Регулирование / Статьи
информбезопасность технологии
16.8.2021

Вывести на чистый профиль

Бизнес могут обязать собирать биометрию сотрудников и клиентов

В России с 2022 года планируют собирать биометрию для идентификации водителей такси и пользователей каршеринга. А также у граждан при входе в различные организации и во время общественно-правовых собраний. Эксперты считают, что внедрение контрольных технологий повысит стоимость услуг. Также непонятно, кто будет распоряжаться такими данными и регулировать их использование. Государство же планирует за счет предложенных мер нарастить базу биометрии и расправиться с рынком поддельных аккаунтов для каршеринга и такси.


СУТЬ ПРЕДЛОЖЕНИЯ

По оценкам экспертов, доля левых аккаунтов, продаваемых нелегально в даркнете для аренды машин, составляет около 20-25 процентов. При этом число пользователей краткосрочной аренды автомобилей достигло 1 млн человек, по данным департамента транспорта Москвы. Похожая ситуация на рынке водительских лицензий такси, когда по одному документу ездит несколько человек. Минцифры решило бороться с этими цифровыми преступлениями путем контроля пользователей через их биометрию, которую почти невозможно подделать.

Соответствующий проект постановления правительства РФ Минцифры опубликовало 7 августа на сайте нормативно-правовых актов. Ожидается, что в ближайшее время начнется этап общественного обсуждения этой инициативы.

В ведомстве предлагают утвердить сбор и обработку биометрии с 1 января 2022 года

Этот документ вызвал много вопросов у экспертов. В частности, вместе с таксистами и каршероводами запоминать лица хотят у всех входящих в организации и участвующих в любых общественно-правовых собраниях. По факту речь идет о тотальном сборе биоданных. Об этом гласят пункты в) и г) постановления:

в) осуществление прохода на территорию организаций, организаций финансового рынка посредством системы контроля и управления доступом на территории данных организаций;

г) участие в собрании участников гражданско-правового сообщества.

Член комитета по госстроительству и законодательству Госдумы Вячеслав Лысаков в беседе с радиостанцией «Говорит Москва» раскритиковал эту идею. Он считает, что сначала необходимо создать правовую базу.

Такие подзаконные акты, к сожалению, появляются при отсутствии адекватного нормального комплексного закона, регулирующего таксомоторную деятельность, отметил депутат.

Вячеслав Лысаков, Госдума:

– В отсутствие федерального законодательного регулирования мы видим вот такие попытки поставить под контроль такси. Особенно старается это сделать московская администрация, которой интересно контролировать все денежные потоки. На самом деле там никакой заботы о безопасности и о чем-то другом нет. Пару лет назад требовали с таксистов давать всю информацию, в том числе представляющую коммерческую тайну – все маршруты. С какой стати о вашем передвижении кто-то третий должен знать? Есть закон о персональных данных (ПД). Без моего согласия никто не имеет права передавать информацию обо мне.

Депутат считает, что данными могут торговать, нанося ущерб таксистам: «Пока закона нет, это все будет работать на дестабилизацию рынка, создание ажиотажа, уменьшение предложения и повышение стоимости поездки».

С ним согласен член общественного совета при Минтрансе РФ Андрей Попков. Он сообщил изданию URA.RU, что

стоимость поездок на такси и каршеринге в России может значительно вырасти

Минцифры на запрос RSpectr не дало своих комментариев по проекту на момент публикации.


ДОСТУП ДЛЯ ИЗБРАННЫХ

Но до сбора биоданных дело может просто не дойти из-за высоких требований, говорят эксперты. Совершенно точно службы каршеринга не будут в состоянии добавлять новых людей в Единую биометрическую систему (ЕБС), что значительно сужает возможный потенциал применения, сообщил RSpectr генеральный директор Института исследований интернета (ИИИ) Карен Казарян. «В настоящий момент для применения ЕБС существуют весьма высокие требования к юрлицам, в том числе относительно информационной безопасности, размера активов и так далее», – пояснил эксперт. По его словам, судьба биометрических систем для контроля доступа в помещения сейчас находится под вопросом. Вместе с тем финансовые организации и так подключены к ЕБС, так что, может быть, подобная интеграция будет оправдана.

Возникает вопрос – кто же будет оператором ЕБС? И здесь эксперты единодушны в прогнозах.

Карен Казарян, ИИИ:

– В России не используются коммерческие системы биометрической идентификации из-за чрезвычайно высоких регуляторных требований. Так что это точно будет ЕБС «Ростелекома».

Биометрические данные должны храниться и обрабатываться в соответствии с №152-ФЗ «О персональных данных», а для этого требуются специально аттестованные центры обработки. Базы биоданных будут принадлежать «Ростелекому» как провайдеру услуг ЕБС, высказал предположение директор департамента решений на базе искусственного интеллекта компании Oberon Владимир Борисов.

С 1 января 2022 года все организации, использующие биометрию для идентификации и аутентификации, должны пройти аккредитацию. В разговоре с RSpectr управляющий партнер консалтингового агентства «Емельянников, Попова и партнеры» Михаил Емельянников напомнил, что параллельно с рассматриваемым проектом Минцифры подготовило постановление правительства РФ о порядке аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических ПД физических лиц, и (или) оказывающих такие услуги.

