Чем на самом деле угрожает сбор биометрических данных

ЭкспертОбщество

Сбор биометрии посеял панику

Чем на самом деле угрожает сбор биометрических данных

Александр Столяров

Иллюстрация: Игорь Шапошников

Длинные очереди у МФЦ прямо на улице, испуганные лица. Тысячи людей по всей стране в конце августа — начале сентября в панике побежали оформлять отказ от хранения своих биометрических данных. Виной всему — разгонявшийся в социальных сетях фейк о том, что якобы каждый банкомат сможет без разрешения снимать биометрические данные любого клиента.

Паника началась на фоне запланированной передачи биометрических данных, накопленных банками, в Единую биометрическую систему (ЕБС). До конца сентября в нее поступят собранные за все время слепки лиц, голоса, отпечатки пальцев россиян.

Биометрический коллапс

Центры госуслуг оказались не готовы к неожиданному наплыву сотен посетителей. Люди — в основном это были пенсионеры — приходили еще до открытия МФЦ. Паника охватила многие регионы. В МФЦ Башкортостана заявляли, что число посетителей в августе у них выросло в три раза. В МФЦ Дагестана в конце августа было подано 11 тыс. заявлений. При этом за все предшествующие месяцы 2023 года МФЦ этого региона получили всего четыре тысячи заявлений.

В Амурской области только в один день, 28 августа, было подано 1600 заявлений от «отказников». В Иркутской области из-за наплыва посетителей работа некоторых МФЦ и вовсе остановилась.

Такой ажиотаж возник после широко растиражированного фейкового сообщения. В нем говорилось, что написать отказ от хранения биометрии можно до 31 августа. Дальше сделать это якобы будет нельзя. С 1 сентября начнется передача биометрических данных в общую базу. Собирать слепки биометрии будто бы будут насильно «Ростелеком» и Банк России — такие данные якобы будут автоматически сниматься в банкоматах, где установлены камеры (вероятно, речь идет о биометрии лица), а если вы ответите на звонок из «Ростелекома», то запись вашего голоса тоже войдет в базу.

Чиновникам пришлось выступать с опровержениями. Правда, делать это они стали уже ближе к самому концу лета, когда об очередях начали писать в СМИ. Так, пресс-служба московских МФЦ только 26 августа заявила, что никаких ограничений для отказа от хранения биометрии нет, отозвать ее можно и после 1 сентября. Региональные власти реагировали еще медленнее. Например, вице-губернатор Санкт-Петербурга Станислав Казарин только 5 сентября заявил, что биометрические данные нельзя собирать без согласия человека.

По с ловам бизнес-консультанта Positive Technologies Алексея Лукацкого, сбор биометрии по телефону — обычный фейк, так как качественные данные таким способом собрать просто невозможно. «Такой способ сбора биометрии вызовет большое число ошибок при идентификации пользователей. Максимум, что могут делать банки, — это сверять по телефону в процессе общения с клиентами уже полученные в офисах биометрические данные», — сказал эксперт.

В Центре биометрических технологий (ЦБТ; 49% его уставного капитала принадлежит «Ростелекому», 25% — Банку России), который в конце 2022 года стал оператором государственной информационной системы «Единая биометрическая система», «Эксперту» пояснили, что отказаться от обработки биометрии можно в любое время. «Нет никаких ограничений для управления биометрией. По желанию удалить биометрию можно в пару кликов, для этого нужно зайти в личный кабинет портала “Госуслуги” в свой профиль, раздел “Биометрия”. Можно также написать запрос об отзыве согласия на обработку биометрии оператору ГИС ЕБС в письменном виде, если биометрия была размещена в ГИС ЕБС», — сказали в пресс-службе организации. Так что всем, кто не хочет, чтобы его голос и фото хранились в государственной базе, можно удалить свои биометрические данные и расслабиться.

