29 сентября 2022 558
Единая биометрическая система появилась в 2019 году, однако до сих пор не получила широкого распространения. В марте 2021 года Минцифры обещало за два года наполнить её слепками 70 млн россиян, но граждане не спешили делиться своей биометрией с государством и к началу 2022 года в ЕБС было лишь 236 тысяч слепков.
Чтобы исправить эту ситуацию, банки, которые начали собирать биометрию задолго до появления ЕБС и уже сконцентрировавшие к тому моменту десятки миллионов слепков, на законодательном уровне обязали передавать всю биометрию в ЕБС с уведомлением клиентов, но без их согласия.
Тогда же стала ясна другая проблема — слепки, которые собирали банки, в 90% случаев не подходили под требования, предъявляемые к ЕБС. Частично это объясняется невыполнением требований национальных стандартов в области биометрии, в том числе по форматам обмена, качеству изображения и порядку проведения испытаний, объясняет преподаватель Академии Информационных Систем, Василий Мамаев
Вместо удаления некачественных слепков власти смягчили требования к ним.
Столь рьяное желание правительства наполнить ЕБС вызывает немало вопросов со стороны экспертов. Зачем вообще нужна такая база недавно публично интересовался даже сенатор Андрей Клишас.
В дальнейшем функции системы стали расширять и на другие, нефинансовые сферы. ЕБС стали использовать в рамках пропускного режима на некоторых правительственных объектах, говорит эксперт, она пригодилась в пилотном проекте по участию в судебных заседаниях по видеосвязи и в дистанционном обучении. Её также можно использовать для оказания нотариальных услуг, при оформлении электронных сим-карт (eSIM) или для бесконтактной оплаты проезда по лицу в столичном метро.
Впрочем, эксперт по информационной безопасности, преподаватель Академии Информационных Систем Сергей Боронин, полагает, что удобства, которые граждане могут приобрести от использования ЕБС в повседневной жизни не столь существенны — рисков это создает куда больше.
С одной стороны, использование биометрии полезно для правоохранительных органов, так как помогает выслеживать преступников или террористов, считает Боронин, «однако такая система в теории может использоваться и для контроля за перемещениями граждан».
Чревато это и появлением новых мошеннических схем. Если сейчас злоумышленник должен знать пароль от карты или подкупить кого-то, чтобы провернуть сделку без участия человека, то в случае с идентификации по биометрическим данным, ему будет достаточно украсть голос, отпечатки или смоделировать внешность человека: «Всё это можно добыть без ведома человека, так что гарантий от фрода нет», — объясняет Боронин.
Не исключает риск мошенничества с применением ЕБС и Василий Мамаев: «В теории можно войти от вашего имени на сайт «Госуслуг», применив биометрию, зарегистрироваться в ЕБС и удаленно через нотариуса переписать жилье на другого человека». Причем сделать это можно «даже из другой страны», добавляет Сергей Боронин. Даже если запретить доступ из-за рубежа, его легко обойти, используя VPN-сервисы.
Защититься от злоумышленников при внедрении ЕБС можно лишь используя многофакторную идентификация (биометрические параметры в сочетании с паролями или иными данными, которыми владеет только сам человек), говорит Боронин. Чем больше факторов, тем сложнее мошеннику осуществить операцию от вашего имени, «однако ничего невозможного нет».
«Разговоры о том, что ЕБС как хранилище данных безопаснее, чем базы данных банков, которые сдают в неё данные своих клиентов, по моему мнению, — демагогия», — говорит Сергей Боронин. Банки и другие подрядчики ЕБС будут иметь доступ к ЕБС, а значит, как бы она ни была защищена от взлома, для доступа к ней достаточно будет взломать одного из подрядчиков. «Причем доступ уже будет не только к данным клиентов этого банка, а вообще ко всем», — добавляет он.
Впрочем, если требования к информационной безопасности в России крайне высокие даже для банков, не говоря уже о ЕБС, поэтому вероятность их взлома крайне мала, уверен Мамаев. «Наиболее опасен взлом со стороны собственных работников банка или работников ЕБС», — добавляет он.
Чтобы исправить эту ситуацию, банки, которые начали собирать биометрию задолго до появления ЕБС и уже сконцентрировавшие к тому моменту десятки миллионов слепков, на законодательном уровне обязали передавать всю биометрию в ЕБС с уведомлением клиентов, но без их согласия.
