Банки увидели риски мошенничества при самостоятельной сдаче биометрии
Соответствующий законопроект был внесен на рассмотрение в Госдуму в конце апреля группой депутатов во главе с председателем комитета по финансовому рынку Анатолием Аксаковым. Согласно документу физлица смогут самостоятельно сдавать свои биометрические данные (изображение лица и образец голоса) в ЕБС в случаях, определенных правительством по согласованию с ЦБ. Порядок сдачи биометрии в законопроекте не прописан: предполагается, что власти утвердят его впоследствии. Комитет по финрынку еще не ознакомился с заключением НСФР, заявил РБК Аксаков. Представитель Минфина сообщил, что письмо находится на рассмотрении.
ЕБС была запущена ЦБ и «Ростелекомом» в 2018 году для удаленного получения финансовых и иных услуг. Для подключения к ней нужно сдать образцы биометрии в банковских отделениях, а также быть зарегистрированным пользователем портала «Госуслуги». В системе собрано свыше 136 тыс. данных россиян, сообщали РБК в «Ростелекоме». За первые три недели марта, то есть незадолго до объявления в стране нерабочих дней и режима самоизоляции, количество регистраций в ЕБС упало на 10% по сравнению со средними показателями в январе и феврале, а прохождение верификации с помощью системы — на 5%.
Что не так с дистанционной сдачей биометрии
Самостоятельная сдача биометрии содержит риски подмены данных, говорит заместитель председателя правления Совкомбанка Алексей Панферов, который участвовал в разработке заключения НСФР. При удаленной идентификации клиентов неизбежно снизится качество собираемых биометрических данных (хотя бы из-за разных параметров клиентских устройств), а достоверность предоставляемой информации не верифицируется, добавляет руководитель управления информационной безопасности Райффайзенбанка Денис Камзеев.
Что предлагают участники рынка
Представитель «Ростелекома» сообщил РБК, что перечень услуг, доступных через зарегистрированную в банке («подтвержденную») и на мобильном устройстве («стандартную») биометрию, планируется разграничить в зависимости от риска операции. Самыми высокорискованными услугами является открытие счета, вклада или кредита, сказал он, однако соответствующий акт с перечнем услугами еще не утвержден.
Альтернатива биометрии
«Главная проблема данного законопроекта в том, что он вносится как необходимая мера, которая должна обеспечить доступность финансовых услуг во время пандемии коронавируса. Однако сдача данных самостоятельно резко не повысит популярность ЕБС у россиян», — отмечает Наумов. Поэтому совместно с предложениями по улучшению законопроекта о биометрии НСФР направил в Госдуму и другие органы власти свой законопроект об организации проверки личности с использованием системы видеосвязи, который предлагает рассмотреть параллельно.
Видеоидентификация для удаленного открытия счета может стать более эффективным способом, считает партнер группы консультирования в области ИТ КПМГ в России и СНГ Оксана Борисова. Ранее ЦБ разрешил банкам открывать счета для социально значимых платежей (ипотечные платежи, пенсии, социальные выплаты и т.п.) удаленно с помощью современных средств связи, однако за месяц действия послабления им не воспользовался ни один крупный банк, выяснил ранее РБК.
«Ее внедрение не требует существенных затрат в отличие от биометрических систем, она может быть в короткие сроки масштабирована. Такая модель также не предусматривает централизованного хранения данных, что снижает риски масштабной компрометации и утечек», — отмечают в АЭД. По словам Борисовой, комплект для сбора ЕБС для одного банковского отделения стоит примерно 2–3 млн руб.
Кроме этого участники АЭД предлагают проходить упрощенную идентификацию с помощью водительского удостоверения, с использованием данных операторов сотовой связи, а также упростить идентификацию для предпринимателей и юридических лиц при получении услуг пониженного риска, которые не требуют открытия счета (например, при заключении договоров эквайринга).