Глобальная биометрическая паутина

На самом деле система ЕБС существует с 2018 года. Ее стали развивать по инициативе Центрального банка и Минцифры. В самом начале эта система не пользовалась популярностью. С ее помощью можно было получить ограниченное число услуг — удаленно открыть вклад, получить кредит или провести перевод. Все это и так можно было сделать через приложения банков.

В 2021 году ЕБС получила статус государственной информационной системы и расширенные возможности: ее пользователи стали получать паспорта болельщиков, электронную подпись и даже сдавать дистанционный экзамен в вуз.

Да льше бы ло принято решение объединить в ЕБС все биометрические данные в стране. Сегодня эти данные разрозненны, они хранятся в системах разных банков, фитнес-клубов, торговых сетей, метро. В декабре 2022 года был подписан закон, согласно которому все компании, собирающие биометрию, теперь обязаны передавать ее в ЕБС (см. «Монополия на биометрию», «Эксперт» № 16 за этот год). Забота о хранении биометрии полностью ложится на государство. У бизнеса останутся только «векторы» — это специальные математически преобразованные данные, из которых невозможно воссоздать изображение лица или голос.

Банки уже передают биометрические данные в ЕБС. Так, в Сбере «Эксперту» рассказали, что банк с 22 июня уже уведомляет клиентов о передаче их биометрических данных в систему. Если клиенты против, данные удаляют из системы Сбера.

В Россельхозбанке тоже заявили, что сейчас занимаются передачей биометрических данных и планируют завершить ее вовремя — до 30 сентября.

Всего, по оценкам ЦБТ, компании и банки накопили сейчас около 75 млн экземпляров биометрии, и это только фотографии лиц, не считая других биометрических данных. Сколько в ЕБС в целом биометрических образцов — в ЦБТ не говорят.

Банки часто навязывают сдачу биометрии своим клиентам. Например, некоторые могут не давать клиентам кредиты без сбора биометрических данных. Например, такие жалобы поступали на Сбер и Почта-банк. Клиенты банка «Открытие» и вовсе утверждают, что в банке без сдачи биометрических данных якобы нельзя даже открыть вклад и получить дебетовую карту.

По словам управляющего партнера юридической компании «Шаги» Андрея Шаркова, по закону «О персональных данных» (ст. 11), предоставление биометрических персональных данных является правом, а не обязанностью гражданина. Более того, законом запрещено отказывать в предоставлении услуги в случае отказа от сдачи биометрических данных. «Поэтому отказы банка давать кредит не сдавшим биометрию людям необоснованны. Их можно оспорить в судебном порядке», — сказал эксперт.

Юрист компании Comply Артем Сафьянников добавляет, что требование сдать биометрию нарушает нормы потребительского права. Это право запрещает отказывать потребителю в заключении договора при отказе предоставить персональные данные, которые не нужны для его заключения.

Партнер коллегии адвокатов Pen & Paper Екатерина Токарева говорит, что есть еще и третий закон, запрещающий отказывать в предоставлении услуги не сдавшим биометрию клиентам. В конце 2022 года был принят закон «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных…» Согласно ему госорганы, ЦБ, банки, нотариусы не вправе требовать при оказании услуг прохождение идентификации или аутентификации с помощью биометрии. «Клиент, которому банк отказал на этом основании в предоставлении кредита или открытии вклада, может оспорить действия банка путем направления жалобы в ЦБ РФ или подачи сразу иска в суд. Однако необходимо учитывать, что в таком случае клиенту нужно будет доказать, что услуга не была оказана исключительно по причине отказа предоставлять свою биометрию», — отметила Токарева. По ее словам, это может быть сложно, так как банки принимают решения о выдаче кредитов на основе внутренних документов и расчетов кредитного риска. Шанс доказать, что отказ был только из-за непредоставления биометрии, есть только в том случае, если, например, менеджер банка указал на это в переписке.

