Чем на самом деле угрожает сбор биометрических данных

ЭкспертОбщество

Сбор биометрии посеял панику

Чем на самом деле угрожает сбор биометрических данных

Александр Столяров

Иллюстрация: Игорь Шапошников

Длинные очереди у МФЦ прямо на улице, испуганные лица. Тысячи людей по всей стране в конце августа — начале сентября в панике побежали оформлять отказ от хранения своих биометрических данных. Виной всему — разгонявшийся в социальных сетях фейк о том, что якобы каждый банкомат сможет без разрешения снимать биометрические данные любого клиента.

Паника началась на фоне запланированной передачи биометрических данных, накопленных банками, в Единую биометрическую систему (ЕБС). До конца сентября в нее поступят собранные за все время слепки лиц, голоса, отпечатки пальцев россиян.

Биометрический коллапс

Центры госуслуг оказались не готовы к неожиданному наплыву сотен посетителей. Люди — в основном это были пенсионеры — приходили еще до открытия МФЦ. Паника охватила многие регионы. В МФЦ Башкортостана заявляли, что число посетителей в августе у них выросло в три раза. В МФЦ Дагестана в конце августа было подано 11 тыс. заявлений. При этом за все предшествующие месяцы 2023 года МФЦ этого региона получили всего четыре тысячи заявлений.

В Амурской области только в один день, 28 августа, было подано 1600 заявлений от «отказников». В Иркутской области из-за наплыва посетителей работа некоторых МФЦ и вовсе остановилась.

Такой ажиотаж возник после широко растиражированного фейкового сообщения. В нем говорилось, что написать отказ от хранения биометрии можно до 31 августа. Дальше сделать это якобы будет нельзя. С 1 сентября начнется передача биометрических данных в общую базу. Собирать слепки биометрии будто бы будут насильно «Ростелеком» и Банк России — такие данные якобы будут автоматически сниматься в банкоматах, где установлены камеры (вероятно, речь идет о биометрии лица), а если вы ответите на звонок из «Ростелекома», то запись вашего голоса тоже войдет в базу.

Чиновникам пришлось выступать с опровержениями. Правда, делать это они стали уже ближе к самому концу лета, когда об очередях начали писать в СМИ. Так, пресс-служба московских МФЦ только 26 августа заявила, что никаких ограничений для отказа от хранения биометрии нет, отозвать ее можно и после 1 сентября. Региональные власти реагировали еще медленнее. Например, вице-губернатор Санкт-Петербурга Станислав Казарин только 5 сентября заявил, что биометрические данные нельзя собирать без согласия человека.

По с ловам бизнес-консультанта Positive Technologies Алексея Лукацкого, сбор биометрии по телефону — обычный фейк, так как качественные данные таким способом собрать просто невозможно. «Такой способ сбора биометрии вызовет большое число ошибок при идентификации пользователей. Максимум, что могут делать банки, — это сверять по телефону в процессе общения с клиентами уже полученные в офисах биометрические данные», — сказал эксперт.

В Центре биометрических технологий (ЦБТ; 49% его уставного капитала принадлежит «Ростелекому», 25% — Банку России), который в конце 2022 года стал оператором государственной информационной системы «Единая биометрическая система», «Эксперту» пояснили, что отказаться от обработки биометрии можно в любое время. «Нет никаких ограничений для управления биометрией. По желанию удалить биометрию можно в пару кликов, для этого нужно зайти в личный кабинет портала “Госуслуги” в свой профиль, раздел “Биометрия”. Можно также написать запрос об отзыве согласия на обработку биометрии оператору ГИС ЕБС в письменном виде, если биометрия была размещена в ГИС ЕБС», — сказали в пресс-службе организации. Так что всем, кто не хочет, чтобы его голос и фото хранились в государственной базе, можно удалить свои биометрические данные и расслабиться.

Глобальная биометрическая паутина

На самом деле система ЕБС существует с 2018 года. Ее стали развивать по инициативе Центрального банка и Минцифры. В самом начале эта система не пользовалась популярностью. С ее помощью можно было получить ограниченное число услуг — удаленно открыть вклад, получить кредит или провести перевод. Все это и так можно было сделать через приложения банков.

В 2021 году ЕБС получила статус государственной информационной системы и расширенные возможности: ее пользователи стали получать паспорта болельщиков, электронную подпись и даже сдавать дистанционный экзамен в вуз.