Биометрия в банках: что это, зачем и к чему приведет
Что такое биометрические данные
Биометрические данные — это уникальные физические характеристики человека, которые используются для установления (идентификации) или проверки (аутентификации) личности. К ним относятся лицо, движение губ, сетчатка глаза, отпечаток пальца, рисунок вен и голос.
Зачем банки собирают биометрию
Российские банки собирают биометрические данные клиентов в двух направлениях: для собственных целей, чтобы повысить безопасность, удобство и скорость обслуживания клиентов, а также для Единой биометрической системы (ЕБС), которая была запущена Банком России и «Ростелекомом» летом 2018 года. Эта система позволяет гражданам становиться клиентами банков без посещения офиса за счет удаленной идентификации. В двух этих случаях сдача биометрии для клиентов является добровольной.
Собирать данные в ЕБС (изображение лица и цифровой слепок голоса) по закону должны все банки, однако услуги через ЕБС (открытие счета, выдача кредита и проведение платежей) пока оказывают только несколько кредитных организаций:
Скоро к этому списку должны добавится Росбанк, «Русский Стандарт» и РНКБ. Собственные биометрические проекты реализуют не все участники рынка: из крупнейших игроков это делают Сбербанк, ВТБ, Альфа-банк, Почта Банк и «Хоум Кредит».
Способы использования биометрии кредитными организациями
Как происходит сбор биометрии
Для регистрации в ЕБС необходимо один раз посетить отделение банка с паспортом и СНИЛС, а также иметь подтвержденный аккаунт на сайте госуслуг. Если человек еще не является клиентом банка, ему надо открыть счет. Для сдачи своих данных клиент подписывает согласие на их обработку, после чего сотрудники производят запись образца голоса и делают фотографию. Для записи необходимо прочитать три последовательности цифр. Процедура длится не больше десяти минут. В перспективе сдать данные для ЕБС можно будет в МФЦ или в специальном мобильном приложении, рассказал представитель «Ростелекома».
Процедура сдачи биометрии для собственных систем в каждой кредитной организации может отличаться. Например, ВТБ записывает образцы голоса при общении с оператором. Во время записи разговор может вестись на любую комфортную для пользователя тему, чтобы система могла зафиксировать и записать корректный слепок.
Какими законами регулируется сбор биометрии
В настоящее время работа Единой биометрической системы регулируется двумя законами: «Об информации, информационных технологиях и о защите информации», а также «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». Согласно им, использование ЕБС в новых сферах может определяться только отдельными законодательными актами.
На рассмотрении в Госдуме сейчас находится законопроект о расширении сферы деятельности ЕБС, его принятие позволит использовать систему без необходимости внесения изменений в отраслевое законодательство, а также приведет к появлению внебанковских сервисов, предоставляющих услуги через ЕБС.
Почему немногие хотят сдавать биометрию в банке
Россияне пока с настороженностью относятся к ЕБС: по последним данным «Ростелекома», на август 2020 года в ЕБС было зарегистрировано около 150 тыс. пользователей. Внутрибанковским проектам клиенты передают свои данные охотнее. Так, Сбербанк собрал около 1 млн данных клиентов (точную цифру банк не раскрывает, но всего у него насчитывается 94 млн клиентов), ВТБ — более 130 тыс. У Почта Банка внутреннюю биометрическую идентификацию по изображению лица прошли все клиенты. Несмотря на то, что сдача биометрии является добровольной, отказавшемуся фотографироваться клиенту будет доступен ограниченный перечень услуг, поскольку банк иначе не сможет гарантировать безопасность всех операций, объяснил 100%-ную сдачу биометрии представитель Почта Банка.
Небольшое число клиентов, готовых воспользоваться услугами ЕБС, связано с недостаточной информированностью граждан о такой возможности, считает представитель «Хоум Кредит». По мнению Емельянова из Почта Банка, чтобы применение биометрических шаблонов стало массовым, нужно, чтобы технология вышла широко за пределы банковской индустрии. Как пояснил представитель «Ростелекома», после принятия законопроекта о сферах применения биометрии появятся новые массовые сервисы: оплата по биометрии, дистанционная сдача экзаменов в образовательных учреждениях, сервисы для нотариусов, судопроизводства, а также другие продукты, которые сейчас находятся на стадии проработки — технической и нормативной.
