Чем опасна передача биометрических данных

"Оставлять биометрические данные опасно". Правда ли это?

21 декабря Госдума приняла в заключительном чтении проект федерального закона об информационной системе идентификации и аутентификации с использованием биометрических персональных данных физлиц. Этот закон определяет, какие биометрические данные можно собирать, как их необходимо хранить и передавать, как осуществляется контроль над уже собранными данными — в том числе самими гражданами.

Вокруг биометрической идентификации личности часто возникают споры. Здесь мы разберем одно из мнений, которое высказывают противники этой системы.

Утверждают, что.

"Биометрия — это опасно, нельзя отдавать свои персональные данные банку / финансовой организации, так как мошенники смогут легко воспользоваться этой информацией".

А на самом деле?

Для начала разберемся с понятиями.

Под биометрическими сведениями понимают физиологические и биологические особенности человека, на основании которых можно установить его личность. Это понятие закреплено в ст. 11 федерального закона от 27.07.2006 №152-ФЗ (ред. от 14.07.2022) "О персональных данных".

В соответствии с разъяснением Роскомнадзора, к биометрическим данным могут относиться:

• дактилоскопические данные (отпечатки пальцев и ладоней);
• радужная оболочка глаз;
• анализы ДНК;
• другие физиологические или биологические характеристики человека, в том числе его изображение (фотография и видеозапись).

С помощью специальных устройств — сканеров, сенсоров и других считывателей — биометрические данные записываются в базу (единую биометрическую систему, работу которой обеспечивают Банк России и "Ростелеком"). Система запоминает информацию (например, отпечаток пальца) и преобразует в цифровой код, который получают запрашивающие компании. В случае взлома системы злоумышленники смогут найти только этот код, который нельзя будет применить при мошеннических действиях.

Сбор данных осуществляется исключительно добровольно, кроме нескольких случаев: реадмиссии (то есть приема депортированных граждан назад), осуществления правосудия или предусмотренной законом обязательной дактилоскопии (например, для трудовых мигрантов и военнослужащих).

В основном биометрические данные используют в финансовой сфере — банках, платежных системах, торговых сетях — для защиты потребителя от мошенников. Они значительно надежнее ПИН-кодов и других систем безопасности, так как их сложнее подделать: злоумышленники не смогут точно воспроизвести ваш голос, лицо или отпечатки пальцев. Если они и получат код, то все равно не смогут по нему пройти идентификацию.

В декабре 2022 года Государственная дума приняла новый закон о единой биометрической системе. Цель этого закона — создать единый механизм по сбору и хранению биометрических данных, а также обеспечению их сохранности. Закон призван устранить пробелы в требованиях к хранению и обработке таких данных, а в конечном итоге — сделать этот способ идентификации еще более безопасным и надежным.

Что в сухом остатке?

• Биометрические данные позволяют гражданам получать более безопасные услуги в банковской и финансовой сфере. Такой способ идентификации личности значительно надежнее, чем привычные ПИН-коды и push-сообщения, так как эту информацию тяжелее подделать и получить.
• В Госдуме прорабатывается вопрос о введении уголовного наказания за утечку биометрических данных (как и за незаконное принуждение к их сдаче). Это может стимулировать компании лучше заботиться о сохранности данных. В случае утечки гражданин может претендовать на компенсацию вреда.
• Сдача биометрии была и остается добровольной. Гражданину не могут отказать в коммерческих и государственных услугах, если он не захотел предоставлять биометрию. Если кому-то удобнее использовать старые способы идентификации, никаких препятствий к этому нет. Гражданин может в любой момент отозвать ранее выданное согласие.

Стоит помнить, что сам по себе скепсис в отношении новых технологий не всегда обусловлен конкретными недостатками этих технологий. Он распространялся и по поводу 5G-интернета, и QR-кодов. Но, как показало время, эти новшества только упростили жизнь и получение услуг. То же может произойти и с биометрией.

