Биометрия. Закон на стороне пользователей
Владислав Поволоцкий, 07/06/23
При стремительно развивающихся цифровых технологиях в большей степени возникает необходимость в защите персональных данных. В связи с этим значительные усилия государственных и негосударственных структур направлены на разработку механизмов, способных обеспечить их сохранность и недоступность для мошенников. Одним из таких инструментов сегодня выступают биометрические технологии. Это не только способ обезопасить клиентский путь, но и сделать его простым, комфортным, легким и доступным из любой географической точки.
В декабре 2022 г. президентом России подписан закон о биометрических данных № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных". Он призван отрегулировать сферу использования биометрии и повысить сохранность таких данных, дать возможность гражданам управлять своей биометрией и внедрить новые технологические подходы в работе сервисов – более современные и безопасные.
Центр Биометрических Технологий (ЦБТ) является оператором государственной информационной системы "Единая система идентификации и аутентификации физических лиц с использованием биометрических персональных данных" (единая биометрическая система).
ЦБТ обеспечивает сбор, хранение, обработку и проверку биометрических персональных данных с учетом требований действующего законодательства РФ. Ключевыми компетенциями компании являются разработка, развитие и продвижение цифровых технологий идентификации и аутентификации, а также сервисов подписания и хранения документов, включая создание, развитие и эксплуатацию коммерческих сервисов и типовых решений.
Вся биометрия в единой базе
В соответствии с новым регулированием коммерческие и государственные организации должны передать накопленные данные – образцы фотографий и голоса в государственную информационную единую биометрическую систему (ГИС ЕБС). Законом устанавливается запрет на сбор и хранение биометрических данных в иных информационных системах. Первичные данные будут храниться только в ГИС ЕБС. У организаций или госорганов, получивших аккредитацию, остается право на обработку поступающих в их системы векторов биометрии для оказания услуг и работы с обращениями граждан.
Организации начнут процесс передачи биометрии пользователей уже с 1 июня. С этой же даты сбор биометрии организациям в собственные базы будет запрещен.
Все организации, которые ранее собирали биометрию, обязаны до 30 сентября 2023 г. передать ее в ГИС ЕБС, а затем удалить биометрические данные из своих систем и уведомить об этом Роскомнадзор.
Законом предусмотрено обязательное уведомление пользователя за 30 дней о передаче данных в ГИС ЕБС. В этот период клиенты могут отозвать согласие на обработку биометрических персональных данных. Тогда биометрия не будет передана в ГИС ЕБС и будет удалена из системы организации.
Как быть коммерческим организациям?
Организации, планирующие оказывать услуги и сервисы для клиентов по биометрии в целях аутентификации, должны будут пройти аккредитацию Минцифры. Требования к таким организациям, например в части финансового обеспечения и информационной безопасности, установлены в 572-ФЗ. Правила проведения аккредитации устанавливаются подзаконными актами. Организации смогут начать аккредитацию с 1 июня 2023 г.
Аккредитация позволит организациям:
- обрабатывать биометрические данные для проведения аутентификации граждан в своих системах для оказания услуг;
- предоставлять услуги по аутентификации для других компаний;
- получать векторы ГИС ЕБС и хранить их в своей информационной системе. Векторы – это математические шаблоны биометрических образцов.
Если организации не хотят аккредитовывать свою систему, закон позволяет им подключиться к единой биометрической системе напрямую либо получать услуги у аккредитованной организации.
С 1 января 2025 г. на коммерческие системы при аккредитации будут распространяться те же требования, что и к государственным системам.
Векторы вместо биометрии
Коммерческие системы при оказании услуг будут работать только с векторами из ГИС ЕБС. Организации, ранее собиравшие и передавшие по согласию граждан в ГИС ЕБС биометрические данные, смогут получить обратно данные в виде векторов. Это позволит сохранить имеющиеся сервисы и для граждан, и для компаний. Для процесса обработки векторов в подзаконных актах описаны возможные угрозы безопасности и способы защиты. К векторам не применяются положения ст. 11 закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных" и меры по обеспечению безопасности биометрических данных, установленные в соответствии со ст. 19 данного закона.
Организация работы СКУД под требования 572-ФЗ
Кто перед камерой? Вопросы безопасности
Чтобы система могла правильно идентифицировать личность человека, она должна определить, реальный ли человек перед камерой. Мошенники могут попытаться использовать фейковые биометрические данные, например распечатать фотографию, сделать видеозапись или маску, пытаться изменить внешность или найти близнеца. В биометрической системе для таких случаев предусмотрен специальный механизм, который умеет четко различать, живой перед ним человек или техническая уловка, и защищаться от атак подобного рода. Этот механизм называется Liveness Detection (проверка живости). Cовременные активные и пассивные Liveness-биопроцессоры постоянно обучаются для модификации своих алгоритмов, поэтому вероятность несанкционированного использования биометрии близка к нулю.
К примеру, если человек находится без сознания, а мошенники пытаются воспользоваться его биометрическими данными, активный Liveness не даст обмануть систему.
При самостоятельной регистрации биометрии в ГИС ЕБС попытки мошенников подобрать фейковые биометрические образцы будут ограничены количеством возможных неудачных регистраций. В сервисах организаций использование биометрии можно дополнительно защитить двухфакторной аутентификацией.
Модели взаимодействия с ГИС ЕБС – транзакционная и векторная
Типы биометрии
Законом также определен порядок регистрации биометрии в ГИС ЕБС. Если биометрия была сдана лично пользователем в отделении банка, она считается подтвержденной и позволяет получить все доступные по биометрии услуги.
Биометрию также можно зарегистрировать самостоятельно через мобильное приложение "Госуслуги Биометрия" с помощью загранпаспорта нового образца. Такая биометрия называется стандартной, она дает доступ к ограниченному количеству услуг. Еще один тип биометрии – импортированная. Это данные, которые поступают в ГИС ЕБС в процессе передачи из других организаций, где были собраны.
В случае прохождения контроля качества и при наличии привязки к профилю "Госуслуг" по возможным сценариям использования импортированная биометрия практически приравнивается к стандартной.
Сейчас в единой биометрической системе используются две модальности: голос и лицо. Модальности могут использоваться в рамках различных сценариев как вместе, так и по отдельности. В будущем список обрабатываемых типов биометрии может быть расширен, это будет урегулировано отдельным актом.
Типы собранных биометрических данных
Принцип добровольности
С 1 января 2024 г. управлять биометрией можно будет в режиме "одного окна" через личный кабинет на "Госуслугах". Это позволит оперативно отозвать согласие на обработку у конкретной организации или полностью удалить биометрию из ГИС ЕБС. В едином окне гражданин сможет увидеть все согласия, которые он когда-либо давал на обработку своих биометрических данных. Такой механизм даст возможность отказаться от нежелательных случаев использования данных или, наоборот, предоставит информацию о доступных по биометрии сервисах.
Помимо возможности управлять биометрией в режиме "одного окна", в законе четко указан добровольный порядок регистрации биометрии для гражданина. Сбор и хранение биометрии в ЕБС возможны только с согласия человека. Если он не хочет использовать биометрию, никто не имеет права отказать ему в других способах предоставления услуг и сервисов.
Фото автора – оргкомитет Securika Moscow
Опубликовано в журнале "Системы безопасности" № 2/2023
Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>
Фото: ucaspceonline.org