При перепечатке материалов просим публиковать ссылку на портал Finversia.ru с указанием гиперссылки.
Тема биометрических данных и сбора этих данных у наших граждан постоянно муссируется в СМИ. То затихает, то становится более популярной.
Крым наш
Тема биометрии и всё, что с ней связано, в банковском бизнесе впервые начала активно обсуждаться после известных событий в Крыму. Тогда многие банки, включая Сбербанк, отказывались открывать в Крыму свои филиалы, опасаясь делистинга на Лондонской бирже. Сегодня эти угрозы звучат смешно. Однако десять лет назад депутаты пошли навстречу банкирам и предложили гражданам открывать счета в том же Сбербанке, но дистанционно. Для этого депутаты быстро приняли закон 482-ФЗ, который скреплял эту процедуру уже на законодательном уровне. Для надежной аутентификации будущего владельца счета предложили использовать его голос и фотографию. Сегодня и это у некоторых экспертов вызывает улыбку, однако, тогда было не до смеха. Банки обязали спешно открыть у себя участки по сбору биометрических данных граждан – голос и фотографии – с тем, чтобы желающие могли беспрепятственно и надёжно открывать эти самые счета дистанционно. Участки сбора биометрии банки открыли – по средней цене 6-8 млн руб за точку. Вроде бы, за свой счёт, но опять эти затраты были переложены, как всегда, на клиентов. И вот, уже десять лет как открыли, и все граждане про это знают, но процедура так и не пошла в народ. Народ сдавать данные не хочет.
Справедливости ради отмечу, что и банки принимать биометрию не очень-то рады – зачем им своему уже клиенту помогать открывать счета в другом банке-конкуренте. Как факт, пункты приёма биоданных есть, но до сих пор простаивают – там никого нет. Для того, чтобы они совсем не умерли, ЦБ обязал банки периодически включать оборудование для тестирования его дееспособности, что банки исправно делают и отправляют об этом отчеты наверх.
Инновации наше все
Тема биоданных, тем не менее, не умирает. Новый импульс ей призван придать биоэквайринг, тоже нынче модная тема с ракурсом на финтех, поколение Z и вообще на всех любителей новаций. Уже идёт масса конференций на эту тему, обсуждаются плюсы и минусы технологии. Провайдеры, как всегда, тоже не стоят на месте и активно предлагают свои решения банкам. Хотя особой активности и энтузиазма в этом направлении у банков нет – да, обсуждают, да, комментируют, но конкретики мало. Процессы внедрения и активного использования новой технологии в банковском бизнесе существенно тормозит то, что достаточной клиентской базы в ЕБС – единой биометрической системе – на самом деле нет. Напомним, ЕБС, как детище Ростелекома, призвана с октября прошлого года заменить все имеющиеся на текущий момент биометрические базы сторонних организаций, включая ИТ-компании с камерами видеонаблюдения за жильцами, различного рода ДИТ’ы в крупных городах в регионах и так далее. Заменила ли сегодня ЕБС корпоративные базы данных или нет, все ли сдали эти данные – мы не знаем. У меня такой уверенности, что все сдали свои накопленные данные в ЕБС нет, потому что до настоящего времени владельцы биометрических и персональных данных ими подторговывали – по крайней мере, могли подторговывать, оказывая адресные услуги тем же банкам, например, привлекая в банковские офисы клиентов, которые привязаны по геолокации или по времени нахождения вблизи конкретного банковского учреждения. Однако, подозревать телекомы и похожие организации в том, что они не сдали, конечно, не будем. Пока ясно одно, что судя по пустующим офисам приёма этих данных, в ЕБС данных немного.
Плюсы и минусы биометрии
Наших граждан обмануть сложно, а красочным заявлениям о том, что жить им станет проще, сдав свои слепки, они не очень-то и верят. Тем, кто сомневается в этом, я рекомендую почитать форумы и мнения наших граждан на популярных банковских маркетплейсах. Хотя, конечно, ситуация с биометрией неоднозначная – я её сознательно заострил. Есть и плюсы от ее применения, но минусов оказывается больше. И те, кто уже начал её использовать, об этом хорошо знают.