И там достаточно жесткие условия:

  •  доля участия в уставном капитале иностранных лиц не должна превышать 50%;
  •  минимальный размер собственных средств (капитала) составляет не менее 50 млн рублей и обеспечивается ответственность за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации с использованием биометрических ПД, в сумме не менее чем 50 млн рублей.

Плюс этим организациям необходимо выполнить очень жесткие требования по защите био- и иных персональных данных, нейтрализации угроз безопасности, определенных Минцифрой, и использованию для идентификации технических средств.

Михаил Емельянников, «Емельянников, Попова и партнеры»:

– Абсолютное большинство компаний, организовавших пропуск на охраняемую территорию по биометрическим параметрам, объединений, проводящих свои собрания дистанционно, таксопарков, каршеринговых компаний и агрегаторов такси этим требованиям удовлетворять не будет.

Это значит, что

для проведения биометрической идентификации они будут пользоваться услугами сторонних организаций

«Похоже, что этим займутся системообразующие банки с российским, в том числе государственным капиталом, куда и будут стекаться все биометрические данные, а оттуда плавно перетекать в ЕБС. Соответственно, доступ к ним получат гиганты, оказывающие услуги идентификации, и те, кто имеет такие права в отношении данных в ЕБС», – прогнозирует М.Емельянников.

К.Казарян напоминает, что для применения биометрии организация должна:

  • получить аккредитацию;
  • подключиться к ГосСОПКе и выполнить требования по безопасности, предъявляемые к критической информационной инфраструктуре (КИИ);
  • выполнить требования по безопасности в соответствии со 152-ФЗ на основе модели угроз.

«Это очень нетривиальный набор условий, так что на текущий момент фактически постановление не дает ничего», – резюмирует директор Института исследований интернета.


СИГНАЛ СВЫШЕ

Директор НП «Русское биометрическое общество», председатель ТК 098 «Биометрия и биомониторинг» Данила Николаев предлагает смотреть на концепцию проекта более комплексно.

«Важно отметить, что данное постановление не ограничивается применением только ЕБС для идентификации и (или) аутентификации, а предполагает использование также ИС организаций. Поэтому будет происходить планомерный рост как ЕБС, так и биометрических баз данных ИС организаций», – рассказал RSpectr Д.Николаев. Он также считает, что постановление ни в коем случае не заставляет собирать биометрию и устанавливать оборудование всем предприятиям.

А.Емельянников подтверждает, что использовать исключительно биометрическую идентификацию закон не обязывает. Более того, часть 18.21 ФЗ «Об информации, информационных технологиях и о защите информации», вступающая в силу с 1 января 2022 года, прямо предусматривает, что отказ физического лица от прохождения идентификации и (или) аутентификации с использованием его биометрических ПД не может являться основанием для отказа в обслуживании.

В то же время эксперт обращает внимание, что

постановление Минцифры – это сигнал производителям биометрических систем идентификации

Они теперь должны удовлетворять требованиям министерства, которые пока формально определены только для изображения лица и голоса, используемым в ЕБС, и должны в последующем согласовываться с ФСБ России. Все организации, независимо от форм собственности, решившие внедрить биометрическую идентификацию на входе или удаленно провести собрание, должны играть по правилам, установленным государством и выполнять его требования.

Но пока нет технических нормативов, чтобы оценить уровень затрат на внедрение.

Данила Николаев, «Русское биометрическое общество»:

– К сожалению, в постановлении отсутствуют требования к допустимым эксплуатационным характеристикам (ошибкам первого и второго рода) работы систем для каждого сценария использования и типам биометрического распознавания (идентификация/верификация). А также не приведены требования к стойкости систем к различным видам атак на биометрическое предъявление.

По факту большинство фирм уже готовы к сбору данных. В.Борисов напомнил, что

примерно половина компаний в России оснастили свои СКУДы* биометрической идентификацией

Владимир Борисов, Oberon:

– На наш взгляд, суммарный объем всех биометрических БД в организациях превышает объем данных ЕБС. С помощью них предприятия могут решать широкий спектр задач. Мы видим, что на рынке все больше финансовых организаций предоставляют сервисы, опираясь на Единую биометрическую систему.

В то же время для бизнеса новые правила означают лишь повышенную регуляторную нагрузку и затраты на закупку специализированного оборудования. «Пользователи будут недовольны необходимостью отдавать свои данные приложению. Кроме того, для успешного сравнения сначала нужно сдать биометрию через МФЦ», – отмечает в разговоре с RSpectr преподаватель Moscow Digital School Олег Блинов. Единственный плюс – компании могут рассчитывать на снижение числа случаев мошенничества с подложными документами, потому что в цепочке проверок возникает еще государство.

* СКУД – система контроля и управления доступом.

Изображение: RSpectr, Freepik.com

ЕЩЕ ПО ТЕМЕ:

Подбросьте до цифровизации
Почему авторынок передними колесами въехал в онлайн, а задними – забуксовал у офлайн-дилеров


Еще по теме

Что нужно знать родителям о влиянии искусственного интеллекта на детей

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании