и от нее не застрахованы ни частные, ни государственные системы хранения биометрии, рассуждает ведущий эксперт направления «информационная безопасность» ИТ-компании КРОК Александр Черныхов. «Поэтому в дополнение к средствам защиты данных необходимо интегрировать механизмы защиты в сам процесс идентификации, сделав биометрию бесполезной без ее настоящего носителя», — говорит он. Для этого можно использовать технологии «отменяемой биометрии», когда на этапе обработки данных с помощью специального алгоритма вносятся преднамеренные искажения в биометрические данные, которые мошенники не смогут устранить. Еще один способ — «мультиспектральный анализ, который позволяет определить, живой ли человек использует, например, образец лица», добавляет Черныхов.
Клиенту, который столкнулся с утечкой своих биометрических данных, в первую очередь нужно убедиться, что это не единственный способ входа в тот или иной сервис, отмечает руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков: «Например, у банков обычно еще используется кодовое слово, которое знает только клиент».
Замена биометрических данных «не представляется возможной», добавляет эксперт. «Обычно для смягчения последствий возможных утечек в системах хранятся «отпечатки» биометрических данных, которые не содержат оригинальной информации, то есть из них нельзя извлечь изображение отпечатка пальца или образец голоса. Возможное использование данных мошенниками зависит от конкретной системы. Если удалось получить именно оригинальные данные, то спектр возможных последствий будет весьма велик, если человек повсеместно использовал эти данные в системах, где они являются единственным фактором аутентификации владельца», — предупреждает он.
В «проработке» сейчас находится вопрос об ужесточении ответственности за неправомерное использование биометрии, заявил депутат Александр Хинштейн на выездном заседании рабочей группы Госдумы по предложениям для борьбы с преступлениями в области технологий. «Сегодня биометрические данные — это, по сути, документ, удостоверяющий личность», — отметил он.