Небезопасная биометрия: эксперты предупредили о высоких рисках кражи персональных данных

После получения Единой биометрической системой (ЕБС) государственного статуса и новостей об интеграции системы с порталом Госуслуги самым обсуждаемым вопросом стала гарантия безопасности биометрических персональных данных пользователей.

По словам Заместителя Председателя Правительства России Дмитрия Чернышенко, специалисты ведут разработку нового фактора аутентификации для пользователей портала Госуслуг, а именно входа в личный кабинет с помощью данных Единой биометрической системы. Эти меры должны будут повысить безопасность персональных данных, однако некоторые эксперты придерживаются совершенно противоположного мнения.

Также общественность насторожили слухи о том, что для активной стимуляции граждан сдавать свою биометрию, Минцифры могут прибегнуть к некоторым ограничениям. Например, по данным некоторых источников, получение части госуслуг онлайн для граждан, не сдавших биометрию, станет недоступно.

«Без особой необходимости подключаться к ЕБС и сдавать в нее свою биометрию не стоит!», - считает Алексей Лукацкий, бизнес-консультант по безопасности Cisco. Все дело в том, что ЕБС прошла всего одно испытание из трех необходимых, а именно технологическое, в рамках которого сравнивают конкурирующие алгоритмы распознавания лиц на биометрических данных одной группы людей и при использовании единой тестовой базы данных. То есть «сценарии, связанные с подменой данных, взломом базы данных, модификацией алгоритма и т.п. в сертификационные испытания не включаются и их никто не проверяет», - пояснил Лукацкий.

По мнению Алексея, биометрия – это не первый и даже не второй фактор аутентификации пользователей во многих системах, однако существуют и такие системы, в которых биометрия является единственным фактором, например FacePay. «А после того, как Банк России вместе с Минцифры договорились, что удаленная идентификация и аутентификация может быть проведена через Госуслуги, число мошенничеств с выданными на мошенников кредитов, оформленных электронных кошельков выросло многократно», пишет эксперт.

Также скептически к нововведениям относится директор и соучредитель АНО «Информационная культура» Иван Бегтин. «Тезисы о том, что биометрия обеспечивает лучшую защиту очень спорный. Утечка биометрических данных невосполнима, лицо, отпечатки пальцев, голос и многое другое - не поменять и кроме биометрии есть и другие пути идентифицировать граждан/пользователей», - прокомментировал эксперт в своем Telegram-канале. К тому же Бегтин отметил, что никакой широкой просветительской деятельности по этому вопросу государство не проводило, что еще сильнее усилило скептицизм граждан.

При этом Валентин Макаров председатель правления «Руссофт» считает, что расширение использования биометрии, в частности «переход на электронные паспорта с биометрическими данными является закономерным следствием развития информационных технологий…  И одновременно несет в себе более высокие риски кражи персональных биометрических данных и их незаконного использования», - отмечает эксперт в своем Telegram-канале.

Многие эксперты выразили свое отрицательное отношение к «стимуляции ограничениями» для более активной сдачи биометрических персональных данных через Госуслуги. Однако, возможно, этот вопрос Минцифры уже успело снять, опубликовав на своем официальном портале 18 января статью, где говорится, что «Пользователи портала смогут получать услуги дистанционно с помощью биометрии, при этом все существующие сервисы останутся доступными тем, кто откажется от сдачи биометрических данных». Однако поскольку работы, связанные с интеграцией сайта «Госуслуги» с государственной информационной системой «Единая биометрическая система» (ГИС ЕБС), будут закончены только к декабрю 2022, подобные заявления могут оказаться неокончательными.

Также замглавы Минцифры России Олег Качанов напомнил, что сейчас пользователи могут защитить аккаунт от кражи с помощью двухфакторной аутентификации (числового SMS-кода). «Минцифры планирует сделать опцию SMS-подтверждения авторизации по умолчанию включенной, чтобы повысить безопасность учетных записей. Еще пользователь может включить в профиле опцию контрольного вопроса, ответ на который известен только ему. Это поможет при восстановлении доступа к учетной записи», — добавил Качанов. Однако как это поможет в случае кражи биометрических данных пока остается неясным.

Фото: Pixabay