31 мая стало известно, что правительство России направило в четыре госбанка — ВТБ, Промсвязьбанк, Россельхозбанк и РНКБ — директиву, по которой они в течение 10 дней должны рассмотреть на заседании совета директоров вопрос о передаче биометрии клиентов в Единую биометрическую систему (ЕБС), узнал «Коммерсант».
При этом представители интересов России в этих советах обязаны проголосовать за передачу данных в ЕБС. А для крупнейшего в сегменте Сбербанка готовится даже отдельное поручение о порядке импорта биометрии в ЕБС. Во всех случаях остаются открытыми вопросы: как получать согласие на перенос данных от сдавших их исходно граждан? И чем это гражданам грозит?
Почему сейчас?
Эксперты недоумевают, почему именно сейчас власти решили ускорить процесс консолидации биометрии граждан в ЕБС. Учитывая текущую ситуацию в экономике, проблемы с импортозамещением ПО и дефицит серверных мощностей, такое решение у участников рынка вызвало как минимум удивление.
Один из источников «Коммерсанта» предположил, что власти хотят «лишить участников рынка чувствительной информации, чтобы минимизировать риски утечек, одновременно с этим получив большой пул данных». Возможно, речь идет и о желании ускорить внедрение биометрии в государственные сервисы.
Однако никому сейчас не понятно, как именно будет организована передача в ЕБС биометрических данных, которые банки собирали в рамках своих проектов — для себя. Во-первых, данные из собственных биометрических баз банков не соответствуют строгим требованиям ЕБС. Во-вторых, непонятно, как в таком случае соблюсти права граждан. Один из источников издания назвал эту задачу «почти невыполнимой» и уточнил: «Не решен вопрос с согласием гражданина на передачу его биометрии из банка в ЕБС, технически биометрические данные и модальности несовместимы. В ЕБС голосовая биометрия текстозависимая, а банковских системах — текстонезависимая».
Другой источник издания считает, что у властей есть два варианта для решения проблемы оформления отношений с гражданами: через принятие специального закона либо путем подтверждения согласия, например, с помощью электронной подписи в ЕСИА. И в аппарате вице-премьера Дмитрия Чернышенко журналистам подтвердили, что «проводятся работы по принятию постановления правительства РФ о порядке получения согласия на импорт биометрии из КБС в ГИС ЕБС, в том числе проводится организационная и техническая работа по передаче данных».
Откуда ноги растут?
Вообще ЕБС в России была создана в 2018-м. Ее оператором выступает «Ростелеком». И, хотя сбор данных в ЕБС обеспечивают свыше двух сотен банков, по данным на сайте ЦБ, в ней сейчас всего 236,4 тысячи пользователей. В банках же, по экспертным оценкам, собраны миллионы биометрических записей.
Любопытно, что в 2019-м сам же ЦБ заявлял, что некоторые банки при сборе биометрии вводят в заблуждение своих клиентов. Так, глава ЦБ Эльвира Набиуллина сообщала: «Некоторые банки собирают биометрические данные для своих внутренних систем, а не для единой системы. Клиент думает получить дистанционные услуги в других финансовых организациях, а этого не происходит».
«Сольют»
Примечательно и то, что всего полгода назад президент группы InfoWatch Наталья Касперская в интервью «РИА Новости» настоятельно рекомендовала россиянам не сдавать биометрические данные. «Моя личная рекомендация: ни в коем случае не сдавать биометрические данные, не вестись на «удобство». Их практически с гарантией украдут, продадут, «сольют», — заявила тогда Касперская, добавив, что не понимает, зачем нужно использование биометрии.
«Давайте нам сначала объяснят: как эти данные планируется защищать, в том числе от своих сотрудников», — призывала она.
По ее словам, несмотря на заверения сторонников биометрии, особых способов защитить эти данные не существует, а работают с ними те же люди, что и с любыми другими данными, «которые получают не очень высокие зарплаты, сами назначают права доступа». «Здесь действует старый бухгалтерский принцип: если есть возможность злоупотреблений — нужно считать, что они уже имеют место. Черный рынок данных большой и бурно развивается», — заметила Касперская.
Она также подчеркивала, что биометрические данные, в отличие от любых других, которые могут быть использованы для идентификации, являются неотъемлемой частью человека, они одни на всю жизнь. «В отличие от используемых сейчас пароля, номера телефона и даже фамилии вы не можете при утечке или компрометации данных сменить свое лицо, сетчатку, фигуру, отпечатки пальцев, форму ушей», — пояснила Касперская, уточнив, что эти данные, как и любые другие, для возможности идентификации нужно хранить в базе данных.
При внедрении биометрии главная опасность, по ее словам, заключается в том, что пока неясно, как защитить и верифицировать эти данные. «Граждане сдают отпечатки пальцев и фото лиц, их лица снимают без их ведома и согласия на улицах, на транспорте, в офисах и торговых центрах, а потом такую информацию может кто-то слить, украсть, перехватить и использовать, например, в крупных сделках с недвижимостью, при управлении счетом в банке, при проходе на закрытые объекты и т. п.», — объяснила специалист.
Касперская также отметила, что система биометрической идентификации — это система искусственного интеллекта, у которой «не бывает 100% качества»: то есть она может распознать «неправильный» объект как правильный или не пропустить правильный объект.
Эти слова эксперта выглядят серьезно — особенно на фоне недавние массовых утечек данных сервисов «Яндекс.Еда», Delivery Club, «СДЭК», Wildberries, лаборатории «Гемотест» и хакерская атака на видеохостинг Rutube, произошедшая 9 мая. В связи с нынешними событиями в Украине эксперты считают эти «базопады» звеньями одной цепи, то есть элементами кибервойны.