Биометрию распространят на госуслуги

Риски массового внедрения технологии распознавания лица и голоса

Граждане России смогут получать электронные сервисы по профилю голоса и изображению лица. Соответствующие нормативные акты вскоре обещают разработать. Удаленная идентификация с помощью физических параметров человека уже работает в банковском секторе при открытии счетов. Эксперты RSpectr считают, что решение распространить Единую биометрическую систему (ЕБС) на сегмент госуслуг преждевременно. Риски мошеннических действий в финансовой сфере досконально не изучены, а механизм ответственности за возможные утечки данных не разработан.


ЗАКОНОПРОЕКТ И ТЕСТЫ – ОСЕНЬЮ

Изменения в законодательство РФ, которые позволят использовать биометрическую идентификацию при получении государственных услуг, будут внесены в Госдуму осенью, сообщил президент «Ростелекома» Михаил Осеевский в сентябре 2019 года на Восточном экономическом форуме. Он отметил, что это решение правительства.

В июле на встрече с премьер-министром глава «Ростелекома» рассказывал, что тестирование проекта пройдет в Московском регионе до конца года.
Этот пилот находится в работе, о его запуске будет сообщено дополнительно, уточнила для RSpectr представитель департамента внешних коммуникаций ПАО «Ростелеком» Ольга Самардакова.

В описании национальной цифровой платформы ЕБС, которую оператор разработал и запустил (совместно с ЦБ и Минкомсвязью) в июле 2018 года, помимо финансов, действительно, значатся еще пять сфер применения:

  • ритейл;
  • здравоохранение (телемедицина);
  • образование (дистанционное обучение);
  • e-commerce;
  • госуслуги.

«Использование биометрии в интересах граждан – пользователей единого портала государственных услуг (ЕПГУ) – это закономерное продолжение инициативы по подключению банков к ЕБС», – констатировал в разговоре с RSpectr заместитель начальника отдела консалтинга Центра информационной безопасности компании «Инфосистемы Джет» Николай Антипов. По его словам, это тем более логично, что и Единая биометрическая система, и портал госуслуг используют для удостоверения личности Единую систему идентификации и аутентификации (ЕСИА).

В «Ростелекоме» отмечают, что практика применения биометрии для получения госсервисов распространена в некоторых странах, например, в Аргентине и Индии.

В крупнейшей в мире системе распознавания по физическим параметрам – индийской Aadhaar – зарегистрировано более 80% населения страны


ПОЧЕМУ СТОИТ ПОДОЖДАТЬ

Внедрять биометрическую идентификацию в госуслуги – идеологически правильно, но преждевременно. Так отреагировал на заявление М. Осеевского глава Минкомсвязи Константин Носков. Министр объяснил, что стоит посмотреть, как технология будет массово работать в финансовом секторе.

За подобным опытом можно будет наблюдать уже в следующем году. До конца 2019 года все российские банки должны присоединиться к проекту. Регистрация в ЕБС станет доступной в каждом отделении.

ЦБ создал интерактивную карту страны, на которой отмечены офисы, где уже принимают биометрические профили.

По информации пресс-службы «Ростелекома» (данные на 15 июля 2019 года),

удаленную идентификацию можно пройти в 156 банках, отделения которых расположены в 450 городах России

Бизнес-консультант по безопасности Cisco Systems Алексей Лукацкий также считает приход ЕБС в госуслуги преждевременным. Эксперт говорит, что проект национального масштаба требует более детальной проработки. В беседе с RSpectr А. Лукацкий отметил, что сразу «возникнет слишком много проблем междисциплинарного характера – на уровне отношений регуляторов, разработки процессов, изменения законодательства, решения конфликтных ситуаций…»

Одним из препятствий может стать недоверие пользователей госуслуг, считает Н. Антипов. По его мнению,

клиенты банков неохотно сдают биометрические образцы во многом из-за отсутствия исчерпывающей информации о применяемых мерах защиты

Для масштабной реализации инициативы должны быть проработаны нестандартные сценарии. Пока на финансовом рынке уделяется больше внимания безопасности на уровне инфраструктуры, рассказал А. Лукацкий.

Алексей Лукацкий (Cisco Systems):

– Если эксперты спрашивают о возможностях обхода биометрических систем, например, с помощью технологии deepfake (подмена лица или голоса), представители регуляторов не отвечают и сразу пасуют. Молчание сопровождает и вопросы про то, как система будет распознавать людей с различными болезнями, например, параличом Белла, при котором парализуется лицевой нерв и половина лица не двигается вообще, а речь становится непонятной, что делает невозможной идентификацию человека ни по изображению лица, ни по голосу.