Биометрические данные могут обрабатываться без согласия человека лишь в трех случаях, напоминает юрист компании Sudohod Марк Бармин. Во-первых, в рамках международных договоров России о реадмиссии — согласия государства на обратный прием граждан. Во-вторых, при осуществлении правосудия и исполнении судебных актов и в-третьих — при проведении обязательной дактилоскопической и геномной регистрации у преступников, находящихся в тюрьме.

Юристы пока не наблюдают большого числа исков, поданных к банкам изза навязывания сдачи биометрических данных. По словам адвоката, руководителя практики по интеллектуальной собственности и информационным технологиям адвокатского бюро «Шварц и партнеры» Татьяны Рябковой, банки стараются разрешать конфликтные ситуации до обращения клиента в суд. Кроме того, официально они отказывают от предоставления каких-то услуг по другим причинам. «Мне неизвестны случаи, когда клиенты банка обращались с исками в суд в связи с отказом в предоставлении кредита без передачи банку биометрических персональных данных», — сказала юрист.

Артем Сафьянников же добавляет, что о таких делах он слышал, хотя их пока совсем немного. «Суды уже сейчас выносят решения в пользу клиентовпотребителей. Например, такое решение было принято в прошлом году Гатчинским городским судом Ленинградской области», — рассказал он.

Сами банки открыто не признаются, зачем им нужна биометрия. Хотя некоторые из них, например Сбер, создавали собственные биометрические системы и копили там биометрические слепки тысяч клиентов.

Специалист компании F.A.С.С.T. по противодействию финансовому мошенничеству Дмитрий Дудков говорит, что банки создавали системы для сбора биометрических данных, с одной стороны, для более простого, а с другой — более безопасного способа совершения операций. «Через дистанционное банковское обслуживание банк получал только информацию об устройстве клиента, но без подтверждения, что устройство и телефонный номер использует именно легитимный пользователь», — отмечает эксперт.

В будущем биометрия может помочь банкам автоматизировать взаимодействие с клиентами. А это, в свою очередь, оптимизирует затраты — например, сократит число сотрудников колл-центров.

Банки активно собирали биометрию при выдаче кредитов или даже при открытии счетов. Фото: Владимир Гердо/ТАСС

Под пристальным оком

Даже невооруженным взглядом видно, что биометрия перестает быть нишевой историей. Россияне начинают пользоваться связанными с ней технологиями все чаще и чаще. Например, сегодня с помощью биометрии можно расплатиться на кассах магазинов и в метро.

Крупные ретейлеры — «ВкусВилл», «Магнит», «Лента», «Перекресток», «Пятерочка» — запустили пилотные проекты по оплате биометрией на кассах еще в 2021 году. Летом 2023 года в Сбере решили внедрять биометрию в магазинах еще более массово. Банк планирует осенью установить несколько тысяч новых терминалов в магазинах во всех регионах, позволяющих считывать биометрию у покупателей.

В VisionLabs «Эксперту» рассказали, что помогли X5 Group масштабировать сервис оплаты улыбкой на 15 тыс. касс самообслуживания в 4100 магазинах торговых сетей «Пятерочка» и «Перекресток». «Только на стадии пилотного запуска его внедрение позволило в два — два с половиной раза сократить время на оплату покупок, повысило NPS (индекс потребительской лояльности) за счет внедрения более удобного способа оплаты. Порядка тысячи покупок в магазинах каждый день совершается с помощью биометрии. Сейчас сервис доступен во всех регионах присутствия X5 Group», — отметил руководитель исследовательских проектов VisionLabs Александр Паркин.

Похожий эксперимент VisionLabs проводит и в московском метро. Компания внедрила систему FacePay, позволяющую оплачивать проезд с помощью распознавания лица — деньги автоматически списываются с вашей «Тройки», привязанной к личному кабинету приложения «Метро Москвы».

Оплачивать «лицом» можно также проезд на МЦК, «Аэроэкспрессе», речном транспорте Москвы.

