21.05.2025, 09:05
Количество просмотров 5957

Биометрия: главные факты, о которых должен знать каждый

Биометрия сегодня — одна из самых обсуждаемых технологий. Она вызывает живой интерес у граждан и привлекает пристальное внимание экспертов. Однако даже среди отраслевых специалистов встречаются пробелы в понимании регулирования биометрических данных и реальных механизмов работы Единой биометрической системы. Подробнее порталу PLUSworld рассказывает заместитель генерального директора Центра биометрических технологий (ЦБТ) – оператора государственной Единой биометрической системы (ЕБС) Евгений Семенов.
Биометрия: главные факты, о которых должен знать каждый

Биометрия, как относительно новая технология, вызывает много вопросов даже у специалистов. Поэтому на примере статьи Екатерины Витенбург, руководителя направления информационной безопасности компании Б-152, разберем неточности, характерные для публикаций о биометрии (здесь и далее в кавычках приведены цитаты из ее материала).

«Если гражданин сдал данные в ЕБС, то подписывает документ о своём согласии на все обозначены варианты их использования. Например, в соответствии с постановлением Правительства, если человек самостоятельно разместил данные в Единой Биометрической Системе, их могут использовать для своей деятельности мобильные операторы, банки и другие организации».

Согласия на «все варианты использования биометрии» не существует. Логика системы основана именно на том, что человек самостоятельно подключает отдельно взятые сервисы, а сфера применения биометрических данных ограничивается тем сервисом, на которые человек предоставил согласие через Госуслуги.

При этом каждый пользователь может свободно управлять своей биометрией. На портале Госуслуг можно в любой момент отозвать согласие на ее обработку у отдельных организаций или отказаться от получения всех биометрических услуг, удалив ранее зарегистрированные данные.

«Биометрия основана не на секретах. Лицо человека можно сфотографировать без его ведома, поэтому система обнаружения атак на биометрическое предъявление должна надежно отличать фотографию от живого лица».

Любой биометрический сервис содержит в себе алгоритмы, которые защищают систему от мошенничества с помощью фотографии, маски, видео и т. д. Эти алгоритмы называются «лайвнесс», они позволяют достоверно отличить реального пользователя от имитации. Каждый может самостоятельно протестировать устойчивость системы к имитации и убедиться в ее защищенности от такого вида атак. Это можно сделать, например, на любом биометрическом платежном терминале. Их уже более миллиона по всей стране. Так что попробовать может каждый.

«Возобновляемые биометрические шаблоны» – как раз решает данную проблему. Получив доступ к этим данным, преступники смогут совершать покупки и финансовые операции от имени владельца, получать доступ к конфиденциальной информации, использовать биометрию для создания поддельных документов или обучать искусственный интеллект для организации целевых атак не только на человека, но и на компанию».

Биометрия сама по себе не является ключом к банковским счетам, личным кабинетам, цифровым документам или какой-либо конфиденциальной информации. Прежде чем воспользоваться любым биометрическим сервисом (например, оплатой покупок) его необходимо подключить. Уже на этом этапе появляется многоуровневая защита: злоумышленнику нужно по крайней мере получить полный доступ к смартфону и банковским приложениям жертвы, а также «угнать» аккаунт на Госуслугах. Только после этого он сможет подключить функцию оплаты. 

Излишне говорить, что такой мошеннический сценарий лишен смысла. Ведь если злоумышленник получил полный доступ к приложениям на смартфоне или аккаунту на Госуслугах, то для совершения преступления биометрия ему просто не нужна. 

Многоуровневая защита действует во всех сервисах. Например, при дистанционном банковском обслуживании требуется одновременно подтвердить личность через Госуслуги и по биометрии, при регистрации ИП – через личный кабинет налогоплательщика. Кроме того, в ряде сценариев наряду с классическими цифровыми идентификаторами применяются две биометрических модальности – лицо и голос. Это еще один барьер на пути злоумышленников.

«Если подтвердить биометрию в МФЦ, будет открыт доступ ко всем видам услуг. Например, можно не только расплачиваться в магазинах, где поддерживается такая технология оплаты, но и брать кредиты или открыть счет в банке».