БИОМЕТРИЯ В МФЦ: ПРОТИВ И ЗА

Если сегодня подключить многофункциональные центры (МФЦ) к биометрии, говорить о какой бы то ни было безопасности бессмысленно, сообщил на профильном форуме в сентябре генеральный директор компании «АйДиСистемс» Андрей Федорец. Эксперт заявил, что знает людей, которым создают подтвержденные учетные записи на портале госуслуг по мобильному телефону. Он объяснил недочеты тем, что у МФЦ нет такого мощного контролирующего органа, как ЦБ.

А. Лукацкий прогнозирует рост числа случаев мошенничества при применении биометрии для широкого спектра электронных услуг, связанных с большими деньгами. Это может быть, к примеру, кража квартиры или земельного участка. В итоге гражданин останется один на один с сайтом, чьего владельца он не знает, к которому непонятно, как предъявлять претензии. Нужна четкая процедура разбора таких инцидентов, говорит эксперт.

Алексей Лукацкий (Cisco Systems):

– При внедрении биометрии в госуслуги никто из участников процесса не захочет брать на себя ответственность в разрешении конфликтов, которые могут возникнуть в результате тех или иных мошеннических действий; или эта ответственность будет размыта. Даже сейчас, в рамках ЕБС, несмотря на то, что все биометрические данные хранятся у государства, перед клиентами отвечают только финансовые организации.

При присоединении МФЦ к процессу сбора физических параметров на них будут распространяться все те же требования по информационной безопасности (ИБ), которые действуют для участников ЕБС, заявил представитель проектного офиса «ЕБС» ПАО «Ростелеком» Дмитрий Улыбин. К примеру, многофункциональным центрам придется подписывать образцы СКЗИ* соответствующего класса и выполнять условия по защищенности рабочих мест, конкретизировал эксперт.

При внедрении электронных удостоверений личности, планируемом в 2020 году, участвующие в проекте ведомства – МВД, ФСБ и др. – будут обеспечивать довольно серьезный надзор за всеми процессами. При этом МФЦ, несомненно, оснастят специальными рабочими местами с криптографической защитой, сообщил директор по цифровой идентичности ПАО «Ростелеком» Иван Беров.

Анатолий Сазонов, ведущий специалист блока консалтинга компании «Инфосекьюрити» (входит в ГК Softline):

– Персональные данные (ПД) пользователей госуслуг хранятся в базе ЕСИА, имеющей аттестат соответствия ФСТЭК по требованиям безопасности конфиденциальной информации и реализованной на решениях, сертифицированных по требованиям ФСБ. Таким образом, защита ПД на серверах ЕСИА и в МФЦ уже давно реализована на достаточно высоком уровне, что гарантирует и соответствующую защиту собираемой биометрии.


СЛАБЫЕ МЕСТА

Чтобы в полной мере соблюсти требования ИБ для идентификации получателей госуслуг, нужно начать с оценки возможных рисков, причем меры защиты должны быть направлены на их минимизацию, рассказал представитель «Инфосистемы Джет», а именно:

  • защита должна обеспечиваться на всех этапах обработки данных: при сборе, передаче, хранении в ЕБС;
  • используемое для удаленной идентификации и аутентификации мобильное приложение не должно содержать уязвимостей, позволяющих скомпрометировать биометрические образцы;
  • обязательны мероприятия по повышению осведомленности пользователей в сфере ИБ.

Компьютеры и мобильные устройства получателей госуслуг являются самым слабым звеном, согласен А. Сазонов. Для безопасной работы с ЕПГУ, напомнил он читателям RSpectr, пользователь должен соблюдать основные правила ИБ:

  • устанавливать обновления ПО;
  • не посещать сайты сомнительного содержания;
  • регулярно обновлять антивирусные базы;
  • не передавать личные токены (средства авторизации) третьим лицам;
  • не заходить на сайт портала из сомнительных мест.

Сегодня на рынке присутствуют единицы смартфонов, которые имеют встроенную криптографическую защиту и способны защитить биометрические данные при удаленном сборе. Вопрос о развитии этого направления индустрия и регуляторы проработают в ближайшее время – требуется определить модель нарушителя, актуальные угрозы и др. По словам вице-президента, директора департамента ИБ Тинькофф Банка Дмитрия Гадаря, для таких мобильных устройств наверняка будут снижены требования к классу защиты, но применены компенсационные меры, например, замкнутая программная среда.