В пресс-службе Московского метрополитена «Эксперту» рассказали, что с момента запуска сервиса оплаты проезда по биометрии 15 октября 2022 года таким образом совершено более 74 млн проходов. Сейчас оплата с помощью распознавания лица работает на всех станциях метро и МЦК. К сервису подключено свыше 320 тыс. пользователей, ежедневно в будние дни они совершают около 137 тыс. проходов.

Таким образом, оплата с помощью биометрии в России уже сегодня достаточно популярна. И интерес к ней, особенно среди людей в возрасте до 35 лет, только растет.

Силиконовые маски и дипфейки

Однако очень многих сегодня волнуют вопросы, связанные с безопасностью. Это одна из главных причин того, что люди в панике побежали в МФЦ писать отказ от биометрии. Ведь банковскую карту, оказавшуюся у мошенников, можно поменять. Можно даже потерять паспорт и получить новый. А вот лицо и голос сменить невозможно, если только не воспользоваться услугами пластического хирурга.

Создатели самой ЕБС утверждают, что система способна точно распознавать людей — ошибка делается один раз на 10 млн случаев. При этом изменение прически и отращивание бороды никак не повлияет на точность распознавания человека.

В пресс-службе ЦБТ рассказали, что биометрия в ГИС ЕБС, фотография лица и запись голоса хранятся в зашифрованном виде. Иных персональных данных, таких как ФИО, паспорт, адрес, в системе нет.

«Для защиты этих биометрических данных ЦБТ использует отечественные средства криптографической защиты информации. Все решения по информационной безопасности согласованы с ФСБ России и имеют соответствующие заключения», — объяснили в ЦБТ. Все данные резервируются, то есть создаются запасные копии на случай какогото сбоя, который может привести к их потере.

В ЦБТ также используют специальные технологии для выявления атак на биометрию — например, Liveness detection. Эта система позволяет отличить человека от его имитации: фотографии, записанного видео и других способов подделки. Кроме того, используется не один, а несколько типов определения подделки — пассивный (не требующий от пользователя целенаправленного действия, о наличии такого алгоритма пользователь может и не знать) и активный мультимодальный — последний распознает клиента, когда тот совершает какие-то действия, например улыбается на камеру.

По словам Алексея Лукацкого, ГИС ЕБС похожа на «Госуслуги», где пока не было массовых утечек данных. А это значит, что такая система достаточно надежна. С другой стороны, на биометрические системы злоумышленники пока не осуществляли каких-то масштабных атак.

Эксперт считает, что обмануть биометрическую систему можно попробовать двумя способами — с помощью масок и дипфейков. Первый способ сегодня уже не работает. У масок нет мимики, поэтому система их легко распознает. «Есть же маски из резины, как в фильмах с участием Тома Круза, например “Миссия невыполнима”, распознать их уже сложнее. Но современные системы справляются и с этой задачей, так как такие маски все равно могут отражать меньше мимики, чем живое лицо», — отметил Лукацкий.

А вот дипфейки — фейковые изображения человека, сгенерированные нейросетью, — могут быть уже гораздо опаснее. В ЦБТ утверждают, что технология Liveness detection может распознавать и дипфейки — например, если мошенник показывает их в камеру. Если же мошенник, чтобы обмануть биометрическую систему, взламывает канал, через который передаются биометрические данные и подсовывает туда дипфейк, то для обнаружения дипфейка используются иные средства. Например, нейросети, которые умеют выявлять аномалии. ЦБТ уже заключил соглашения с несколькими разработчиками о взаимодействии в этой области.

В VisionLabs отмечают, что у них есть своя технология для выявления фейкового контента. Она тоже работает на основе нейросетей, и с ее помощью сгенерированные с помощью дипфейков лица распознаются.

