Российские банкиры выступили за развитие коммерческих биометрических систем наряду с государственной Единой биометрической системой. Специалисты по кибербезопасности уверены: это приведет к масштабным утечкам персональных данных россиян. "Газета.Ru" узнала позиции сторон.
Наряду с государственной Единой биометрической системой (ЕБС) должны существовать коммерческие.
Такого мнения придерживается Национальный совет финансового рынка. Он подготовил заключение на проект Основных направлений цифровизации финрынка до 2024 года (есть у "Газеты.Ru").Коммерческие биометрические системы (КБС), по мнению НСФР, должны взаимодействовать с государственной, а не конкурировать. К таким системам не должны предъявляться повышенные требования — например, задаваться для них конкретные технические параметры.
"Это приведет к неконкурентоспособности сервисов, предлагаемых российскими участниками финансового рынка", - говорится в документе. Развивать коммерческие биометрические системы могут, как следует из постановления Минцифры, "надежные российские компании".
Биометрию сдали 0,2% граждан
Сейчас на портале Госуслуг более 85 млн учетных записей, но при этом только 300 тысяч россиян (0,2% населения) зарегистрировали свои биометрические данные в Единой биометрической системе. 21 декабря 2021 года Госдума на пленарном заседании приняла во втором чтении поправки, по которым ЕБС переводится в статус государственной информационной системы. Банкиры уверены: развитие коммерческих биометрических систем позволит ускорить сбор изображений лица и голосовых слепков, которые позволят россиянам обслуживаться в банках дистанционно по этим параметрам.
"С 1 сентября 2022 года банки смогут развивать свои собственные биометрические системы, - уточнил начальник управления пилотных проектов НСФР Борис Перов. - Для этого кредитным организациям нужна аккредитация по правилам правительства. В частности, для проведения проверки с использованием биометрии организация не должна иметь в уставном капитале долю иностранного участия выше 49%, минимальный размер собственных средств - не менее 50 млн рублей. Для проведения идентификации с использованием коммерческих систем требования еще жестче: например, минимальный размер собственного капитала должен составлять не менее 500 млн рублей".
По мнению НСФР, нельзя предъявлять такие жесткие требования к коммерческим системам.
"Компрометация биометрических данных – реалии современной среды"
Эксперты по кибербезопасности, опрошенные "Газетой.Ru", уверены: чем больше будет биометрических систем, тем больше вероятность утечки данных россиян. В результате мошенники смогут еще проще взять кредиты, используя украденные параметры. Клиент об этом вряд ли узнает до звонков коллекторов.
"Риски компрометации биометрических данных- это реальность современной цифровой среды,
- отметил тренер по компьютерной криминалистике Group-IB Сергей Золотухин. - На фоне того, что использование биометрических данных набирает обороты, защитных мер при сборе, хранении и обработке биометрических данных, совершенно недостаточно.
По словам эксперта, в организациях не обеспечен режим защиты при хранении данных - регулярно появляются все новые и новые сообщения о масштабных внутренних утечках. Не используются современные технические средства выявления атак на ранних стадиях, в результате чего внешние злоумышленники закрепляются в сетях организаций, выкачивают данные и шифруют информацию.
"Пока от масштабных инцидентов спасает лишь то, что биометрические данные используются только как дополнительный фактор безопасности", - объясняет Золотухин.
Вполне естественно, что чем больше операторов биометрических данных, а также сервисов и систем, которые их используют, тем выше риск утечек, добавляет эксперт.
Нет понимания как защищать данные, рано или поздно они "утекут" и будут продаваться, как, например, это сейчас происходит с паролями, согласен главный специалист отдела комплексных систем защиты информации компании "Газинформсервис" Дмитрий Овчинников.
"Важно понимать, что сохранить данные по биометрии каждого человека в безопасности - более важная задача, чем улучшить сервис в финансовых организациях, - подчеркнул Овчинников.
Такая утечка - это по сути потеря цифровой личности, напоминает он. "Получение доступа к банковским картам и счетам пользователей, к аккаунтам в социальных сетях и к персональным компьютерам. Паспорт можно перевыпустить, а телефонный номер сменить, и всем понятно куда обращаться с такими проблемами, а вот что делать если биометрические данные были похищены? Этот первоочередной вопрос не решен", - подчеркивает специалист.
Руководитель аналитического центра Zecurion Владимир Ульянов подчеркнул, что биометрические данные, в отличие, например, от скомпрометированной пластиковой карты проблематично "перевыпустить".
Он также обратил внимание на еще одну проблему.
"Владельцы коммерческих биометрических систем, вложившие немало средств в разработку, захотят вернуть инвестиции. И одним из способов монетизации сервиса станет предоставление доступа в том или ином виде партнерам, - считает эксперт. - Это, в свою очередь, может повысить уязвимость данных".
Свежие комментарии