Редакция проекта "Проверка информации"

Почему вам опасно связываться с биометрической системой удаленной идентификации в банках

Те, кто продвигает новую технологию — а это (в порядке заинтересованности) Банк России, вендоры оборудования, технологий, «Ростелеком», Минкомсвязь и просто любители новых технологий, — используют понятие «четыре У» (универсальность, удаленность, уникальность, удобство). По-честному следовало бы говорить о «пяти У», добавив еще одну составляющую — увод денег.

Фигуры умолчания

Из существующих технологий создания биометрического профиля — считывание карты вен, радужки глаза, отпечатка пальца, сканирование лица, запись голоса и множество других — выбраны две: сканирование лица и запись голоса. Главная проблема всех без исключения технологий, связанных с биоидентификацией, проста: их можно обмануть. Для лица делается маска, голос синтезируют. Причем для обмана того же Face ID на iPhone не требуется делать полную копию лица, достаточно только копии областей вокруг глаз. А синтезатор голоса уже массово доступен.

Именно у этих двух выбранных технологий (сканирование лица и запись голоса) «идентификаторы» (лицо и голос) общедоступны. То есть вы постоянно даете возможность сделать копии своих идентификаторов. Камера на улице или в помещении, кто-то в магазине, в кафе могут записать ваши идентификаторы и сделать по ним свою копию. Особенно учитывая темпы развития компьютерной 3D-графики и 3D-принтеров.

Да, разработчики могут настроить систему удаленной идентификации на минимальную вероятность подделки предлагаемых «образцов» (то есть бороться с ошибкой первого рода). Но тогда вы часами будете снимать селфи и что-то говорить в телефон, поскольку значительно возрастет вероятность ошибки второго рода — непринятия ваших данных как настоящих.

У одного из крупнейших бюро кредитных историй в нашей стране биометрия используется для выявления загримированных мошенников или переклеенных фотографий. Система FPS. Биометрия делает это с вероятностью всего лишь около 80%, что гарантирует вычистку массы жуликов (умеренно низкая вероятность ошибки первого рода), но эта вероятность означает, что вас крайне редко (вероятность — 0,0000001) ошибочно могут принять за мошенника, поскольку последствия такой ошибки слишком велики (сдадут под белы руки в полицию). В этом примере решается специфическая задача. Но достаточно ли такой надежности (80%) для доступа к вашим счетам? Конечно, нет. Вам требуется более высокая вероятность, а значит, сложность взаимодействия с системой, при обеспечении безопасности, возрастает многократно.

По некоторым исследованиям, Face ID имеет показатель надежности лишь 98% при заявленных 99,9999%. И это при использовании специальной камеры, которой нет в массовых продуктах. Но не думаю, что вам понравится надежность в 98%. Это означает ложное срабатывание в двух случаях из 100. Разработчики удаленной идентификации, вероятно, надеются на совместное использование голоса и лица. Но голос дает слишком высокую вероятность ошибки и очень просто подделывается. Получается, что двухфакторная идентификация (перемножение вероятностей обмана с целью снизить итоговую вероятность) здесь практически не работает.

О чем они даже не задумывались

Сегодняшние системы биометрической идентификации работают совместно с традиционными «паролями» или обеспечивают доступ относительно небольшого числа людей к каким-то не столь важным функциям (разблокировке смартфона, например).

Но что же принципиально отличает удаленную идентификацию от биоидентификации в привычных нам приложениях? Ответ — удаленность. Гримированный мошенник, приходящий в банк за кредитом с краденым паспортом, находится совсем в иных условиях, чем мошенник, работающий с «чужой личностью» по системе удаленной идентификации. «Мошенник на удаленке» находится в комфортных условиях, в любой стране мира, на любом континенте. Он знает о своей фактической безнаказанности: не пройти удаленную идентификацию — это значит «попробуем еще раз» с этим или другим профилем. То есть работаем дальше до очередного У — увода средств. А это не то же самое, что попасться с переклеенной фотографией или отклеившимися бровями в отделении банка. Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества.

А вот еще сюрприз

Преступник, прежде чем совершить преступление, может сколь угодно тщательно тестировать свою «модель идентифицируемого лица» на движках распознавания лица и голоса. Эти движки широкодоступны. Именно они лягут в основу строящейся системы удаленной идентификации. Если даже будет создана специальная версия движка для государственной системы биоидентификации, то можно будет или применить похожий движок (все современные системы схожи), или использовать версию для коммерческого применения.