По словам Алексея Лукацкого, в России уже были прецеденты, когда мошенники с помощью дипфейков атаковали банки, пытались получить доступ к чужим финансам. Люди теряли из-за этого деньги. Но как только получение финансовых услуг с помощью биометрии станет более распространено, мошенники активнее станут совершать атаки с дипфейками, и в будущем это может стать для ЕБС настоящей проблемой — своеобразным краш-тестом на ее безопасность.

Вызывает вопросы и то, насколько безопасно связаны биометрические системы с банковскими счетами. Об этом пока никакой информации нет. Но просится логичный вывод: если саму систему взломать крайне сложно, мошенники могут попробовать совершать атаки на ее стыках — там, где она соединена с другими системами: банковскими, системами ретейла и т. д.

«Взломать такой протокол, вероятно, можно, хотя и непросто. Думаю, для защиты передаваемых из ГИС ЕБС данных используется такое же решение. Никаких прорывных технологий шифрования там нет. Максимум, что могли разработчики, — сделать более длинными ключи. Чем длиннее, тем они надежнее. Но от возможных хакерских атак такое шифрование не защитит», — объяснил программист.

Поэтому, вероятно, настоящие проверки на прочность биометрической системы в России еще впереди.

Хочешь стать одним из более 100 000 пользователей, кто регулярно использует kiozk для получения новых знаний?
Не упусти главного с нашим telegram-каналом: https://kiozk.ru/s/voyrl

Авторизуйтесь, чтобы продолжить чтение. Это быстро и бесплатно.

Регистрируясь, я принимаю условия использования

Рекомендуемые статьи

Был ли аншлюс ГДР? Был ли аншлюс ГДР?

Читаем новый единый учебник всеобщей истории для 11 класса

Дилетант
Ольга Медынич: «Вампиры на самом деле обитают среди нас» Ольга Медынич: «Вампиры на самом деле обитают среди нас»

«Когда соглашалась на эту роль, даже не думала, с чем столкнусь»

Караван историй
Захар Ящин Захар Ящин

Захар Ящин известен как гениальный шрифтовик

Правила жизни
Вы в порядке? Вы в порядке?

Что такого, если один в отношениях аккуратист, а другой грязнуля?

VOICE
Как советский инженер изобрел пиксель и начал цифровую революцию Как советский инженер изобрел пиксель и начал цифровую революцию

Отрывок из книги «Пиксель. История одной точки»

Forbes
Как подключить компьютер к компьютеру: обмениваемся файлами без флешек и внешних дисков Как подключить компьютер к компьютеру: обмениваемся файлами без флешек и внешних дисков

Как передать файлы между компьютерами?

CHIP
Незаметность простоты Незаметность простоты

Кутюрье Марк Боан: самая долгая карьера и жизнь в истории моды XX века

Weekend
Интерьер на счастье Интерьер на счастье

Бюро объединило четыре квартиры на последнем этаже московской новостройки

SALON-Interior
Сыпь под мышками: почему появляется и как сделать, чтобы ее там не было Сыпь под мышками: почему появляется и как сделать, чтобы ее там не было

Какие причины чаще всего вызывают раздражение на коже подмышек

VOICE
Байки из леса Байки из леса

Самые необычные истории от российских страховщиков

Деньги
«Великая ирония»: цепь убийственных случайностей «Великая ирония»: цепь убийственных случайностей

Каким получился новый фильм Вуди Аллена

Эксперт
Яндекс.Маршрутизация и тренды в логистике: «Придут роботы и квадрокоптеры» Яндекс.Маршрутизация и тренды в логистике: «Придут роботы и квадрокоптеры»

Тихон Рощупкин о создании проектов и трендах в современной логистике

ФедералПресс
Василий Высоков: «Нам нравится работать в регионе» Василий Высоков: «Нам нравится работать в регионе»

