Оплата по лицу. Защита биометрических данных в России станет самой надежной в мире
Эксперт по кибербезопасности Мясоедов назвал защиту биометрии в России мощнейшей
Россияне с 1 декабря смогут оплачивать онлайн- и офлайн-покупки, проезд в метро, а также получать некоторые госуслуги с помощью биометрии. Доступ к новому сервису получат те, чьи слепки лица и голоса находятся в Единой биометрической системе (ЕБС). Однако большие опасения вызывает степень защиты личных данных, мнения экспертов по этому поводу расходятся. Координатор центра безопасного интернета Урван Парфентьев рассказал «360», что риски утечки есть всегда.
«В основном речь идет о двух видах биометрии: лица и отпечатки пальцев. Биометрические данные — это понятие очень широкое. Если брать буквально определение биометрии, которое сейчас действует, то самое смешное, что туда подпадают и фотографии», — отметил Парфентьев.
Хакер не дремлет
Если где-то есть определенные массивы данных, то они рано или поздно утекут. Вероятность присутствует всегда, и она тем выше, чем более интересны эти данные, заявил спикер. По его словам, «хороший аналитик среди преступников» может набрать необходимую информацию из слабо охраняемых баз данных, где содержатся третьестепенные сведения, и получить достаточно неплохой портрет своей целевой аудитории: жертвы или жертв.
«С биометрией ситуация совершенно особая, потому что если биометрическим данным причиняется вред, он не компенсирует. В принципе любой нематериальный вред, по сути дела, не компенсируем», — подчеркнул он.
Скомпрометирован раз — скомпрометирован навсегда
С биометрией все гораздо хуже, потому что предполагается, что по ней будут авторизовываться серьезные и юридически значимые действия, посчитал он.
«Если у вас, допустим, скомпрометировали данные вашего паспорта, вы всегда можете пойти паспорт поменять. Данные вашего паспорта изменятся. Если у вас подделали подпись, вы всегда можете изменить подпись. Заменить документ можно, но как заменить лицо? Проблема в том, что если ваши данные биометрические оказываются скомпрометированы раз — они оказываются скомпрометированы навсегда, на всю жизнь», — уверен координатор центра безопасного интернета.
Особенно это опасно, по мнению Парфентьева, для несовершеннолетних, потому что может повлиять на возможность получить ту профессию, которую они хотят. Кроме того, есть риск утечки медицинских данных. Парфентьев уверен, что пока в использовании биометрии больше минусов, чем плюсов. Именно поэтому в экспертном сообществе присутствует недоверие к таким данным, особенно при сверхконцентрации в одном месте.
«Нужно проводить постоянный аудит на предмет безопасности тех систем, которые являются клиентскими по отношению к ЕБС, то есть где происходит сбор биометрии. <…> Мы видим, что граждане по мере повышения своей цифровой грамотности, конечно, осознают повышенные риски, связанные именно с биометрией», — добавил он.
Так ли все страшно?
Эксперт по кибербезопасности Павел Мясоедов наоборот считает, что использовать биометрические данных для подтверждения личности или оплаты в магазинах — не только безопасно, но и очень удобно.
«Возможность оплаты посредством наших биометрических данных в магазинах и различных учреждениях — продолжение на технологическом уровне тематики, которую недавно упоминал президент России Владимир Путин под названием „электронный паспорт“. Все персональные данные хранятся на том же самом на портале „Госуслуги“ или „Мои услуги“», — отметил он.
Специалист подчеркнул, что портал является так называемой государственной информационной системой, которая регулируется в рамках Федерального закона № 149, который накладывает на такого рода системы очень высокие требования по информационной безопасности. Все они относятся к классу КИИ — критической информсистемы, поэтому надежно защищены.
«Это реально безопасно», — заявил Мясоедов.
Привет мошенникам
Подобные системы взламывают посредством социальной инженерии, пояснил эксперт, но это то, от чего не защищен практически никакой пользователь. Для борьбы с проблемой существуют так называемые методы двухфакторной аутентификации или как раз методы аутентификации по биометрии, потому что такие данные подделать очень сложно.
«К биометрическим данным относятся те данные, которые указывают на определенного индивидуума. То есть вам требуется соединить фотографию вашу с конкретными данными, например, паспортными данными, которые указывают на вашу личность. В этом случае это будет биометрия. В рамках госуслуг, например, создается единый удостоверяющий документ. Для этого вы заполняете необходимые поля, после чего у вас появляется возможность использовать эти данные для внешней аутентификации», — пояснил он.