Еще одна причина — сильно преувеличенные страхи, связанные с возможными утечками биометрических данных, добавляет Емельянов. С точки зрения безопасности ЕБС хорошо продумана, говорит руководитель проектов департамента технологического развития СКБ-банка Альберт Усенко. Записанные фото и голос хранятся в виде математической модели, поэтому ее попадание в руки злоумышленников ничего им не даст, объясняет он: «Ценность представляет связка биометрического контрольного шаблона и набор персональных данных пользователей. Поэтому биометрический контрольный шаблон хранится в ЕБС, а набор персональных данных храниться в Единой системе идентификации и аутентификации (ЕСИА). Они обе расположены в разных местах и никак напрямую между собой не связаны».
Биометрические системы — это надежный и апробированный механизм повышения защищенности дистанционного взаимодействия клиентов с организациями, говорит начальник отдела по противодействию мошенничеству Центра прикладных систем безопасности компании «Инфосистемы Джет» Алексей Сизов. Однако, по его мнению, биометрия должна быть дополнительным, а не единственным фактором проверки или подтверждения личности клиента, поскольку фото, видео и голос человека не являются «секретами», как пароли и кодовые слова, а значит, в теории могут быть собраны и использованы без ведома клиентов.
Партнер технологической практики KPMG в России и СНГ Оксана Борисова также видит эффективность применения биометрии в защите от мошенников и считает, что несмотря на риски, ее лучше сдавать для обеспечения безопасности операций и настраивать многофакторное подтверждение проведения операции.
«Наиболее частым сценарием хищения денежных средств является получение данных клиента, необходимых для идентификации и проведения операций в удаленных каналах обслуживания. На сегодняшний день клиент может выбрать различные способы идентификации: обычный PIN-код или пароль, отпечаток пальца, распознавание голоса, проверка с помощью видео и т.д. Ни один из способов не обеспечивает 100%-ную защиту от действий злоумышленников, биометрия — не исключение. Однако использование биометрии в качестве второго или третьего фактора аутентификации может значительно повысить безопасность данных и улучшить клиентский опыт, потому что клиенту не требуется запоминать сложные пароли», — считает Борисова.
Что касается ЕБС, то, по мнению руководителя группы по оказанию услуг компаниям финансового сектора Deloitte Максима Налютина, сдача биометрии важна только в том случае, если клиент собирается активно открывать счета и новые продукты в банках, где он ранее не обслуживался, особенно в условиях эпидемиологических ограничений.
Влияние пандемии на будущее биометрии
Под влиянием пандемии COVID-19 технология начала развиваться быстрее. «За последние полгода по биометрии было предоставлено столько же услуг, сколько за предыдущие полтора года», — пояснил представитель «Ростелекома». Он объяснил это тем, что пандемия сформировала тренд на бесконтактные и дистанционные технологии.
«В сложном 2020 году, когда возникла необходимость перевода всех видов банковских и прочих услуг в дистанционный формат, биометрия стала особенно востребованной. Например, мы наблюдали спрос на использование удаленной идентификации, чтобы стать клиентами банка через мобильное приложение, воспользоваться рядом финансовых услуг, зарегистрироваться и подтвердить учетную запись на портале госуслуг с помощью биометрии», — рассказал директор по инновациям банка «Ак Барс» Дамир Галиев.
ВТБ с помощью голосовой биометрии в контакт-центре уже планирует предоставлять сервисы и услуги, которые ранее были доступны только в офисе, например, разблокировка карт, говорит старший вице-президент банка Чугунов.