Тогда же стала ясна другая проблема — слепки, которые собирали банки, в 90% случаев не подходили под требования, предъявляемые к ЕБС. Частично это объясняется невыполнением требований национальных стандартов в области биометрии, в том числе по форматам обмена, качеству изображения и порядку проведения испытаний, объясняет преподаватель Академии Информационных Систем, Василий Мамаев
Вместо удаления некачественных слепков власти смягчили требования к ним.
Столь рьяное желание правительства наполнить ЕБС вызывает немало вопросов со стороны экспертов. Зачем вообще нужна такая база недавно публично интересовался даже сенатор Андрей Клишас.
Зачем нужна ЕБС?
Изначально подразумевалось, что ЕБС будут использовать при получении финансовых услуг, объясняет Василий Мамаев. Должна была заработать удаленная система финансовых операций получение кредита, операции по вкладам, оплата услуг без непосредственного участия гражданина, однако такое использование биометрии «вызвало опасение и непонимание у пользователей, поскольку финансовые сервисы и так хорошо работают».В дальнейшем функции системы стали расширять и на другие, нефинансовые сферы. ЕБС стали использовать в рамках пропускного режима на некоторых правительственных объектах, говорит эксперт, она пригодилась в пилотном проекте по участию в судебных заседаниях по видеосвязи и в дистанционном обучении. Её также можно использовать для оказания нотариальных услуг, при оформлении электронных сим-карт (eSIM) или для бесконтактной оплаты проезда по лицу в столичном метро.
Впрочем, эксперт по информационной безопасности, преподаватель Академии Информационных Систем Сергей Боронин, полагает, что удобства, которые граждане могут приобрести от использования ЕБС в повседневной жизни не столь существенны — рисков это создает куда больше.
Что не так с биометрией?
По его мнению, внедрение ЕБС «безусловно служит в первую очередь для контроля»: «Если уходить в лирику, то в сочетании с системами распознавания лиц, конечно, такие меры очень напоминают что-то из разряда оруэллоуских антиутопий. Не секрет, что любая спецслужба любой страны хочет иметь больше контроля».С одной стороны, использование биометрии полезно для правоохранительных органов, так как помогает выслеживать преступников или террористов, считает Боронин, «однако такая система в теории может использоваться и для контроля за перемещениями граждан».
Чревато это и появлением новых мошеннических схем. Если сейчас злоумышленник должен знать пароль от карты или подкупить кого-то, чтобы провернуть сделку без участия человека, то в случае с идентификации по биометрическим данным, ему будет достаточно украсть голос, отпечатки или смоделировать внешность человека: «Всё это можно добыть без ведома человека, так что гарантий от фрода нет», — объясняет Боронин.
Не исключает риск мошенничества с применением ЕБС и Василий Мамаев: «В теории можно войти от вашего имени на сайт «Госуслуг», применив биометрию, зарегистрироваться в ЕБС и удаленно через нотариуса переписать жилье на другого человека». Причем сделать это можно «даже из другой страны», добавляет Сергей Боронин. Даже если запретить доступ из-за рубежа, его легко обойти, используя VPN-сервисы.
Защититься от злоумышленников при внедрении ЕБС можно лишь используя многофакторную идентификация (биометрические параметры в сочетании с паролями или иными данными, которыми владеет только сам человек), говорит Боронин. Чем больше факторов, тем сложнее мошеннику осуществить операцию от вашего имени, «однако ничего невозможного нет».
Существует ли риск утечек?
Власти не устают напоминать, что Единая биометрическая система защищена от взломов куда лучше, чем базы данных финансовых организаций. Однако, по словам Мамева, требования к защите персональных биометрических данных установлены законодательством и одинаковы для банков и ЕБС.«Разговоры о том, что ЕБС как хранилище данных безопаснее, чем базы данных банков, которые сдают в неё данные своих клиентов, по моему мнению, — демагогия», — говорит Сергей Боронин. Банки и другие подрядчики ЕБС будут иметь доступ к ЕБС, а значит, как бы она ни была защищена от взлома, для доступа к ней достаточно будет взломать одного из подрядчиков. «Причем доступ уже будет не только к данным клиентов этого банка, а вообще ко всем», — добавляет он.
Впрочем, если требования к информационной безопасности в России крайне высокие даже для банков, не говоря уже о ЕБС, поэтому вероятность их взлома крайне мала, уверен Мамаев. «Наиболее опасен взлом со стороны собственных работников банка или работников ЕБС», — добавляет он.