Стоит отметить, что законопроект, требующий изменения инфраструктуры банков – участников ЕБС, включая IT-доработки в части ИБ, принят Госдумой в первом чтении летом 2019 года. Документ также наделяет финансовые учреждения правом использовать информацию из ЕБС для проведения любых банковских операций с клиентами. Кстати, «Ростелеком» анонсировал появление прототипа решения для оплаты товаров и услуг по изображению лица уже в октябре 2019 года.


ТИПОВЫЕ РЕШЕНИЯ

Общих требований по ИБ к сбору биометрических данных и последующей верификации клиентов пока нет. Они должны начать соблюдаться в 38 крупнейших российских банках к 2020 году, заявил заместитель директора – начальник управления методологии и стандартизации ИБ и киберустойчивости департамента ИБ Банка России Андрей Выборнов.

Представитель регулятора напомнил, что

модель угроз и требования к ИБ в ЕБС были сформулированы ЦБ в методических рекомендациях

Российские компании проводят последние согласования с ФСБ и предложат рынку защищенную идентификацию по лицу и голосу уже этой осенью.

7 из 38 банков пытаются самостоятельно реализовать эти требования, остальные ждут типовых решений, уточнил А. Выборнов.

Дмитрий Улыбин («Ростелеком»):

– Завершена разработка типового решения, проведены тематические исследования. Оно соответствует всем методическим рекомендациям. «Ростелеком» находится в финальной стадии получения заключения из ФСБ, с большой вероятностью это произойдет в сентябре.

В Тинькофф Банке самостоятельно разработали техническое задание защиты образцов лица и голоса при помощи компании «КриптоПро». Стоимость проекта сравнима с отраслевыми решениями и оценивается в сумму около 5 млн рублей, сообщил Д. Гадарь.

В «Ростелекоме» обращают внимание, что обмануть биометрический алгоритм очень сложно. Мошеннику гораздо проще и дешевле прийти в банк и выдать себя за другого человека, уверяет разработчик. ЕБС имеет точность распознавания 10 (-7). Это значит, что она пропустит только одного человека на 10 миллионов. С дополнительной связкой с логином и паролем от госуслуг это становится практически невозможным.

* Средство криптографической защиты информации.


ТОЧКА ЗРЕНИЯ

Валерий Конявский, научный консультант ОКБ САПР, зав. кафедрой защиты информации МФТИ:

– Нефть очень удобно перевозить в цистернах. А пиломатериалы – нет. Кажется, это интуитивно понимают все. Но при этом изо всех сил стремятся биометрические методы, разработанные для криминалистики, использовать в цифровой экономике. Нас всех считают преступниками?
Для разных задач нужны разные методы и инструменты, иначе быть беде.

Наши статические биометрические параметры давно накоплены, проанализированы и систематизированы. На каждой ручке двери остаются отпечатки пальцев; исполняя «закон Яровой», операторы фиксируют наш голос; камеры «Безопасного города» непрерывно снимают наши лица. Что стоит подставить эту информацию в поток, передаваемый недоверенным смартфоном?!

Бесконечный массив неизменяемых биометрических данных опасен и сам по себе, но тем более опасен в связи с перспективами, связанными с ЕБС. Чего только стоит предложение осуществлять платеж на основании анализа изображения лица, полученного из видеокамеры!

Для выполнения платежа мало иметь деньги, но еще нужно и хотеть заплатить. Для инициирования любого действия нужно волеизъявление субъекта. Оно подтверждается подписью клиента, или набором пин-кода, или еще каким-то действием, которое никто, кроме него, выполнить не может. Можно ли таким действием считать взгляд в видеокамеру?

Я боюсь, что после реализации такой «инновации» на улицах появится множество «папарацци», встреча с которыми вполне способна будет ощутимо облегчить состояние вашего счета в банке, внедрившем такое новшество.

Для того чтобы широкое распространение ЕБС не обернулось бедой, нужны новые инструменты, созданные специально для применения на недоверенных клиентских устройствах. Такие инструменты разрабатываются на основе новейших (и запатентованных) научных результатов.

Изображение: RSpectr, freepik.com

ЕЩЕ ПО ТЕМЕ:

Сохранить лицо… и голос
Через год все российские банки будут собирать биометрические данные