Да льше бы ло принято решение объединить в ЕБС все биометрические данные в стране. Сегодня эти данные разрозненны, они хранятся в системах разных банков, фитнес-клубов, торговых сетей, метро. В декабре 2022 года был подписан закон, согласно которому все компании, собирающие биометрию, теперь обязаны передавать ее в ЕБС (см. «Монополия на биометрию», «Эксперт» № 16 за этот год). Забота о хранении биометрии полностью ложится на государство. У бизнеса останутся только «векторы» — это специальные математически преобразованные данные, из которых невозможно воссоздать изображение лица или голос.

Банки уже передают биометрические данные в ЕБС. Так, в Сбере «Эксперту» рассказали, что банк с 22 июня уже уведомляет клиентов о передаче их биометрических данных в систему. Если клиенты против, данные удаляют из системы Сбера.

В Россельхозбанке тоже заявили, что сейчас занимаются передачей биометрических данных и планируют завершить ее вовремя — до 30 сентября.

Всего, по оценкам ЦБТ, компании и банки накопили сейчас около 75 млн экземпляров биометрии, и это только фотографии лиц, не считая других биометрических данных. Сколько в ЕБС в целом биометрических образцов — в ЦБТ не говорят.

Банки часто навязывают сдачу биометрии своим клиентам. Например, некоторые могут не давать клиентам кредиты без сбора биометрических данных. Например, такие жалобы поступали на Сбер и Почта-банк. Клиенты банка «Открытие» и вовсе утверждают, что в банке без сдачи биометрических данных якобы нельзя даже открыть вклад и получить дебетовую карту.

По словам управляющего партнера юридической компании «Шаги» Андрея Шаркова, по закону «О персональных данных» (ст. 11), предоставление биометрических персональных данных является правом, а не обязанностью гражданина. Более того, законом запрещено отказывать в предоставлении услуги в случае отказа от сдачи биометрических данных. «Поэтому отказы банка давать кредит не сдавшим биометрию людям необоснованны. Их можно оспорить в судебном порядке», — сказал эксперт.

Юрист компании Comply Артем Сафьянников добавляет, что требование сдать биометрию нарушает нормы потребительского права. Это право запрещает отказывать потребителю в заключении договора при отказе предоставить персональные данные, которые не нужны для его заключения.

Партнер коллегии адвокатов Pen & Paper Екатерина Токарева говорит, что есть еще и третий закон, запрещающий отказывать в предоставлении услуги не сдавшим биометрию клиентам. В конце 2022 года был принят закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…» Согласно ему госорганы, ЦБ, банки, нотариусы не вправе требовать при оказании услуг прохождение идентификации или аутентификации с помощью биометрии. «Клиент, которому банк отказал на этом основании в предоставлении кредита или открытии вклада, может оспорить действия банка путем направления жалобы в ЦБ РФ или подачи сразу иска в суд. Однако необходимо учитывать, что в таком случае клиенту нужно будет доказать, что услуга не была оказана исключительно по причине отказа предоставлять свою биометрию», — отметила Токарева. По ее словам, это может быть сложно, так как банки принимают решения о выдаче кредитов на основе внутренних документов и расчетов кредитного риска. Шанс доказать, что отказ был только из-за непредоставления биометрии, есть только в том случае, если, например, менеджер банка указал на это в переписке.

Биометрические данные могут обрабатываться без согласия человека лишь в трех случаях, напоминает юрист компании Sudohod Марк Бармин. Во-первых, в рамках международных договоров России о реадмиссии — согласия государства на обратный прием граждан. Во-вторых, при осуществлении правосудия и исполнении судебных актов и в-третьих — при проведении обязательной дактилоскопической и геномной регистрации у преступников, находящихся в тюрьме.

Юристы пока не наблюдают большого числа исков, поданных к банкам изза навязывания сдачи биометрических данных. По словам адвоката, руководителя практики по интеллектуальной собственности и информационным технологиям адвокатского бюро «Шварц и партнеры» Татьяны Рябковой, банки стараются разрешать конфликтные ситуации до обращения клиента в суд. Кроме того, официально они отказывают от предоставления каких-то услуг по другим причинам. «Мне неизвестны случаи, когда клиенты банка обращались с исками в суд в связи с отказом в предоставлении кредита без передачи банку биометрических персональных данных», — сказала юрист.

Артем Сафьянников же добавляет, что о таких делах он слышал, хотя их пока совсем немного. «Суды уже сейчас выносят решения в пользу клиентовпотребителей. Например, такое решение было принято в прошлом году Гатчинским городским судом Ленинградской области», — рассказал он.

