Минцифры и ФСБ проверят сообщения об утечке биометрических данных россиян

Фото: Александр Река / ТАСС

Минцифры не подтвердило утечку данных из Федерального государственного автономного учреждения (ФГАУ) НИИ «Восход». Об этом заявил представитель министерства. Ранее об утечке сообщил телеграм-канал «Раньше всех. Ну почти».

«Минцифры проводит по этому поводу служебную проверку совместно с ФСБ. Факт утечки не подтвержден. Данные в сеть не выложены. Была зафиксирована аномальная активность, в том числе из внутренней сети предприятия. Данные хранятся в зашифрованном виде, ключ расшифровки хранится в Гознаке. Это в любом случае не позволит незаконно получить доступ к биометрическим данным», — сказал представитель Минцифры РБК.

Ранее источник РБК на ИТ-рынке сообщил, что у НИИ «Восход» могли утечь «десятки процентов базы загранпаспортов, которая велась с 2006 года». По его словам, слив организовал сотрудник компании, сейчас этот факт проверяет прокуратура.

НИИ «Восход» подведомствен Минцифры, занимается созданием ИТ-решений для органов власти, внедряет и развивает новые форматы взаимодействия между государством и гражданами. Среди прочего «Восход» обслуживает межведомственный сегмент Государственной системы паспортно-визовых документов нового поколения. Среди функций этой системы ведение и использование взаимосвязанных баз данных метрической и биометрической информации, обеспечение автоматизированного контроля паспортно-визовых документов для уполномоченных федеральных органов исполнительной власти и др.

Актуальные финансовые показатели не раскрываются. Среди последних контрактов ФГАУ — сопровождение подсистемы «Мобильный избиратель» государственной автоматизированной системы (ГАС) «Выборы» на 59,6 млн руб., а также сопровождение подсистемы автоматизации избирательных процессов и технологических программ ГАС «Выборы» на 76,8 млн руб.

РБК направил запрос в НИИ «Восход». Представитель пресс-службы Роскомнадзора заявил РБК, что ведомство не располагает информацией об утечке.

Опрошенные РБК эксперты разошлись в оценке — насколько может быть критична утечка биометрических данных. «Если допустить реальный факт утечки биометрических данных с 2006 года, то это грозит серьезными последствиями владельцам паспортов, — считает руководитель направлений в сфере информационной безопасности Softline Илья Тихонов. — Это может стать хорошим инструментом для создания дипфейков через искусственный интеллект. Например, фотография в связке с голосом используется банками для идентификации клиентов. Кроме того, многие сервисы для выдачи микрокредитов запрашивают фото человека рядом с паспортом, а искусственный интеллект легко может создать такое фейковое фото, обладая данными из базы загранпаспортов», — рассуждает собеседник РБК.

По словам гендиректора компании Smart Engines (разработчик системы распознавания паспортов) Владимира Арлазарова, если злоумышленник «пролез во внутренний контур», есть риск, что он мог преодолеть и шифры, которые защищали данные. «Если вдруг злоумышленник действительно получил доступ к персональным данным, то в этом случае рассекречивается невероятно крупная база биометрии», — указал Арлазаров. Риски этой утечки, по его мнению, заключаются в возможной компрометации биометрических данных. «Если известны ваши биометрические данные, то вашу личность можно подделать с точки зрения любой системы проверки биометрических данных», — рассуждает этот эксперт. Он советует при утечках биометрических данных «поменять паспорт, запретить сделки по цифровым каналам и быть бдительными». «Также нужны системные решения со стороны государства для защиты граждан в таких ситуациях. Например, использовать биометрию только для контроля, но не как идентификатор личности», — рассуждает Владимир Арлазаров.

Но директор по связям с общественностью NtechLab (разработчик системы распознавания лиц) Александр Томас указал, что «биометрические данные всегда хранятся только в виде набора цифр, которые злоумышленники никак использовать и расшифровать не могут». «Искусственный интеллект присваивает каждому лицу вектор признаков или биометрический шаблон — последовательность чисел. И затем сравнивает эти шаблоны друг с другом. При работе с признаками, даже если к ним получен доступ, невозможно восстановить исходное изображение лица», — настаивает он.