Соответствующее постановление правительства № 1279 «Об утверждении Правил идентификации пользователей информационно-телекоммуникационной сети „Интернет" организатором сервиса обмена мгновенными сообщениями» вступило в силу 5 мая 2019 года. Мессенджеры получают обязанность подтверждать данные о номере пользователя, направляя запрос оператору сотовой связи. Даже журнал «Радиочастотный спектр», близкий к регуляторам, написал критическую статью. Пробелов море.
Этапы идентификации пользователей через мессенджер
Цифровой профиль человека
Это непубличная концепция ЦБ, которую вовсю обсуждает интернет-сообщество. В начале декабря Наблюдательный совет ассоциации «Финтех» (АФТ) под председательством первого заместителя председателя Банка России Ольги Скоробогатовой одобрил концепцию проекта «Цифровой профиль» и его дальнейшую реализацию. Над проектом будут работать банки – участники ассоциации, ЦБ и Минсвязи. Документ в публичном доступе так и не появился, но, судя по сообщениям СМИ, прочитали его многие.
Цифровой профиль – по концепции – состоит из трех компонентов: основные данные о человеке – паспортные, СНИЛС, ИНН; ссылки на его данные из прочих государственных систем; реестр согласий на обработку его персональных данных. Планируется интеграция цифрового профиля с процедурами сбора биометрических персональных данных, что позволит гражданам обращаться в банк удаленно и получать финансовые услуги без личного визита в отделение.
Но пока весь проект «заточен» под нужды госструктур и банков. Хотя создатели концепции говорят, что и человеку от этого станет проще – он сможет еще больше услуг получать онлайн. В перспективе ожидается связка цифрового профиля с порталом «Госуслуги»: биометрия станет дополнительным средством идентификации при получении государственных услуг онлайн. Еще один момент – синхронизация сбора биометрических персональных данных между различными ведомствами и обеспечение их защищенного хранения. Важнейший вопрос – как бизнесу получить доступ к цифровому профилю (и вообще ждет ли кто-то бизнес в этом проекте)? Об этом на телеканале РБК рассуждают руководитель компании IDX Светлана Белова и директор по развитию АНО «Цифровая экономика» Георгий Грицай. Ведущий – Кирилл Токарев.
Проект «Единая биометрическая система» (ЕБС) буксует
Весь декабрь на нас сыпались апокалиптические новости о Единой биометрической системе (ЕБС). (Для тех, кто не в курсе: в системе будут храниться биометрические слепки (образцы) лица и голоса граждан РФ, сдавать биометрию граждан – дело добровольное.) По этим эталонным образцам будет проводиться удаленная идентификация клиентов банков с применением биометрической аутентификации. Им станут доступны услуги, за которыми раньше надо было обязательно идти в отделение или вызывать курьера (как у Тинькофф банка), например открытие счета, депозита, в перспективе – кредита. Процесс применения биометрии должен был стать массовым, однако реальное использование ЕБС столкнулось с множеством технических и правовых барьеров. Проект был торжественно запущен в середине года. Но база слепков пополняется с трудом. Что же случилось?
Сначала «КоммерсантЪ» написал о том, о чем шептались в кулуарах уже с весны. Жесткие технологии защиты информации в ЕБС (на так называемом уровне КВ, гостайны), которые прописала ФСБ, исполнить невозможно. Нет отечественного криптографического оборудования, которое может обеспечить защиту собранных у граждан биометрических данных по классу КВ. Работа с биометрическими персональными данными требует применения сертифицированных средств защиты, однако биометрические системы такого уровня в России пока не производятся в необходимых объемах. Да и методика внедрения этой технологии до сих пор не одобрена. Кроме того (добавим от себя), «уровень КВ» никак не состыкуется с правилами магазинов мобильных приложений Google Play и AppStore. Ну не принимают они программы с российской криптозащитой! И если для приложений на базе Android можно еще найти какие-то решения, то для владельцев IPhone удаленная биометрическая идентификация будет недоступна. Отсутствие мобильного доступа в ЕБС критически снижает практическое использование биометрии массовым пользователем. Выход один: нашему Центробанку, идейному вдохновителю всей этой ЕБС, надо как-то договариваться с ФСБ.
