Госбанки заставят перевести данные клиентов в Единую Биометрическую Систему
Биометрию клиентов, собранную банками для своих целей, планируется директивно импортировать в Единую биометрическую систему (ЕБС), которая имеет статус ГИС.
Сначала приведена статья из "Коммерсанта". Затем ссылка на дополнительные материалы с мнением специалистов касательно биометрии и опасности ЕБС.
По данным “Ъ”, в мае власти уже направили директиву по этому вопросу в несколько крупных госбанков. Для крупнейшего в сегменте Сбербанка готовится отдельное поручение о порядке импорта биометрии в ЕБС. С частными банками власти тоже намерены вести подобную работу, но не в столь принудительном формате. При этом во всех случаях остается открытым вопрос, как получать согласие на перенос данных от сдавших их исходно граждан.
Государство начало предпринимать реальные шаги по консолидации биометрии граждан, собранной банками в рамках их собственных проектов, в ЕБС. Как стало известно “Ъ”, в мае правительство направило в четыре госбанка директиву, по которой в течение десяти дней необходимо инициировать заседание совета директоров по вопросу о передаче биометрических данных кредитной организации и ее дочерних обществ в полном объеме в ЕБС. Представители интересов РФ в советах обязаны проголосовать за передачу биометрии в ЕБС.
По данным “Ъ”, документ получили ВТБ, Промсвязьбанк (ПСБ), Россельхозбанк (РСХБ) и крымский РНКБ. В последнем, впрочем, “Ъ” заверили, что он «не осуществляет сбор биометрических данных клиентов для собственных нужд, лишь является посредником при регистрации клиентов—физических лиц в ЕБС». В ВТБ говорят, что «технологически банк полностью готов обеспечить исполнение требований законодательства и регулятора в данной сфере». РСХБ должен был вынести вопрос на совет директоров 30 мая, о чем было официальное раскрытие информации. В банке пояснили, что «РСХБ подготовил необходимую внутреннюю инфраструктуру и готов передать государству несколько сотен тысяч образцов». Там уточнили, что ожидают «уточненного порядка передачи данных от банков государству». В ПСБ “Ъ” не ответили.
Источники “Ъ” на рынке подчеркивают, что вопрос о том, как именно будет организована передача, остается открытым.
Во-первых, данные из собственных биометрических баз банков не соответствуют строгим требованиям ЕБС. Во-вторых, непонятно, как соблюсти права граждан. Собеседник “Ъ” в крупном банке считает директиву «почти невыполнимой»: «Не решен вопрос с согласием гражданина на передачу его биометрии из банка в ЕБС, технически биометрические данные и модальности несовместимы. В ЕБС голосовая биометрия текстозависимая, а банковских системах — текстонезависимая».
По мнению другого собеседника “Ъ” из крупного банка, у властей есть два варианта для решения проблемы оформления отношений с гражданами: через принятие специального закона либо путем подтверждения согласия, например, с помощью электронной подписи в ЕСИА. В аппарате вице-премьера Дмитрия Чернышенко “Ъ” сообщили, что «проводятся работы по принятию постановления правительства РФ о порядке получения согласия на импорт биометрии из КБС в ГИС ЕБС, в том числе проводится организационная и техническая работа по передаче данных».
ЕБС создана в 2018 году. Ее оператором выступает «Ростелеком». В компании говорят, что база «активно пополняется». Но, хотя сбор данных в ЕБС обеспечивают свыше двух сотен банков, по данным на сайте ЦБ, в ней сейчас всего 236,4 тыс. пользователей. В банках же, по экспертным оценкам, собраны миллионы биометрических записей.
В дальнейшем импорт биометрии в ЕБС может коснуться и крупнейшего игрока — Сбербанка, а также и частных банков. Как пояснили “Ъ” в аппарате господина Чернышенко, поручение в целях обеспечения импорта биометрии из Сбербанка в ЕБС уже готовится «и в случае согласования и утверждения правительством РФ» будет направлено в банк. Эту информацию “Ъ” подтвердили в Минцифры. «Сроки передачи будут определены в поручении. Предварительно содержание поручения будет соответствовать тексту директивы для иных банков»,— уточнили в аппарате Дмитрия Чернышенко. В Сбербанке не ответили на запрос “Ъ”.
