Есть ли "жизнь" после ЕБС?

Единая биометрическая система (ЕБС) существует как государственная с 30 декабря 2021 г. Попробуем разобраться, как изменилась за это время биометрическая отрасль в России.

Прежде чем дать оценку сегодняшнего состояния биометрической отрасли, я решил поинтересоваться: а что за рубежом могут сказать о ЕБС и развитии биометрии в России? Как обычно, ничего положительного. Даже про масштабные проекты типа ЕБС и биометрии в московском метро информации почти нет, кроме того, что система распознавания лиц позволяет отслеживать диссидентов [1].

Реализация ЕБС позволила (или позволит в будущем) решить задачу централизации хранения биометрических данных граждан с целью их безопасности. Возникают сомнения: а зачем изображение моего лица, которое можно скрыто сфотографировать, надежно прятать? Та же ситуация и с голосом: получить его образец, позвонив мне по телефону, достаточно просто.

Влияние на биометрическую отрасль закона 572-ФЗ

Законы надо исполнять, несмотря на то, что не всегда понятно как. Больше всего на ситуацию в сфере биометрии в России может повлиять ст. 15 572-ФЗ [2], [3]. В ней напрямую запрещается обработка, включая сбор и хранение, биометрических персональных данных, используемых в целях идентификации (распознания/опознания), за исключением их обработки для размещения в ЕБС.

Запрещена и обработка, включая сбор, биометрических персональных данных, используемых для аутентификации (проверки подлинности), опять-таки за исключением их обработки для подтверждения соответствия векторам ЕБС и размещения в самой ЕБС.

Проблемы биометрических разработок

Хранить биометрические персональные данные, используемые для аутентификации, можно только 10 суток.  Возникает вопрос: а что теперь делать разработчикам биометрических технологий, если они хотят в инициативном порядке разработать новую систему распознавания, надо ли обращаться в ЕБС (или ЦБТ) с просьбой о разрешении начать такие работы?

Российские фирмы всегда занимали ведущее положение в мире по разработке биометрических технологий, поэтому проблема злободневная.

Проблемы пользователей биометрических систем

Следующим проблемным пунктом [4] может являться ст. 13 того же закона: "Идентификация и (или) аутентификация с использованием биометрических персональных данных физических лиц при проходе на территории организаций… осуществляются с использованием единой биометрической системы". То есть все биометрические СКУД необходимо переделывать под взаимодействие с ЕБС и в дальнейшем оплачивать это взаимодействие.
Можно, конечно, пройти аккредитацию в Минцифре и обрабатывать биометрические персональные данные самостоятельно, но при этом организации должны выполнить целый ряд условий (для компаний, проводящих аутентификацию):

• минимальный размер собственных средств (капитала) составляет не менее чем 500 млн руб.;
• финансовое обеспечение ответственности за убытки, причиненные третьим лицам вследствие их доверия к результату аутентификации на основе биометрических персональных данных, осуществленной организацией, в сумме не менее чем 100 млн руб.;
• наличие лицензии ФСБ на криптографию;
• наличие прав собственности на сертифицированные СКЗИ;
• не менее двух сотрудников с высшим образованием в области ИТ или ИБ.

Для компаний, проводящих аутентификацию и идентификацию, требования еще жестче.

Мнений представителей компаний, использующих биометрические СКУД, по этому вопросу я в Сети не нашел.

Отказ граждан от сдачи биометрии

Следующим знаковым событием стал массовый отказ граждан от сдачи биометрии, которое произошло на фоне фейка о необходимости отказаться от сдачи к 1 сентября 2023 г.

Центры госуслуг [5] оказались не готовы к неожиданному наплыву сотен посетителей. Люди (в основном это были пенсионеры) приходили еще до открытия МФЦ. Паника охватила многие регионы. В МФЦ Башкортостана заявляли, что число посетителей в августе выросло в три раза. В МФЦ Дагестана в конце августа было подано 11 тыс. заявлений. При этом за все предшествующие месяцы 2023 г. МФЦ этого региона получили всего 4 тыс. заявлений.

Попытки Минцифры оправдаться за этот провал выглядят крайне неубедительно. Минцифры подсчитало количество отказавшихся и объявило, что их менее 1%. Правда, проценты непонятно от чего.  Причем отказываются в основном пенсионеры [6].

Нужна защита от подделок!

Cоциальные аспекты внедрения биометрических технологий становятся более заметными. При этом внятного обоснования надежности работы биометрической системы пока не видно.

Проблемы же биометрических систем в части защиты от подделок пока что актуальны. 72-летняя москвичка [7] обратилась в полицию, когда с ее счета внезапно пропали все деньги. При этом в банке объяснили, что деньги женщина сняла сама. По записям с камер стало ясно, что ее 49-летняя дочь взяла паспорт матери, сделала грим и оделась в ее одежду и, сняв деньги, отправилась в ЦУМ за новым айфоном и по салонам красоты.

При этом необходимо отметить, что биометрическое распознавание всегда дает статистическую ошибку и не является абсолютно надежным способом определения личности. Этими реалиями, видимо, было определено недавнее сообщение первого зампреда Центрального банка Российской Федерации (Банка России) Ольги Скоробогатовой [8], что Банк России планирует разделить на несколько групп биометрические образцы, которые банки передают в единую биометрическую систему. В зависимости от степени их соответствия требованиям будет определен круг разрешенных операций – по аналогии с Госуслугами.

"Слепки (правильный термин – биометрические образцы. – Прим. автора), которые могут передавать банки, они не все соответствуют требованиям по слепкам, с которыми можно делать все виды операций. Но у нас будет несколько уровней биометрических данных, в зависимости от того, насколько они соответствуют или не соответствуют требованиям", – сказала Скоробогатова. Правда, эти группы пока находятся в стадии разработки. То есть ЕБС внедрили и теперь начали задумываться, как ее применять.

Зарубежный опыт в части защиты биометрических данных

У наших бывших партнеров [9] уже давно действует GDPR (General Data Protection Regulation, общий регламент о защите данных) – закон, принятый Европейским союзом с целью урегулирования и обеспечения прозрачности процесса обработки персональных данных.

GDPR предусматривает, что пользователи вправе получать полную информацию о содержании данных и условиях обработки.

Закон подробно раскрывает многие стороны процесса защиты и обработки персональных данных. Например, в ст. 5 GDPR содержатся принципы, касающиеся обработки персональных данных:

1. Персональные данные могут быть получены только законным способом. Существует лишь шесть законных оснований для обработки персональных данных (ст. 6 GDPR): жизненный интерес, контракт, требование закона, публичный интерес, легитимный интереc, согласие. Прежде чем собирать данные, нужно найти в данном перечне одно правовое основание, подходящее под вашу ситуацию.
2. Принцип ограничения целью. Для любой обработки компания должна назвать конкретную цель, а потом строго ее придерживаться, не выходя за рамки названной цели.
3. Принцип минимизации данных.
4. Принцип точности.
5. Принцип ограничения хранения.
6. Принцип целостности и конфиденциальности.
7. Принцип подотчетности.

К сожалению, по многим аспектам, затронутым в GDPR, аналогичные ответы в отношении ЕБС пока не получены.

Наверное, следует больше рассказывать гражданам о работе ЕБС, ее задачах и, главное, рисках и путях их минимизации, которые возможны при использовании персональных биометрических данных.

Кроме этого, можно использовать технологии повышения конфиденциальности (Privacy Enhancing Technologies, PET), которые воплощают фундаментальные принципы защиты данных за счет минимизации использования личных данных, максимального повышения безопасности данных, и рассказывать об этих технологиях. PET позволяют онлайн-пользователям защищать конфиденциальность своей личной информации, используя методы минимизации владения личными данными в информационной системе без потери функциональности [10].

Так что вопрос о "жизни", то есть существовании биометрии после ЕБС, пока под вопросом. Это мое личное мнение. Мы также задали несколько вопросов на эту тему экспертам Некоммерческого партнерства "Русское биометрическое общество".

Как вы оцениваете результаты внедрения и работы ЕБС?

Вадим Коломиец, Сонда Технолоджи

Разработка и внедрение ЕБС ведется уже более пяти лет. Разработчик системы – Ростелеком.

Вначале планировалось использовать систему только для банковской сферы (дистанционное открытие счетов, получение кредитов). Центральный банк РФ обязал ведущие российские банки начать сбор биометрических данных клиентов (лицо и голос), закупить оборудование и программное обеспечение, оборудовать пункты сбора биометрических данных в 80% офисов банков. К ЕБС было подключено 218 банков, в 13 тыс. отделениях были оборудованы рабочие места для сбора биометрических данных. Была поставлена амбициозная цель увеличить количество записей в ЕБС с 236,4 тыс. (по данным на 2022 г.) до 70 млн. Сколько всего собрано данных в настоящее время, не публикуется. Коммерческие банки, по данным прессы, собрали 40–50 млн уникальных слепков, но только 10% из них соответствуют требованиям ЕБС. Для развития ЕБС планировалось также создание совместного предприятия с участием Ростелекома и СберБанка, но СберБанк отказался от этой идеи.
Все это говорит о том, что население без особого энтузиазма восприняло нововведение.