Сами банки открыто не признаются, зачем им нужна биометрия. Хотя некоторые из них, например Сбер, создавали собственные биометрические системы и копили там биометрические слепки тысяч клиентов.

Специалист компании F.A.С.С.T. по противодействию финансовому мошенничеству Дмитрий Дудков говорит, что банки создавали системы для сбора биометрических данных, с одной стороны, для более простого, а с другой — более безопасного способа совершения операций. «Через дистанционное банковское обслуживание банк получал только информацию об устройстве клиента, но без подтверждения, что устройство и телефонный номер использует именно легитимный пользователь», — отмечает эксперт.

В будущем биометрия может помочь банкам автоматизировать взаимодействие с клиентами. А это, в свою очередь, оптимизирует затраты — например, сократит число сотрудников колл-центров.

Банки активно собирали биометрию при выдаче кредитов или даже при открытии счетов. Фото: Владимир Гердо/ТАСС

Под пристальным оком

Даже невооруженным взглядом видно, что биометрия перестает быть нишевой историей. Россияне начинают пользоваться связанными с ней технологиями все чаще и чаще. Например, сегодня с помощью биометрии можно расплатиться на кассах магазинов и в метро.

Крупные ретейлеры — «ВкусВилл», «Магнит», «Лента», «Перекресток», «Пятерочка» — запустили пилотные проекты по оплате биометрией на кассах еще в 2021 году. Летом 2023 года в Сбере решили внедрять биометрию в магазинах еще более массово. Банк планирует осенью установить несколько тысяч новых терминалов в магазинах во всех регионах, позволяющих считывать биометрию у покупателей.

В VisionLabs «Эксперту» рассказали, что помогли X5 Group масштабировать сервис оплаты улыбкой на 15 тыс. касс самообслуживания в 4100 магазинах торговых сетей «Пятерочка» и «Перекресток». «Только на стадии пилотного запуска его внедрение позволило в два — два с половиной раза сократить время на оплату покупок, повысило NPS (индекс потребительской лояльности) за счет внедрения более удобного способа оплаты. Порядка тысячи покупок в магазинах каждый день совершается с помощью биометрии. Сейчас сервис доступен во всех регионах присутствия X5 Group», — отметил руководитель исследовательских проектов VisionLabs Александр Паркин.

Похожий эксперимент VisionLabs проводит и в московском метро. Компания внедрила систему FacePay, позволяющую оплачивать проезд с помощью распознавания лица — деньги автоматически списываются с вашей «Тройки», привязанной к личному кабинету приложения «Метро Москвы».

Оплачивать «лицом» можно также проезд на МЦК, «Аэроэкспрессе», речном транспорте Москвы.

В пресс-службе Московского метрополитена «Эксперту» рассказали, что с момента запуска сервиса оплаты проезда по биометрии 15 октября 2022 года таким образом совершено более 74 млн проходов. Сейчас оплата с помощью распознавания лица работает на всех станциях метро и МЦК. К сервису подключено свыше 320 тыс. пользователей, ежедневно в будние дни они совершают около 137 тыс. проходов.

Таким образом, оплата с помощью биометрии в России уже сегодня достаточно популярна. И интерес к ней, особенно среди людей в возрасте до 35 лет, только растет.

Силиконовые маски и дипфейки

Однако очень многих сегодня волнуют вопросы, связанные с безопасностью. Это одна из главных причин того, что люди в панике побежали в МФЦ писать отказ от биометрии. Ведь банковскую карту, оказавшуюся у мошенников, можно поменять. Можно даже потерять паспорт и получить новый. А вот лицо и голос сменить невозможно, если только не воспользоваться услугами пластического хирурга.

Создатели самой ЕБС утверждают, что система способна точно распознавать людей — ошибка делается один раз на 10 млн случаев. При этом изменение прически и отращивание бороды никак не повлияет на точность распознавания человека.

В пресс-службе ЦБТ рассказали, что биометрия в ГИС ЕБС, фотография лица и запись голоса хранятся в зашифрованном виде. Иных персональных данных, таких как ФИО, паспорт, адрес, в системе нет.

«Для защиты этих биометрических данных ЦБТ использует отечественные средства криптографической защиты информации. Все решения по информационной безопасности согласованы с ФСБ России и имеют соответствующие заключения», — объяснили в ЦБТ. Все данные резервируются, то есть создаются запасные копии на случай какогото сбоя, который может привести к их потере.

В ЦБТ также используют специальные технологии для выявления атак на биометрию — например, Liveness detection. Эта система позволяет отличить человека от его имитации: фотографии, записанного видео и других способов подделки. Кроме того, используется не один, а несколько типов определения подделки — пассивный (не требующий от пользователя целенаправленного действия, о наличии такого алгоритма пользователь может и не знать) и активный мультимодальный — последний распознает клиента, когда тот совершает какие-то действия, например улыбается на камеру.

По словам Алексея Лукацкого, ГИС ЕБС похожа на «Госуслуги», где пока не было массовых утечек данных. А это значит, что такая система достаточно надежна. С другой стороны, на биометрические системы злоумышленники пока не осуществляли каких-то масштабных атак.

Эксперт считает, что обмануть биометрическую систему можно попробовать двумя способами — с помощью масок и дипфейков. Первый способ сегодня уже не работает. У масок нет мимики, поэтому система их легко распознает. «Есть же маски из резины, как в фильмах с участием Тома Круза, например “Миссия невыполнима”, распознать их уже сложнее. Но современные системы справляются и с этой задачей, так как такие маски все равно могут отражать меньше мимики, чем живое лицо», — отметил Лукацкий.

А вот дипфейки — фейковые изображения человека, сгенерированные нейросетью, — могут быть уже гораздо опаснее. В ЦБТ утверждают, что технология Liveness detection может распознавать и дипфейки — например, если мошенник показывает их в камеру. Если же мошенник, чтобы обмануть биометрическую систему, взламывает канал, через который передаются биометрические данные и подсовывает туда дипфейк, то для обнаружения дипфейка используются иные средства. Например, нейросети, которые умеют выявлять аномалии. ЦБТ уже заключил соглашения с несколькими разработчиками о взаимодействии в этой области.

В VisionLabs отмечают, что у них есть своя технология для выявления фейкового контента. Она тоже работает на основе нейросетей, и с ее помощью сгенерированные с помощью дипфейков лица распознаются.

По словам Алексея Лукацкого, в России уже были прецеденты, когда мошенники с помощью дипфейков атаковали банки, пытались получить доступ к чужим финансам. Люди теряли из-за этого деньги. Но как только получение финансовых услуг с помощью биометрии станет более распространено, мошенники активнее станут совершать атаки с дипфейками, и в будущем это может стать для ЕБС настоящей проблемой — своеобразным краш-тестом на ее безопасность.

Вызывает вопросы и то, насколько безопасно связаны биометрические системы с банковскими счетами. Об этом пока никакой информации нет. Но просится логичный вывод: если саму систему взломать крайне сложно, мошенники могут попробовать совершать атаки на ее стыках — там, где она соединена с другими системами: банковскими, системами ретейла и т. д.

«Взломать такой протокол, вероятно, можно, хотя и непросто. Думаю, для защиты передаваемых из ГИС ЕБС данных используется такое же решение. Никаких прорывных технологий шифрования там нет. Максимум, что могли разработчики, — сделать более длинными ключи. Чем длиннее, тем они надежнее. Но от возможных хакерских атак такое шифрование не защитит», — объяснил программист.

Поэтому, вероятно, настоящие проверки на прочность биометрической системы в России еще впереди.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Был ли аншлюс ГДР? Был ли аншлюс ГДР?

Читаем новый единый учебник всеобщей истории для 11 класса

Дилетант
Глеб Калюжный и Юрий Стоянов Глеб Калюжный и Юрий Стоянов

Любимый динамический дуэт Стоянов — Калюжный снова в деле

Собака.ru
«Для IPO рынок сейчас слишком спекулятивный» «Для IPO рынок сейчас слишком спекулятивный»

О том, как криптовалюты отбирают аудиторию у классических брокеров

Монокль
Неудачный байопик о выдающейся женщине: почему нас разочаровал фильм о Голде Меир Неудачный байопик о выдающейся женщине: почему нас разочаровал фильм о Голде Меир

Почему фильм о сильной женщине Голде Меир получился таким слабым?

Forbes
Ближний Восток: гудбай, Америка! Ближний Восток: гудбай, Америка!

С какой целью США тратят миллиарды долларов в далеких заморских землях?