Сценария подтверждения биометрии в МФЦ не существует, как и возможности регистрации биометрии в МФЦ. Регистрация в системе возможна в отделениях банков и через приложение “Госуслуги Биометрия”. Сейчас рассматривается возможность очного подтверждения биометрии, однако ее планируется реализовать в отделениях банков, а не в МФЦ. 

«Как это работает? Самый первый механизм – сдача биометрии в ЕБС в уполномоченных банках (...) Для регистрации в ЕБС у покупателя должен быть смартфон с камерой и микрофоном, а также подтвержденная учетная запись на госуслугах. Нужно скачать мобильное приложение «Госуслуги Биометрия» и авторизоваться в нем, используя логин и пароль от Госуслуг. Затем сделать селфи, трижды записать свой голос».

Автор не проводит четкого разграничения между двумя способами регистрации биометрии, которые различаются по уровню «доверенности» предоставленных данных и сфере применения. Для получения доступа к полному перечню государственных и коммерческих услуг требуется подтвержденная биометрия, регистрация которой осуществляется исключительно в уполномоченных банках после прохождения идентификации с предъявлением паспорта.  

В то же время для совершения ограниченного круга операций, таких как оплата недорогих покупок, достаточно упрощенной биометрии. Она регистрируется дистанционно через мобильное приложение «Госуслуги Биометрия» без записи голосового образца – пользователю необходимо лишь авторизоваться через учетную запись портала «Госуслуги» и сделать селфи. Такой подход упрощает процесс для массового использования, сохраняя базовые стандарты защиты данных. 

«После регистрации система сохраняет биометрические данные и связывает их с личным аккаунтом человека. Когда покупатель приходит в магазин и хочет расплатиться, он смотрит в камеру. Для подтверждения личности система ищет в базе биометрический шаблон, совпадающий с полученным с камеры».

Зарегистрированный биометрический образец привязывается к идентификатору ЕСИА. Сам биометрический образец хранится в ЕБС в зашифрованном виде и не покидает периметра системы. За пределами системы могут использоваться только биометрические векторы — обезличенные наборы символов, сгенерированные на основе биометрических образцов. Именно такой «векторный» сценарий реализован в платежных сервисах.

При этом биометрические образцы не привязаны к персональным данным пользователей. В базе нет ФИО, ИНН, адресов и другой информации о гражданах, зарегистрировавших биометрию. Таким образом, сама архитектура системы исключает возможность появления единой точки атаки.

«Однако возможны проблемы – близнецы, похожие люди…».

Этот вопрос, естественно, проработан. Если система обнаруживает несколько схожих биометрических образцов (например, в случае с близнецами) при попытке проведения операции, то она либо запрашивает дополнительное подтверждение (ПИН-код), либо отклоняет запрос.

Во фрагменте про преимущества биометрии для ритейла автор упомянул про «сбор аналитических данных», что не совсем верно. Биометрия не привязана к персональным данным гражданина, поэтому ЦБТ технически не может предоставлять аналитику по своим пользователям. Мы не знаем пола нашего пользователя, места проживания, товарных предпочтений и других сведений, которые могут использоваться в маркетинговых целях.

В пункте «Проблемы и риски использования биометрии» автор поднимает вопрос о нарушении неприкосновенности частной жизни в связи с применением биометрии. Это также свидетельствует о пробелах в понимании отраслевого регулирования.

По закону Единая биометрическая система применяется исключительно в гражданских целях. Ее нельзя подключить к городским системам видеонаблюдения, уличным камерам, системе «умный город» и т. д. Система не работает в автоматическом режиме, не распознает и не идентифицирует пользователя, пока он самостоятельно не обратится в систему с запросом. Оказание каждой услуги может инициировать только сам пользователь.

Утверждения о неопределенности стоимости подключения к ЕБС также являются ложными, поскольку все тарифы на использование системы доступны на официальном сайте. ЦБТ всегда открыт к диалогу и готов регулировать тарифы с учетом пожеланий бизнеса.