По сути, «удаленка» бросает вызов хакерам по всему миру: взломай меня, если сможешь. Это напоминает классический хакатон. Только на кону стоит не надежность системы, а средства каждого гражданина (в качестве призового фонда). И куда гражданину обращаться, если его биопрофиль будет скопирован и применен?

Что же вам делать

Презентуемая в 2018 году система удаленной идентификации должна рассматриваться вами как еще одна «калитка» для мошенников к вашим деньгам. С простеньким замком. Сами решайте, надо ли вам это. Конечно, вы можете быть заинтересованы в простом доступе к кредитам или услугам и полагать, что терять вам нечего. Но как насчет использования вашего биометрического профиля для открытия счетов с целью отмывания денег или использования кредитных средств без вашего ведома? В многочисленные черные списки сегодня легко попасть, но очень сложно из них выйти.

Если вы все-таки решитесь стать альфа-тестером для системы, то следует внимательно отнестись к новой реальности. Если к системе будет добавлен пароль к ЕСИА, вам следует изменить его на максимально защищенный. Очень часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам. Или простенький пароль к «штрафам ГИБДД». А последствия одни и те же — потеря всех денег на всех счетах (а не только карточных).

Спецслужбам пригодится

Объективно разработчики систем удаленной идентификации могут рассчитывать только на массово используемые идентификаторы. Скажем, кроме биопрофиля, можно использовать электронный паспорт. Или информацию из кредитной истории, как в США. В Бельгии давно стали использовать электронный паспорт. Главная его ценность в том, что, докупив буквально за несколько евро считыватель информации, подключаемый к компьютеру по USB, вы приобретаете возможность удаленной идентификации физического лица. Да, это немодно и, главное, недорого. В нашей стране чиновники выбирают биоидентификацию.

Повторю вслед за представителем коммерческого банка, выступавшим на съезде АРБ в апреле этого года: «Сначала сделайте хотя бы нормально работающую проверку действительности паспорта и лишь затем увлекайтесь IT-проектами, требующими значительных затрат и не очевидно необходимыми». Да, может, вас это удивит, но технология не востребована финансовыми институтами, она «спущена сверху». Впрочем, биоидентификация может пригодиться коллекторам, чтобы опознавать своих должников, когда они прикидываются посторонними. Еще накопленная база биопрофилей пригодится спецслужбам. Пусть это и утешает любителей новых технологий.

Чем опасна утечка биометрических данных?

Как стало известно накануне, мэрия Москвы разрешит оплачивать проезд в автобусах при помощи системы распознавания лиц Face Pay. Функцию биометрического распознавания для оплаты проезда добавит в приложение «Московский транспорт» Центр организации дорожного движения Правительства Москвы.

Биометрическая идентификация – подтверждение личности пользователя через сличение его отпечатка пальца/сканирования лица/сетчатки глаза с образцом, хранящимся либо в памяти конкретного устройства – для его активации, либо в единой биометрической базе – для социальных услуг. Предполагается, что такая идентификация не только более быстрая и удобная для пользователя, но и более безопасная по сравнению с паролями и документами, так как подделать чье-либо тело гораздо сложнее. Экcперты Роскачества предупреждают – никто не может брать у вас эти данные без вашего письменного согласия.

Биометрические персональные данные – это сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных. Эти сведения могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, установленных в законе – например, для правосудия.

С развитием технологий биометрия становится все более распространенной. Если раньше для этого требовались особые ситуации и сложное оборудование, то сегодня просканировать лицо, отпечаток пальца или глаз может любой телефон – ради удобства использования и безопасности, конечно же.

Вместе с тем в биометрических данных очень заинтересовано и государство: недавно предельный срок их хранения в РФ увеличили до 100-летнего возраста носителя. Закон № 479-ФЗ от 29.12.2020 значительно расширил сферы применения биометрии. И еще один новый законопроект: иностранным (хотя бы наполовину) компаниям, которые обладают капиталом менее 500 млн долларов, предлагают запретить взаимодействовать с биометрическими данными. С января 2022 года все IT-сервисы западного происхождения с аудиторией более 500 тысяч россиян в день должны будут открыть офис на территории РФ и подчиняться всем местным законам, в том числе и о биометрических данных.