Скажем, основной тезис о надёжности идентификации на практике оказывается и не столь очевидным. Наиболее пытливым читателям напомню, что в биометрии есть ошибки первого и второго рода, а настройка системы должна быть такой, чтобы на контролируемый объект не прошел биометрически похожий на вас субъект, одновременно, при этом система вас всегда пропускала как подлинного владельца своей биометрии. Поэтому настройщикам биометрической пропускной системы надо гибко проскочить между этими двумя ошибками – как между Сциллой и Харибдой. На практике этого достичь не всегда просто и, скажем, если сотрудник предприятия проходит проходную зимой, в очках, то при идентификации по радужке глаза система не всегда правильно срабатывает, а если пальцы, скажем влажные – отпечатки идентифицировать тоже непросто – и это мы даже иногда наблюдаем на таможне, ну, и так далее. Что касается удобства и быстроты, на самом деле, и это тоже умозрительно. Например, если вы показываете лицо на камеру и «платите улыбкой» в ТСП, то это ничуть не быстрее, чем оплатить скажем, NFC или обычный картой.
Апологеты биометрии также заявляют, что жить станет легче потому, что не надо запоминать сложные пароли и коды. Тоже не так. Напомню, сегодня у нас пароли никто не запоминает и на бумажке не хранит – всё подстановки по месту делает специальный сервис паролей в браузере – включая доступ к банковским приложениям и карточному счёту.
Ну и в завершение ключевой тезис: сторонниками биометрии утверждается о снижении риска мошенничества, дескать, биометрические данные сложно подделать они трудны для использования в несанкционированных действиях и так далее. Но это тоже, увы, фейк: нам уже много раз демонстрировали фото отпечатков пальцев, снятых с фужера на публичных мероприятиях, и самих известных личностей, оставивших эти отпечатки. Про голос вообще упоминать не буду – даже не у слишком публичных личностей голос легко копируется, а теперь даже и фальсифицируется силами искусственного интеллекта. Тоже примеров много. Это что касается «плюсов» биометрии.
Сухой остаток
Ну, а минусы остались – их никто не отменял, это возможность утечки чувствительных данных – они могут подвергаться угрозам, особенно, при атаках. Поэтому данные могут впоследствии использоваться без согласия их владельца. Самое же главное – это «родовые» проблемы биометрии – сложность замены данных при потере или компрометации. Если биометрию скомпрометировать, то восстановить надёжность её использования задача почти не решаемая. В отличие от классического пароля их нельзя изменить – изменить свой голос или геометрию лица невозможно. В числе недостатков остались и «мелочи» уже технического характера – это проблемы доступа с веб-камеры на ноутбуке или подобных устройств.
Как зайти на те же госуслуги, если биометрия – это единственный способ входа?
С биометрией вы попадаете в тупик.
Для чего так активно нам предлагают сдавать биометрию я даже не подозреваю, может, хотят создать аналог данных имеющихся в МВД? Может и для престижа отрасли – мы часто говорим о том, что в России сильно развит финтех. Может, для того, чтобы получить фотографии мошенников и удобно выявлять подозрительные финансовые операции? Ответа у меня нет.
Шаг вперед и два назад
Напомню, единая государственная цифровая платформа для работы с биометрией начала развиваться с 2018 года по инициативе Центрального банка и минцифры. Все предлагалось делать на добровольной основе. Считается, что любой несогласный со сбором своих данных может убрать «галочку» в настройках профиля госуслуги в разделе «Биометрия» и данные его в ЕБС пропадут. Так ли это на самом деле – мы никогда не узнаем, но у меня на этот счёт опять серьёзные сомнения, потому что, когда принимали 152-ФЗ, возникала похожая ситуация по отзыву согласия – но в отношении уже привычных персональных данных – ФИО и прочее. Тоже нашим гражданам объяснили, что они смогут убрать свои ПД, отказать в доступе к ним, стереть, удалить, ну и так далее. Особенно, дело касалось банковских транзакций и хранилищ банков. На такие пожелания банки ответили честно, что ничего они задним числом удалять из хранилищ не будут – просто потому, что дебет с кредитом не сойдутся. Так про персональные данные честно и сказали. Я думаю, что биометрия, которая также будет использоваться для идентификации и авторизации при проведении транзакций нашими банками удаляться тоже не будет. Тут я даже уверен.