Монокль
Ямальских овцебыков отправили на колыму Ямальских овцебыков отправили на колыму

14 полугодовалых овцебыков будут обживать колымскую тундру

ФедералПресс
8 фраз, которые ребенок никогда не простит родителям 8 фраз, которые ребенок никогда не простит родителям

Родительские фразы, брошенные сгоряча, которые ребенок запомнит на всю жизнь

Psychologies
Присмотритесь к близким: 6 признаков деменции, которые увидите только вы Присмотритесь к близким: 6 признаков деменции, которые увидите только вы

Как распознать первые симптомы деменции у близких?

Psychologies
Петербург будущего Петербург будущего

Девелопер и миллиардер Игорь Водопьянов — визионер, меценат, пассионарий

Собака.ru
Санкции против простуды Санкции против простуды

Как быстро остановить простуду?

Добрые советы
Что можно найти на дне Байкала: дома и поезда Что можно найти на дне Байкала: дома и поезда

Как сейчас выглядит дно самого глубокого озера на планете?

ФедералПресс
Самые необычные политические партии мира Самые необычные политические партии мира

Самые странные политические партии в мире и их программы

Maxim
Охота на алгоритм Охота на алгоритм

Способна ли машина заменить человека в самых важных ему областях деятельности

Правила жизни
Субботы терпкий вкус Субботы терпкий вкус

Рисовать в Шаббат? Художница Елена Репетур убедилась, что Израиль — страна чудес

Seasons of life
Тревожные люди Тревожные люди

Почему пропадают месячные, куда уходит либидо и как стресс влияет на зачатие

VOICE
5 самых распространенных проблем со стопами — почему они возникают и что с ними делать 5 самых распространенных проблем со стопами — почему они возникают и что с ними делать

Пять самых распространенных подологических патологий

VOICE
Если стирка не спасла: как избавиться от стойкого химического запаха новой одежды Если стирка не спасла: как избавиться от стойкого химического запаха новой одежды

Как в домашних условиях избавиться от резкого аромата новой одежды

ТехИнсайдер
«Систэм Электрик»: в приоритете — дальнейшее развитие производственной базы «Систэм Электрик»: в приоритете — дальнейшее развитие производственной базы

Завод «ЭлектроМоноблок» наращивает производство и повышает уровень локализации

Эксперт
«Дома я не хочу лидировать» «Дома я не хочу лидировать»

Ольга Серябкина о силе тайм-менеджмента, воспитании ребенка и романтике

OK!
«Интимная Русь. Жизнь без Домостроя, грех, любовь и колдовство» «Интимная Русь. Жизнь без Домостроя, грех, любовь и колдовство»

Как наши предки блудили на праздниках, говорили про секс и предлагали жениться

N+1
Пропаганда как свидетельство Пропаганда как свидетельство

6 фильмов, в которых старые кадры разоблачают своих героев и заказчиков

Weekend
Как Ксения Сосункевич выращивает клубнику в Карелии, несмотря на климат и кризисы Как Ксения Сосункевич выращивает клубнику в Карелии, несмотря на климат и кризисы

Как живут и строят карьеру женщины в российских регионах

Forbes
Для упругих ягодиц Для упругих ягодиц

10 упражнений, которые помогут тебе обрести соблазнительные формы

Лиза
«Мурманский СПГ»: заполярный матч со многими неизвестными «Мурманский СПГ»: заполярный матч со многими неизвестными

Дерзкий проект «НоваТЭКа» зависит от позиции «Газпрома» и государства

Эксперт
Приемы в общении с лжецами: как узнать правду Приемы в общении с лжецами: как узнать правду

Как распознать лжеца и вывести его на чистую воду, чтобы все же узнать правду?

VOICE
От Вологды до Мурманска: как женщины управляют региональными ателье по всей стране От Вологды до Мурманска: как женщины управляют региональными ателье по всей стране

Предпринимательницы из разных городов, которые вопреки всему развивают ателье

Forbes
Сибирский вайб: 5 перспективных молодых артистов из северного региона Сибирский вайб: 5 перспективных молодых артистов из северного региона

Фрэшмены из Сибири, имеющие все шансы стать звездами

Maxim
Фокусы престолов Фокусы престолов

«Зимний король»: артуровские легенды в формате «как оно было на самом деле»

Weekend
Где найти хорошую няню Где найти хорошую няню

Агентства, объявления, сарафанное радио – как выбрать хорошую няню?

Лиза
Как избавиться от одиночества и как с ним справиться Как избавиться от одиночества и как с ним справиться

Почему общительные люди тоже ощущают одиночество?

Psychologies
Открыть в приложении