В настоящее время в России для сбора биометрии и ее использования для идентификации пользователей финансовых услуг работает Единая биометрическая система (ЕБС). Большой популярностью она не пользуется: в феврале 2021 года в ней было зарегистрировано около 164 тысяч россиян (чуть более 0,1% населения страны). Партнерами ЕБС в основном являются банки и страховые компании.

Половина россиян, опрошенных НАФИ в декабре 2020 года, не доверяют ЕБС и вообще сбору биометрических данных. Вместе с тем уже сейчас в тестовом режиме есть оплата «по лицу» в некоторых продуктовых магазинах и транспортных хабах. Насколько безопасно сегодня соглашаться предоставить свои данные (отпечаток пальца, образец голоса, рисунок сетчатки глаза) третьим лицам?

– В случае компрометации любого пароля его можно поменять. В случае же, если мошенники завладеют биометрией, сделать это сложнее. Поэтому рекомендуем с осторожностью относиться к сдаче ваших биометрических данных. В будущем все больше услуг будет возможным получить по биометрии, так что если вашими данными завладеют недобросовестные третьи лица, риск их неправомерного использования будет лишь нарастать.

В целом же, по словам Куканова, избежать попадания своей биометрии в систему, ту или иную, вряд ли удастся, если не изолировать себя от прогресса. Вопрос лишь в том, будут ли они в защищенной системе или в неконтролируемой.

Что такое биометрические данные (биометрия)

Разблокировка телефона отпечатком пальца или подтверждение личности в банке голосом — это текущая реальность Она стала доступна благодаря биометрическим данным, которые пользователи добровольно сдавали в банки, МФЦ и другие организациях.

В августе многие россияне получили сообщение о передаче их биометрии в единую биометрическую систему, и это породило много вопросов. Что относят к биометрическим данным, как их используют, зачем их передают в ЕБС и как от этого можно отказаться, на все эти вопросы нашел ответы сотрудник редакции Бробанк и независимые эксперты.

1. Что такое биометрические данные или биометрия
2. Кто занимается сбором биометрических данных
3. Что такое ЕБС
4. Как зарегистрировать биометрию
5. Какие возможны проблемы и риски при передаче биометрии
6. Отказ от биометрических данных

Что такое биометрические данные или биометрия

Биометрические данные или биометрия — это уникальные физические характеристики человека, которые используют для его идентификации. Автоматические системы распознавания применяют индивидуальные признаки для установления личности.

К биометрическим данным относят:

• отпечатки пальцев,
• радужную оболочку глаза,
• форму лица,
• голос,
• почерк,
• динамику работы на клавиатуре.

Работа систем по биометрическому распознаванию человека

Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» в статье 11 приводит немного другое определение. Биометрические персональные данные — это сведения, которые характеризуют физиологические и биологические особенности человека. Их используют операторы для установления личности субъекта персональных данных.

Операторы персональных данных — это организации или частные лица, которые собирают, обрабатывают и хранят персональные данные.

Биометрию можно обрабатывать только при наличии письменного согласия их обладателя, за исключением ряда ситуаций, которые прописаны во втором пункте 11 статьи ФЗ №152. Сюда относят исполнение судебных мероприятий и осуществление оперативно-розыскной деятельности.

1. Аутентификация — подтверждение личности при доступе к определенным ресурсам. Например, к персональному компьютеру, смартфону или финансовым системам.
2. Предотвращение мошенничества — биометрические характеристики уникальны у каждого человека. Мошенник не сможет использовать чужие данные для оформления кредита, займа или другого банковского продукта.
3. Улучшение безопасности — технологии повышают уровень безопасности в различных системах, обеспечивают дополнительную защиту от несанкционированного доступа.
4. В медицине — биометрию используют в медицинских исследованиях для изучения генетических и физиологических характеристик человека.