Автор упоминает о «неоднозначности правового регулировании», хотя далее приводит в пример Федеральный закон «О персональных данных» (152-ФЗ), Федеральный закон № 572-ФЗ, который регулирует использование Единой биометрической системы.

В России действует развитая законодательная база в сфере биометрии, включающая федеральные законы, подзаконные акты, приказы и отраслевые стандарты. Ключевое преимущество российской модели – единые правовые принципы, закрепленные на всех уровнях регулирования. Что дает единое и непротиворечивое отраслевое регулирование. Это минимизирует противоречия и создает четкие правила для бизнеса и госорганов. 

Важно отметить, что в большинстве стран отсутствует единое регулирование биометрической отрасли. Правила игры определяются либо законодательством о персональных данных, либо разрозненными нормативными актами. В отличие от большинства стран в России действует единое отраслевое законодательство – закон о биометрических персональных данных и связанные с ним нормативные акты, что формирует благоприятную регуляторную среду для безопасного развития сервисов в транспортной сфере.

Подробнее о правовой базе для работы с биометрией граждан: 

•Разработаны и приняты все НПА к Федеральному закону от 29.12.2022 № 572-ФЗ – «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации».

•Постановление Правительства Российской Федерации от 01.09.2023 № 1429 - О внесении изменений в Положение о единой биометрической системе, в том числе о ее региональных сегментах.

•Постановление Правительства Российской Федерации от 01.09.2023 № 1430 - О внесении изменений в некоторые акты Правительства Российской Федерации.

•Постановление Правительства Российской Федерации от 08.11.2023 № 1872 – «Об установлении требований к проведению идентификации физического лица банками, многофункциональными центрами предоставления государственных и муниципальных услуг и иными организациями в случаях, определенных федеральными законами, осуществляющими размещение в электронной форме в единой системе идентификации и аутентификации сведений, необходимых для регистрации физического лица в указанной системе, и иных сведений, предусмотренных федеральными законами, а также размещающими сведения в единой биометрической системе».

•Постановление Правительства Российской Федерации от 04.11.2023 № 1866 – «О внесении изменений в постановление Правительства Российской Федерации от 29 июня 2018 г. N 747».

•Постановление Правительства Российской Федерации от 08.09.2023 № 1463 – «О внесении изменений в постановление Правительства Российской Федерации от 20 октября 2021 г. № 1798».

•Приказ Минцифры России от 09.10.2023 № 848 - Об утверждении Порядка размещения оператором единой биометрической системы на своем официальном сайте в информационно-телекоммуникационной сети «Интернет» и поддержания в актуальном состоянии перечней, в которые включены аккредитованные государственные органы, Центральный банк Российской Федерации в случае прохождения им аккредитации, организации, осуществляющие аутентификацию на основе биометрических персональных данных физических лиц, государственные органы, органы местного самоуправления, Центральный банк Российской Федерации, организации финансового рынка, иные организации, индивидуальные предприниматели, нотариусы, использующие единую биометрическую систему в целях идентификации и (или) аутентификации, органы государственной власти субъектов Российской Федерации, подведомственные им организации, органы местного самоуправления, подведомственные им организации, иные организации, использующие региональные сегменты единой биометрической системы в целях аутентификации.

 

Биометрия уже применяется во многих отраслях: финтех, транспорт, телеком, государственные услуги.

Ее потенциал еще только предстоит раскрыть, однако уже сейчас она демонстрирует свои преимущества, делая нашу жизнь проще и безопаснее.

Центр биометрических технологий открыт к диалогу и сотрудничеству с экспертным сообществом. Уверен, что вместе мы сможем сформировать общее видение ситуации в отрасли и найти новые пути развития биометрии.

О том, как прокомментировал данный материал независимый эксперт и наш постоянный автор Павел Есаков, читайте здесь.

Рубрика:
{}Биометрия
Новости в вашей почте
mail

PLUSworld в соцсетях:
telegram
vk
dzen
youtube
ЕЩЁ НОВОСТИ