Предоставление биометрических данных – дело добровольное. Пока что
Следующую мину подложил Сбербанк – лидер по биометрии в российской финансовой отрасли, который должен был, как все надеялись, стать корневым поставщиком слепков лица и голоса для удаленной идентификации. Оказывается, Сбербанк так и не начал передавать биометрию в ЕБС! Он снимает ее только для внутренних нужд. Ресурсы для биометрической идентификации личности у него самые большие в России. Инфраструктура сбора биометрии клиентов охватывает тысячи отделений банка, где уже установлены биометрические системы для проверки и регистрации биометрии посетителей. Предправления Сбербанка Герман Греф сказал, что в биометрической базе Сбербанка находятся уже «миллионы» образцов биометрических данных клиентов. Но делиться ими наш цифровой лидер ни с кем не хочет. Решение не передавать данные в базу ЕБС объясняется, в том числе, опасениями по поводу конфиденциальности биометрических персональных данных и потенциальными рисками при работе с центральным хранилищем.
Эксперты отмечают, что успешная интеграция концепций «биометрия и ЕБС» возможна только при условии четкого разделения ответственности между участниками системы. Роль оператора ЕБС должна быть законодательно закреплена, как и процедуры регистрации биометрии в отделениях банков и многофункциональных центрах. Современные биометрические технологии уже позволяют обеспечить высокую точность идентификации, однако их массовое применения биометрии тормозится не столько техническими, сколько организационными факторами. Между тем, единая биометрическая система могла бы стать прорывом в цифровизации финансового сектора и государственных услуг, если бы все заинтересованные стороны пришли к консенсусу относительно стандартов работы с биометрическими персональными данными.
Интересно, что аналогичные проблемы возникают и в рамках интеграции портала «Госуслуги»: биометрия там также внедряется медленнее запланированного. Граждане опасаются передавать свои образцы лица и голоса, несмотря на заверения властей о многоуровневой защите. Фактически единая биометрическая система пока работает лишь в пилотном режиме, охватывая ограниченное число участников. При этом биометрические системы продолжают совершенствоваться: внедряется распознавание по радужной оболочке глаза, по рисунку вен на ладони и другие биометрические технологии, которые в будущем могут дополнить единую биометрическую систему и повысить надежность идентификации.
Еще один аспект – обучение граждан работе с биометрической аутентификацией. Многие потенциальные пользователи просто не понимают, как происходит процесс сдачи биометрических персональных данных и зачем это нужно лично им. Информационная кампания о преимуществах единой биометрической системы могла бы ускорить ее внедрение, однако пока основной акцент делается на технической стороне вопроса, а не на разъяснительной работе. Специалисты по биометрии указывают, что без доверия граждан никакая техническая инфраструктура не заработает в полную силу, поэтому прозрачность процессов обработки и хранения биометрических данных – залог успеха всего проекта единой биометрической системы.
Как работает черный рынок персональных данных
Этот вопрос исследовал The Bell. В среднем за год хакеры воруют больше миллиарда аккаунтов. Главная цель взломов – оптовая торговля большими данными. Но это не значит, что вашими аккаунтами не торгуют и в розницу: любые персональные данные можно купить в даркнете, а цены на данные конкретного человека начинаются от $3, показало расследование The Wall Street Journal. Зачем? Украденная информация используется для изготовления поддельных паспортов и других фальшивых удостоверений личности – украденные данные накладываются на сделанные в редакторе фотографии. Противоядие есть – это удаленная проверка подлинности документов. Особую опасность представляет утечка биометрических персональных данных, поскольку в отличие от паролей, которые можно сменить, биометрические характеристики человека неизменны, и их компрометация создает долгосрочные риски для владельца.
Информацию о передвижениях человека собирает его собственный смартфон
Невероятной красоты по оформлению статья в New York Times о том, как компании собирают информацию о геолокации пользователей и широко продают ее без зазрения совести. В принципе тема не нова. Наш смартфон постоянно ведет обмен информацией не только с навигационными системами, но и с кучей собственников приложений, установленных на нашем гаджете, которые скачивают его местоположение себе в базу, тем более о достоверности данных можно не беспокоиться – спутник не врет.
Но когда видишь картинки с треками конкретных людей, становится не по себе. Иллюстрации настолько наглядны, что можно их рассматривать, даже имея весьма скромные познания в английском. Сочетание геолокационных данных и биометрических персональных данных в руках злоумышленников может создать полный профиль человека, включая его привычки, маршруты передвижения и даже состояние здоровья.