Дмитрий Бойко, директор департамента безопасности МФК«Лайм-Займ» уточняет: «в коммерческой сфере биометрия собирается компаниями для авторизации и доступа к устройствам или сервисам. Идентифицировать пользователя по биометрии проще, чем по логину, паролю, номеру телефона и другим сведениям».

Предоставление биометрических данных — дело добровольное. Оператор, например банк, не вправе отказывать клиенту в обслуживании, если тот не дает согласие на обработку биометрии. Это следует из текста Федерального закона от 29.12.2022 №572-ФЗ.

Кто занимается сбором биометрических данных

Биометрические данные собирают операторы персональных данных — это специализированные организации, которые занимаются обработкой и хранением биометрической информации. Они обеспечивают безопасность и конфиденциальность сведений своих клиентов.

• финансовые компании,
• государственные и муниципальные учреждения,
• медицинские учреждения и другие организации.

Они могут работать на коммерческой основе или в рамках государственных программ. Например, в некоторых странах существуют базы данных отпечатков пальцев, которые используются для идентификации преступников и других лиц в розыске.

«Ранее биометрию собирали в московском метро для прохода через турникеты без билета, в связи с выездом за границу, при оформлении биометрического загранпаспорта, при подаче заявления для получения визы в ряд государств.

Согласно ч.2 ст.26 572-ФЗ организации, которые обладают биометрией, собранной с согласия обладателя, должны передать данные в Единую биометрическую систему — ЕБС до 30 сентября 2023 года. Об этом факте оператор сообщает человеку в любой доступной форме за 30 дней до момента передачи данных.

Что такое ЕБС

В 2009 году Минцифры и Банк России приняли решение создать Единую биометрическую систему для удаленной идентификации россиян. ЕБС собирает и обрабатывает биометрические данные населения РФ. Она создана в рамках реализации проекта «Цифровой профиль гражданина».

Цифровой профиль гражданина — это единый реестр, который содержит информацию о россиянах в электронном виде. В нем хранятся данные, полученные из государственных и муниципальных органов, банков, страховых компаний. Цифровой профиль упрощает процесс получения услуг и сокращает время на обработку запросов.

1. Открытие и управление банковскими счетами. Крупные банки используют биометрию для оформления и доступа к банковским счетам, а также для принятия решений о выдаче кредитов.
2. Оплата покупок. Некоторые компании предлагают услуги оплаты с использованием биометрических данных. Например, рассчитаться за покупки в Пятёрочке можно с помощью сканирования лица.
3. Инвестиции и страхование. Биометрию можно использовать для авторизации сделок на финансовых рынках, заключения страховых договоров и получения страховых выплат.
4. Оплата проезда. В московском метрополитене можно оплатить проезд в общественном транспорте по улыбке.

По биометрическим данным, банки, страховщики и другие компании могут предложить клиенту полностью цифровой путь получения услуг. Пользователь получает свободу в выборе и мобильность, без привязки к конкретному офису.

• оформление загранпаспорта нового образца;
• запись в очередь на прием к врачу;
• оплата штрафов и налогов;
• получение социальной помощи и пособий;
• регистрация на выборы;
• подача заявления на получение водительского удостоверения.

Для получения государственных, муниципальных, финансовых и других услуг в упрощенном режиме, пользователь передает биометрические данные оператору. Это можно сделать в офисе оператора либо через специальные онлайн-сервисы.

Как зарегистрировать биометрию

Зарегистрировать биометрию можно с 18 лет. Для передачи биометрических данных обратитесь в специализированные центры, которые занимаются сбором и обработкой биометрической информации. Это может быть офис банка, страховой компании или отделение МФЦ.

Для сдачи биометрии подпишите согласие на обработку данных. Банк может собрать отпечатки пальцев, отсканировать лицо или записать голос клиента. Эти данные используют для быстрой идентификации клиента и обеспечения безопасности его финансовых операций.

1. Стандартная — пользователь регистрирует ее самостоятельно в мобильном приложении «Госуслуги Биометрия». Она делает привычные операции более удобными и безопасными, например, обеспечивает безопасный вход на портал Госуслуги.
2. Подтверждённая — её регистрируют в банке, что даёт больше возможностей: вместе с логином и паролем от Госуслуг она приравнивается к паспорту. С её помощью можно получить нотариальные услуги, взять кредит в банке или оформить вклад, а также создать квалифицированную электронную подпись.