Эта аутентификация может выполняться просто для удостоверения вашей личности. То есть в данном случае показывается через QR-код и через него запрашивается доступ к информсистеме. Дальше с помощью наложенных средств криптозащиты канал делают безопасным, чтобы невозможно было подменить информацию. Либо используется эта технология как раз для оплаты. В этом случае лицо человека является биометрическим слепком, который все равно сверяется персональными данными для доступа.
«Например, для отправки лица, чтобы получить доступ к информационной системе и послать туда слепок, создают специализированные интеграции. Это большая проектная работа. Если какое-то финансовое учреждение хочет запустить систему оплаты по биометрии, оно должно осуществить необходимые для этого меры информбезопасности, которые на самом деле на сегодняшний день будут одни из самых высококлассных на рынке», — добавил собеседник.
Безопасность на высшем уровне
При оплате по биометрии все очень серьезно — это по-настоящему защищенный криптографическим способом канал связи, который как раз сопоставляет лицо с данными. По словам Мясоедова, шифровка направлена на защиту от подмены, и эта интеграция делается заранее, соответственно, она безопасна.
Мнение о том, что хранить данные в одном месте небезопасно — спорный момент. На самом деле биометрические данные в отрыве от конкретных задач не несут большого риска населению, отметил Мясоедов.
«То есть если вы их используете для каких-то банковских транзакций — да, здесь есть риск, но для этого будут происходить сложные, очень интеграционные процессы между банками и площадками, где это эта биометрия будет храниться. В любом случае будет, скорее всего, двухфакторная аутентификация. Например, будет необходимо подтверждать транзакции выше одной тысячи рублей посредством какого-нибудь кода», — обратить внимание спикер.
Мошенники вряд ли смогут взломать их и воспользоваться данными в каком-либо ключе.
Запрещать использовать персональные данные неэффективно
Любой человек может зайти на портал «Госуслуги» и через настройки запретить использовать свои персональные данные. Для этого также существуют определенные законодательные основания.
«Но в рамках современного общества это практически неэффективные меры, потому что так или иначе данные каждого пользователя в государственных информацсистемах различного рода существуют. Поэтому если вы не какая-то публичная личность или известный бизнесмен, нет особых рисков, связанных с вашим именем, то дополнительно предпринимать какие-то меры просто нецелесообразно. По той причине, что большинство данных и так гуляет. Вопрос, кто их использует и для каких целей — самое главное», — рассказал Мясоедов.
Для аутентификации, например, это безопасно, для банковских транзакций, даже если эти данные куда-то и будут передавать и использовать, нужно давать дополнительное согласие банкам.
«А транзакции выше определенного уровня будут подтверждаться двухфакторной аутентификацией, поэтому дополнительных каких-то рисков здесь не возникнет, это, скорее, удобство», — посчитал собеседник.
Дорого и нереально. В России самый защищенный финтех
Что касается других рынков технологий, тот же самый Apple Pay, который тоже является своего рода аутентификацией по лицу для финансовых технологий, развиты в ряде стран. Системы определения лица мобильных девайсов разрешают финтеховским приложениям осуществлять транзакции.
«Эта технология развита, но у нас исторический финтех является одним из лидирующих в мир. К нему относятся все решения, которые строятся вокруг банковских структур, поэтому за этим следует не только удобство пользователей, но уровень безопасности. У нас один из самых защищенных и эффективных финтехов», — произнес эксперт.
Сейчас финтех в основном борется не с проблемами взлома систем, а предотвращением мошеннических действий, вызванных невнимательностью пользователей. Иначе говоря, когда пользователь сам совершает какие-то неуместные вещи, финтех пытается это предотвращать, используя сложные алгоритмы, объяснил Мясоедов. А на уровне взлома серьезных банковских структур известно мало случаев — это сейчас очень сложно, дорогостоящая и нереальная история.
Сделать жизнь проще
Для охраны биометрических данных россиян скрестят два самые защищенные методы: финтеха и госинформсистем. Мясоедов напомнил, что опыт предыдущих лет показал, что 99% утечек происходили не на уровне госинформсистемы, а на уровне частного сектора вроде сервисов, доставки или интернет-магазинов.
«Эта инициатива просто будет улучшать нашу жизнь, она будет безопасной. Если вдруг вы переживаете о том, что это может создать дополнительные риски, нужно помнить — транзакции выше определенного уровня подтверждают дополнительно. Все равно это один из элементов, упрощающий нашу жизнь. Например, нам карточку не надо носить. Но это не значит, что нам не надо будет предъявлять пароль какой-то или давать дополнительное подтверждение», — еще раз напомнил эксперт.
К тому же, добавил он, транзакцию можно отменить. Мясоедов уточнил, что данные паспортов россиян есть в государственной системе МВД, ФНС, но никаких проблем это не влечет.