Работа по передаче биометрии с частными банками будет проходить в рамках ФЗ-149, уточнили “Ъ” в аппарате вице-премьера: «Перечень директив по вопросу импорта биометрии в ГИС ЕБС распространяется на банки с долей участия в управлении РФ, в связи с этим директива может быть направлена только тем банкам, в которых есть доля государственного участия. В ином случае возможности выпуска директивы в частные банки не предусматривается».
Эльвира Набиуллина, глава ЦБ, 31 января 2019 года:
«Некоторые банки собирают биометрические данные для своих внутренних систем, а не для единой системы. Клиент думает получить дистанционные услуги в других финансовых организациях, а этого не происходит».
Неожиданное форсирование правительством передачи данных в ЕБС в условиях кризиса, проблем с импортозамещением программного обеспечения и дефицитом серверных мощностей вызвало удивление на рынке. По мнению одного из собеседников “Ъ”, власти хотят «лишить участников рынка чувствительной информации, чтобы минимизировать риски утечек, одновременно с этим получив большой пул данных». Возможно, добавляет источник “Ъ”, речь идет и о желании ускорить внедрение биометрии в государственные сервисы.
Ольга Шерункова
===========================
Дополнительные материалы. В частности, мнения Наталии Касперской и Игоря Ашманова (особенно интересны приведённые видео - про "новую абсолютную цифровую власть" и то, кому её передают). Для подтверждения своих доводов выбрал их мнения, т.к. они - наиболее известные медийные персоны из специалистов IT. Они не единственные. Вы можете найти другие мнения...
1. "Госуслуги поворачиваются лицом к биометрии". Граждан мотивируют сдавать данные. См. вторую ссылку в списке материалов.
2. "Удалённая банковская идентификация: от сложного к простому, или Банки, зачем вам биометрия?"
Самое парадоксальное (и неприятное для поклонников исключительно биометрических методов аутентификации) в том, что предъявление собственных отпечатков пальцев, или голоса, или радужки глаза технологически мало чем отличается от ввода 256-битного пароля, известного только клиенту, или использование связки “токен-устройство”, или любого другого метода двух- или трех- факторной аутентификации: в любом случае для машины вся наша биометрия остается набором нулей и единиц. Самое главное, что компрометации биометрические данные поддаются ничуть не сложнее, чем любые другие. Пример тому — утечка данных крупнейшей в мире Индийской базы биометрических данных Aadhaar в 2017 году.
Проведение банковских операций помимо использования в качестве ключа доступа биометрических данных должно обязательно сопровождаться дополнительными проверками с помощью кодового слова, контрольного вопроса, подключения токена, использования конкретного устройства (смартфона или компьютера с уникальным идентификационным номером), или PUSH/SMS-кодов. Вопрос — зачем здесь биометрические данные?
Для банков в случае принудительного использования систем биометрической идентификации есть еще одна огромная неприятность. Внедрение систем биометрии требует значительных затрат на развертывание сопутствующей информационной инфраструктуры: собственно, оборудования для сбора идентификационных данных, программного обеспечения для их обработки, создание ЦОД или аренда защищенного облачного сервиса для хранения, обеспечение защиты и так далее. Именно поэтому принятие закона об обязательном сборе биометрических данных в России наткнулось на противодействие банковского сообщества...
3. "Двуликая цифровизация". Как можно пострадать, доверившись современным прогрессивным технологиям и что нужно делать, чтобы этого избежать ("Парламентская газета", мнение И.Ашманова, Н. Касперской, В. Фадеева):
В конце прошлого года президент Владимир Путин подписал закон об использовании Единой биометрической системы для удалённой идентификации при получении различных финансовых и госуслуг. Минцифры подготовило поправки, которые позволят сдавать биометрию через приложение, не приходя ни в МФЦ, ни в банк. Об этом пишет ТАСС со ссылкой на главу министерства Максута Шадаева. Выступая на форуме инновационных финансовых технологий Finopolis Online 2021, Шадаев уточнил, что набор предоставляемых услуг по такой биометрии будет ограничен, но это может стать вторым фактором авторизации на «Госуслугах».
Игорь Ашманов, президент аналитической компании «Крибрум», член СПЧ, уверен, что не должно быть подмены понятий при внедрении новых технологий. То есть, если биометрические данные сдаются для конкретного дела, то не следует их использовать в иных целях. В качестве примера он привел реальную историю, случившуюся с его знакомым.