Людям не совсем понятно, для чего это необходимо. Практически у каждого взрослого россиянина имеется два – три счета в банках. Для чего открывать новые счета и брать кредиты дистанционно – никто не понимает, тем более что мошеннические схемы постоянно совершенствуются, особенно с учетом возможностей технологии глубокой подделки лица и голоса – DeepFake. Опасения клиентов банка вызывают публикации о суммах похищенных средств мошенническим путем. Только во II квартале 2021 г., по данным Центрального банка РФ, объем хищений составил 3 013 млрд руб.

Поэтому у населения нет желания сдавать свои биометрические данные, что подтверждает массовый поток людей в августе этого года в МФЦ для подачи заявления о запрете сбора данных в банках после публикации информации в сетях о том, что с 1 сентября будут у всех собирать биометрические данные без согласия клиентов.

Егор Голубкин, Прософт-Биометрикс

Летом этого года вступили в силу основные положения 572-ФЗ. Что мы сейчас наблюдаем? Компания Biosmart, являясь вендором, производителем и поставщиком биометрических решений по геометрии лица, видит, что рынок устройств замер. Более того, кратно уменьшилось количество внедрений, а в коммерческой сфере все стараются ориентироваться на те виды биометрии, которых нет в ЕБС.

Почему так произошло? Дело в том, что связь с ЕБС неминуемо влечет за собой дополнительные издержки в виде платы за сервис. Внедряя коммерческую биометрическую систему, клиент вынужден будет платить за предоставленное ему оборудование и сервис идентификации.

Александр Горшков, Айрис Девайсез

Пока оценивать рано. Большие изменения, связанные с ЕБС, произошли после принятия 572-ФЗ. Предполагаю, что вся инфраструктура и программное обеспечение, созданное Ростелекомом до передачи ЕБС в АО "Центр биометрических технологий", обеспечивают надежную работу системы и ее защиту. Значительно большее влияние на развитие и использование биометрии оказало именно принятие 572-ФЗ, в котором не полностью регулируется (а точнее сказать, не регулируется) использование модальностей, отличных от биометрии лица и голоса.

Михайло Павлюк, ТРИДИВИ

Пока сложно оценить результаты работы системы. С одной стороны, мы видим увеличение количества сервисов и процессов, в которых используется ЕБС, и это, несомненно, большой плюс. С другой стороны, часть пользователей с негативом отнеслась к запуску работы ЕБС, и тут, кажется, немного не доработали маркетинг и PR.

Что нового привнесло внедрение единой биометрической системы?

Вадим Коломиец, Сонда Технолоджи

Несомненно, разработка ЕБС внесла положительный импульс в развитие биометрических технологий, позволила разработчикам системы использовать все лучшие разработки российских вендоров биометрических технологий.

Егор Голубкин, Прософт-Биометрикс

Явный положительный момент – это, конечно, колоссальный уровень безопасности, который теперь дает ЕБС. Да, требования системы строгие, но при этом они обеспечивают безопасность высокого уровня.

Хотя, конечно, важно понимать, когда и для чего нужна эта безопасность. Да, она нужна, когда речь идет о банковских сервисах; да, нужна, когда проводится авторизация на Госуслугах. Но стоит ли платить за биометрию, когда она используется для учета рабочего времени? Вся экономическая выгода, которую получали при внедрении, теперь будет направлена в обратную сторону – на увеличение стоимости владения системой, интегрируемой с ЕБС.

Александр Горшков, Айрис Девайсез

После внедрения ЕБС глобальных изменений в повседневной жизни пока не наблюдается. Но некоторые моменты, такие как подтверждение авторизации на Госуслугах и проход по биометрии лица в метро, широко обсуждаются гражданами нашей страны, и мнение о биометрии у населения начало формироваться.

Михайло Павлюк, ТРИДИВИ

Внедрение принесло на рынок описанные законодательные правила. Возможно, не всегда интуитивно понятные, но наличие любых правил гораздо лучше их отсутствия.

Что положительного вы можете отметить в ЕБС?

Вадим Коломиец, Сонда Технолоджи

Видимо, с учетом проблем по внедрению ЕБС в банковской отрасли было принято решение о расширении сферы использования ЕБС. В частности, принятый в декабре 2022 г. Федеральный закон № 572-ФЗ предполагает использование ЕБС в системах контроля и управления доступом (СКУД), в том числе и на предприятиях критической инфраструктуры (атомная, химическая, оборонная, топливно-энергетическая и транспортная отрасли). В данном случае использование только двух биометрик (лицо и голос) явно недостаточно для надежной работы системы. По всей вероятности, необходимо расширять перечень используемых биометрических данных, а именно использовать также отпечатки пальцев, рисунок вен и радужную оболочку глаз, тем более что имеющиеся разработки отечественных компаний по этим направлениям не уступают, а во многом и превосходят зарубежные системы.