Статус биометрии обновляют в системе в течение суток. В редких случаях процедура может занять до пяти дней. Проверьте данные на «Госуслугах» в разделе «Профиль» → «Биометрия».

Клиенты с подтвержденной учетной записью могут проверить регистрацию биометрии онлайн

Управление данными доступно в приложение «Госуслуги Биометрия». Его можно скачать в Google Play, App Store или RuStore.

Какие возможны проблемы и риски при передаче биометрии

Российские госучреждения, страховщики и банки предлагают клиентам внести их данные в Единую биометрическую систему, чтобы включить биометрическую идентификацию для дистанционного проведения операций. Это вызывает массу вопросов среди россиян: если биометрия человека попадет в руки мошенников, это может угрожать его финансовой безопасности.

«Со сбором и использованием биометрии связано много опасений. Люди боятся того, что их персональные данные попадут в руки злоумышленников.

И эти риски вполне реальны: способы хранения биометрической и другой личной конфиденциальной информации, например, данных паспорта, не имеют различий. Мы наслышаны о регулярных утечках данных и продаже их на чёрном рынке.

1. Кража данных. Люди боятся, что биометрические данные похитят и используют для кражи денег или другого несанкционированного действия. При этом в отличие от пароля или документов заменить биометрические данные на новые невозможно.
2. Утечка данных. После множества сообщений об утечке баз данных клиентов банков, мобильных операторов и онлайн-магазинов, пользователи не без оснований боятся, что с биометрией может произойти то же самое.
3. Дипфейки. Это новая технология, где с помощью нейросети можно сгенерировать видео или голос, убедительно имитирующий реального человека.
4. Похожие люди. Часто близкие родственники, например, близнецы внешне похожи друг на друга. Но это маловероятно. При идентификации система сравнивает черты лица пользователя с эталонной моделью — биометрическим контрольным шаблоном, поэтому различия обязательно будут выявлены.

«Для россиян, как и для граждан любой другой страны, угрозы аналогичны. Основное опасение заключается в том, что неправомерное использование или утечка биометрических данных может привести к нарушению прав человека, финансовым потерям или дискриминации.

Обоснованы ли эти страхи? Риски действительно возможны, от утечки данных или человеческого фактора не застрахованы ни частные, ни государственные системы хранения биометрии.

При передаче биометрии соблюдайте правила безопасности, доверяйте только тем операторам, которые указаны на портале Роскомнадзора в разделе «Реестр операторов, осуществляющих обработку персональных данных».

Отказ от биометрических данных

1 сентября 2023 года вступили в силу изменения в Федеральный закон №572-ФЗ от 29.12.2022 года «О биометрической системе государственной и муниципальной службы в Российской Федерации». Согласно его положениям, кредитные организации до 30 сентября должны передать биометрию в ЕБС, оператором которой назначен Ростелеком.

С 1 июня 2023 года россияне могут отказаться от сбора и размещения своих биометрических персональных данных или данных тех людей, законными представителями которых они выступают. Основание — постановление Правительства РФ от 27.03.2023 №478.

Если клиент оставлял финансовой организации биометрию, до 1 сентября он мог написать отказ от её передачи и использования в отделениях банка. Некоторые банки предоставляют клиентам возможность удаления данных через онлайн-сервисы, например, мобильное приложение.

Управлять биометрией можно в приложении Сбербанк Онлайн

• паспорт гражданина Российской Федерации,
• паспорт иностранного гражданина,
• документы, подтверждающие личность лица без гражданства.

В законодательстве нет ограничений на право подачи отказа от сбора и размещения биометрических персональных данных в ЕБС. Оформить отказ можно в любое время в центрах госуслуг в часы их приема.

1. Выполните авторизацию на портале.
2. Перейдите в раздел «Биометрия» личного кабинета.
3. Выберите биометрию, которую хотите удалить, и нажмите «Удалить».

После удаления получить услуги через ЕБС будет нельзя. Для возобновления доступа к ним, нужно сдать и регистрировать биометрию заново.