«Очень инновационно продвинутый мужчина узнал, что можно платить лицом в метро, зарегистрировался в Face Pay, сдал биометрию и стал ездить. Через пару дней ему прилетел штраф за проезд в метро без маски — 3 тысячи рублей. Остальные тоже ездят без маски, но их нельзя идентифицировать по лицу. Его можно, и он не знает, как теперь отозвать свое лицо из этой системы и кому оно еще досталось», — обрисовал суть проблемы ведущий российский эксперт в области искусственного интеллекта.
Обработка персональных данных, согласно ФЗ-152, может проводиться лишь с целью, которая заявлена, поэтому нарушения очевидны, считает глава рабочей группы по информационной безопасности нацпроекта «Цифровая экономика» Наталья Касперская. «В случае со знакомым Игоря сбор данных был проведен с одной целью — платить лицом, а ему прислали штраф. Совершенно явная подмена целей», — уточнила эксперт. В этой связи она предлагает запретить сбор биометрии в единую базу.
При этом советник президента, председатель СПЧ Валерий Фадеев напомнил, что не должны нарушаться базовые права — у человека должна сохраняться возможность отзыва своих данных.
Любую систему можно взломать. Сдавать сегодня биометрию опасно, потому что она идентифицирует человека однозначно, уверена Наталья Касперская.
«Если логин, пароль, имя, фамилию, паспорт и адрес проживания можно сменить, то сменить лицо, отпечатки пальцев и радужку глаза, форму ушей и голос практически невозможно. Это значит, что мы сводим человека в одну точку. К этой единственной биометрии. Как ее будут использовать — не понятно. То, что утечки данных будут, совершенно очевидно, потому что храниться они будут в единой базе», — отметила эксперт. Касперская работает в сфере информационной безопасности более 20 лет и за это время пришла к убеждению, что «нет невзламываемых систем». Все системы так или иначе можно вскрыть. Вопрос, как говорится, в деньгах. «Как ни странно, это не зависит от того, насколько та или иная система защищена. Для преступников важно, насколько данные в ней ликвидны и насколько система большая. Если там миллионы записей, имеет смысл напрягаться. Потому что если украдешь небольшой кусочек, то его потом долго можешь использовать», — уточнила она.
В этом смысле сведение биометрии россиян в единую базу, по ее словам, гигантская ошибка: «Нам говорят, что там будет анонимизация данных. Но при анонимизации все равно используется некий идентификатор, по которому можно восстановить информацию. Вспомним грандиозные утечки последних лет, в том числе медицинских данных, по которым была заявлена анонимизация». Эту анонимизацию делают те же сисадмины с высокими правами в системе, которые потом воруют данные и продают, добавил Игорь Ашманов. По данным экспертов, большая утечка данных в стране — это воровство внутренних сотрудников.
Причем в отсутствие точной привязки к правовым механизмам злоупотребления со стороны «гиперответственных» чиновников на местах, которые станут заставлять соотечественников сдавать биометрию «ради галочки», вопреки воле конкретного человека, вполне возможны. Это уже происходит, подтвердил «Парламентской газете» Игорь Ашманов.
4. "Наталья Касперская: никаких особых способов защиты биометрии нет" (https://aftershock.news/?q=node/1021437)
– Биометрические данные, в отличие от любых других, использующихся для идентификации, являются неотъемлемой частью человека, они у вас одни на всю жизнь. В отличие от используемых сейчас пароля, номера телефона и даже фамилии, вы не можете при утечке или компрометации данных сменить свое лицо, сетчатку, фигуру, отпечатки пальцев, форму ушей. То есть это сверхчувствительные, но при этом неизменные данные, которые достаточно украсть один раз навсегда.
Моя личная рекомендация: ни в коем случае не сдавать биометрические данные, не вестись на "удобство". Их практически с гарантией украдут, продадут, "сольют". Давайте нам сначала объяснят: как эти данные планируется защищать, в том числе от своих сотрудников. При этом мне лично непонятно, а зачем вообще нужно использование биометрии?
– Но в будущем ИИ будет использоваться все больше. Как вы к этому относитесь?
– Да, некоторые чиновники нас прямо загоняют в сторону цифровизации. Но они не до конца понимают, что помимо всяких прочих рисков есть следующий, структурный: в стране появится новая теневая власть, а именно, власть людей, создающих и использующих цифровые системы – айтишников, цифровых клерков, их начальников.
5. Видео. Доходчиво... Рекомендую посмотреть.