Егор Голубкин, Прософт-Биометрикс

Очень ценно и важно, что теперь все, что касается биометрии, получило свой особый правовой статус. Перед тем как принять закон по ЕБС, добавили соответствующие ГОСТы и нормативные документы, регулирующие качество биометрических данных.

Александр Горшков, Айрис Девайсез

Надо понимать, что ЕБС сама по себе не предоставляет конечным пользователям какие-то принципиально новые услуги. Заявления, что биометрические данные стали лучше защищены, – это пока только устные заявления. Посмотрим через несколько лет, как эта система будет противостоять хакерским атакам и алгоритмам генерации биометрических данных. А вот принятие 572-ФЗ оказало существенное влияние на разработчиков биометрических решений. Стали развиваться более быстрыми темпами алгоритмы машинного зрения (в том числе идентификация флоры и фауны и др.) и анализ речевых данных (эмоциональная оценка, голосовое управление и т.д.). Успешно развиваются алгоритмы генерации голоса и фото-/видеоизображений.

Михайло Павлюк, ТРИДИВИ

Из положительных моментов хотел отметить создание государственной базы голосовой биометрии. Если лицевая биометрия в каком-то виде государством собиралась, то голос никогда. И это дает дополнительную степень свободы решениям на базе ЕБС.

Есть ли отрицательные результаты внедрения ЕБС?

Вадим Коломиец, Сонда Технолоджи

Главный отрицательный результат – это нежелание и недоверие граждан к использованию биометрических данных, особенно в банковской сфере, в связи с боязнью потери финансовых средств.

Возможно, что использование многофакторной идентификации в системах контроля доступа, в ритейле, на транспорте, в гостиничном бизнесе и других областях позволит расширить сферу использования биометрии и восстановит доверие граждан. Но для этого необходимо, чтобы система была удобна в использовании, надежно работала и была на 100% защищена от мошенников.

Егор Голубкин, Прософт-Биометрикс

Из отрицательных моментов внедрения отмечу, что некоторые биометрические модальности, например геометрия лица, становятся недоступны для небольших компаний. В первую очередь это связано с удорожанием стоимости владения такой системой.

С точки зрения законодательства не до конца проработан вопрос использования идентификации по геометрии лица на объектах критической инфраструктуры. Там сейчас просто нечего ставить: не подготовлены необходимые сервисы, нет специальных серверов (локальные компоненты). Коллеги, которые занимаются транспортной безопасностью и уже внедрившие биометрию по лицу, находятся в непонимании. Очевидно, что они должны использовать ЕБС, транзакционную модель, но при этом у них практически полностью отсутствует инфраструктурная часть.

Александр Горшков, Айрис Девайсез

Основным упущением при реализации ЕБС является нечеткое ее позиционирование для граждан. Мне как конечному потребителю непонятно, какие плюсы я получу от ее использования. Возможно, в будущем этому вопросу будет уделено больше внимания.

Михайло Павлюк, ТРИДИВИ

Удорожание локальных небольших проектов. За счет специальных требований по ИБ некоторые проекты, например небольшие биоскуды, становятся нерентабельными при реализации конечными клиентами. Но думаю, рынок найдет варианты решения и такого рода задач.

Список литературы

1. https://findbiometrics.com/the-mlb-pitchesbiometric-access-identity-news-digest/
2. https://expert.ru/expert/2023/16/monopoliya-na-biometriyu/
3. Федеральный закон от 29.12.2022 № 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации".
4. https://lukatsky.ru/trends/mozhno-li-ispolzovat-svoyu-biometriyu-vnutri-predpriyatiya.html
5. https://expert.ru/expert/2023/38/sbor-biometrii-poseyal-paniku/
6. https://ria.ru/20230913/biometriya-189616 5452.html 
7. https://www.gazeta.ru/social/news/2023/09/ 21/21334615.shtml 
8. http://www.finmarket.ru/main/article/6024664
9. https://data-privacy-office.com/what-is-gdpr/
10. https://en.wikipedia.org/wiki/Privacy-enhancing_technologies 

Опубликовано в журнале "Системы безопасности" № 5/2023

Все статьи журнала "Системы безопасности"
доступны для скачивания в iMag >>

Фото: ru.freepik.com