Секрет устойчивости одного из немногих сохранившихся региональных банков

Эксперт
Нейросоцсеть Нейросоцсеть

Разговор с креативным директором LOOKY Артемом Коноваловым

ТехИнсайдер
«Наше кино является нашим лицом» «Наше кино является нашим лицом»

Режиссер Егор Кончаловский о советском кино, американской мечте и русских Рэмбо

FP. BusinessReview
От Граймс до Лили Вачовски: самые влиятельные женщины в ИИ по версии Time От Граймс до Лили Вачовски: самые влиятельные женщины в ИИ по версии Time

Самые интересные героини современности, связанные с ИИ

Forbes
Глава АНО «Цифровая экономика»: «Мы идем к новым прорывам» Глава АНО «Цифровая экономика»: «Мы идем к новым прорывам»

Сергей Плуготаренко рассказал о развитии ИТ-отрасли в РФ и ее перспективах

ФедералПресс
Загадки «Семи самураев»: что вы могли не знать о самом известном фильме Акиры Куросавы Загадки «Семи самураев»: что вы могли не знать о самом известном фильме Акиры Куросавы

Вспоминаем фильм мастера Куросавы «Семь самураев» и раскрываем его секреты

Правила жизни
Доктор и политик: как Анна Шабанова боролась за право работать и голосовать Доктор и политик: как Анна Шабанова боролась за право работать и голосовать

Анна Шабанова: одна из первых женщин-врачей и феминисток России?

Forbes
Кизлярский вектор: как закаляют дагестанскую сталь Кизлярский вектор: как закаляют дагестанскую сталь

Kizlyar Supreme сумел стать брендом с мировым именем на рынке ножей

Эксперт
Писаная красота Писаная красота

Византийское «наследство» в виде письменности

Дилетант
5 наклонностей, которые характеризируют социопатов 5 наклонностей, которые характеризируют социопатов

Как проявляется истинное лицо социопата?

Psychologies
Коррупционеры в белоснежных тогах: верно ли мы думаем о Римской империи? Коррупционеры в белоснежных тогах: верно ли мы думаем о Римской империи?

Путешествие в мир алчности и бесстыдства Римской империи

Правила жизни
«Рождение советской женщины. Работница, крестьянка, летчица, бывшая; и другие в искусстве 1917-1939 годов» «Рождение советской женщины. Работница, крестьянка, летчица, бывшая; и другие в искусстве 1917-1939 годов»

Образ революционерки и вестницы новой власти в советском искусстве

N+1
Ранняя седина. 12 неожиданных причин, о которых ты даже не думала Ранняя седина. 12 неожиданных причин, о которых ты даже не думала

В некоторых случаях седина может появиться раньше, чем ты ожидаешь. Почему так?

Лиза
Взгляд на город Взгляд на город

Борис Уборевич-Боровский об урбанизме, приватности и человеческом факторе

SALON-Interior
Что произойдет с телом, если забеременеть сразу после увеличения груди: хирург рассматривает случай Анастасии Костенко Что произойдет с телом, если забеременеть сразу после увеличения груди: хирург рассматривает случай Анастасии Костенко

Как беременность может сказаться на пластике груди? Случай Анастасии Костенко

VOICE
От игры в Го до осознания себя: изменит ли искусственный разум мир людей От игры в Го до осознания себя: изменит ли искусственный разум мир людей

Футуролог и писатель Сергей Переслегин о перспективах ИИ

ФедералПресс
Вечное влияние великого разума: как Жан-Люк Годар изменил кино Вечное влияние великого разума: как Жан-Люк Годар изменил кино

Как франко-швейцарский режиссер Жан-Люк Годар повлиял на кино.

Правила жизни
«Диагноз поставлен»: 3 шага, чтобы не разрушить отношения при психическом расстройстве «Диагноз поставлен»: 3 шага, чтобы не разрушить отношения при психическом расстройстве

Как решить проблемы в отношениях, связанные с психическим здоровьем?

Psychologies
Открыть в приложении