Для чего весь сыр-бор и так ли нужна биометрия клиентам в части сервиса?
Возможности стандартной биометрии – они не впечатляют: можно оформить карточку болельщика и проход на стадион, заключить договор на оказание услуг связи, оплатить вход в метро, ну, и также предлагается авторизоваться на госуслугах – как дополнительный способ входа и всё. Конечно, есть усиленная сдача биометрии – когда надо явиться в тот же банк лично. Для чего эта опция? Опять же, чтобы открыть банковский счёт дистанционно, оформить потребкредит, выдать дистанционно электронную подпись физлица. Все перечисленные услуги достаточно значимы для гражданина, риски клиенты оценивают, поэтому слепки и не сдают. Понятно почему.
Прогнозы и перспективы
В части оценки перспектив сбора биометрии, обращу внимание на опыт западных коллег. Которые теперь уже и не коллеги. На самом деле, конкретных проблем биометрии и утечек они озвучивают еще больше. Напомню, и они об этом часто сообщают публично – были огромные утечки, как в хранилищах, так и в нескольких известных социальных сетях, не буду их называть. Пропали и были скомпрометированы огромные объёмы информации – десятки миллионов записей, включая не только дату рождения, но и вероисповедание, тип устройств, используемых для доступа и проч. Конечно, информация в этих сетях была не финансовая, однако, весьма полезная для последующей аутентификации и идентификации пользователей в атаках методами социальной инженерии. Напомню, это все в той самой социальной инженерии, которая и у нас расцвела и не собирается никак исчезать.
А в будущем у нас маячат на горизонте все более серьезные атаки по краже личности в целом – так называемый, identity theft, кража личности. До сих пор в дискуссиях часто считается, что персональные данные украсть – это для того, чтобы взять кредит на подставное лицо или что-то подобное. На самом деле, угрозы здесь более серьезные и «многогранные», а использование «украденных» цифровых личностей гораздо шире. Например, в текущих условиях, это те же террористы – которые у нас уже появились – этим они могут легализовывать происхождение преступных средств. И это не фантазии. Например, после события 11 сентября сразу было установлено: примерно 30% финансовой поддержки террористы получили за счёт «ненадлежащего благотворительного пожертвования». «Ненадлежащие» пожертвования может совершить украденная цифровая личность, имеющая полный набор атрибутики цифрового профиля, и все это уже реальная угроза, увы.
В недружественных странах единичная кража личных данных считается преступлением, наказуемым лишением свободы на срок до двух лет, а за хищение в террористических целях срок увеличивается до 5 лет. У нас наказания в части пропажи персональных данных тоже собираются усиливать – грядут оборотные штрафы за утечки в 3-4%, обсуждается наказание в виде лишения возможности занимать должность директора по ИБ на 10 лет – это уже по части лиц, допустивших утечки. Но здесь подчеркну момент – кража личности, это не обязательно массовая утечка, это чаще точечная атака, и за воровство этой личности у нас конкретного наказания до сих пор нет.
P.S. Ну, а что с собственно с самой ЕБС? Так ли уж совсем не нужна и не пригодится нам в будущем? Думаю, шансы ЕБС стать полезной стране сильно бы возросли, если бы ее (вместе с ЕСИА) инициаторы позиционировали, в первую очередь, не как систему управления биометрией и платформу удаленной аутентификации, а как федеральный реестр субъектов – участников цифровой экономики. И задача актуальна и место вакантно.
обсуждение