Согласно Глобальному исследованию KPMG по банковскому мошенничеству за 2019 год, 67% банковских лидеров инвестируют в инструменты с использованием физической биометрии — голос, отпечатки пальцев, распознавание лиц. Наиболее передовые организации уже вкладываются в развитие более сложной поведенческой биометрии, которая представляет собой сбор уникальных для каждого пользователя набора характеристик, позволяющих составить профиль пользователя и отсеивать мошенников.
Если смотреть на мировой опыт применения биометрии, прежде всего она используется для услуг регистрации новых клиентов в банках и верификации существующих, рассказал руководитель аналитического отдела «Ассоциации ФинТех» Никита Ломов: «Несмотря на то, что пользователи с осторожностью соглашаются на предоставление биометрических данных, мировой опыт показывает, что их использование значительно упрощает процесс взаимодействия клиентов с банками».
Самые известные мировые примеры, по его словам, это:
По аналогии со странами Азии, в России могут начать развиваться сервисы мгновенной оплаты покупок или услуг по индивидуальным чертам лица, считает Ломов:
«Также в ряде европейских стран активно выпускаются биометрические банковские карты, позволяющие пользователям совершать безлимитные операции, для подтверждения которых нужно приложить палец к специальному чипу на карте. Правда, адаптацию данного решения российскими банками предсказать сложно в силу высокого проникновения в России более удобного способа бесконтактной оплаты смартфоном Apple Pay, Android Pay, Samsung Pay и прочих».
Почему вам опасно связываться с биометрической системой удаленной идентификации в банках
В России скоро можно будет брать кредит, открывать счет, лишь показав себя камере смартфона (компьютера) и сказав несколько слов в его микрофон. Но в этих технологиях скрываются большие проблемы.
Те, кто продвигает новую технологию — а это (в порядке заинтересованности) Банк России, вендоры оборудования, технологий, «Ростелеком», Минкомсвязь и просто любители новых технологий, — используют понятие «четыре У» (универсальность, удаленность, уникальность, удобство). По-честному следовало бы говорить о «пяти У», добавив еще одну составляющую — увод денег.
Фигуры умолчания
Именно у этих двух выбранных технологий (сканирование лица и запись голоса) «идентификаторы» (лицо и голос) общедоступны. То есть вы постоянно даете возможность сделать копии своих идентификаторов. Камера на улице или в помещении, кто-то в магазине, в кафе могут записать ваши идентификаторы и сделать по ним свою копию. Особенно учитывая темпы развития компьютерной 3D-графики и 3D-принтеров.
Да, разработчики могут настроить систему удаленной идентификации на минимальную вероятность подделки предлагаемых «образцов» (то есть бороться с ошибкой первого рода). Но тогда вы часами будете снимать селфи и что-то говорить в телефон, поскольку значительно возрастет вероятность ошибки второго рода — непринятия ваших данных как настоящих.
По некоторым исследованиям, Face ID имеет показатель надежности лишь 98% при заявленных 99,9999%. И это при использовании специальной камеры, которой нет в массовых продуктах. Но не думаю, что вам понравится надежность в 98%. Это означает ложное срабатывание в двух случаях из 100. Разработчики удаленной идентификации, вероятно, надеются на совместное использование голоса и лица. Но голос дает слишком высокую вероятность ошибки и очень просто подделывается. Получается, что двухфакторная идентификация (перемножение вероятностей обмана с целью снизить итоговую вероятность) здесь практически не работает.
О чем они даже не задумывались
Но что же принципиально отличает удаленную идентификацию от биоидентификации в привычных нам приложениях? Ответ — удаленность. Гримированный мошенник, приходящий в банк за кредитом с краденым паспортом, находится совсем в иных условиях, чем мошенник, работающий с «чужой личностью» по системе удаленной идентификации. «Мошенник на удаленке» находится в комфортных условиях, в любой стране мира, на любом континенте. Он знает о своей фактической безнаказанности: не пройти удаленную идентификацию — это значит «попробуем еще раз» с этим или другим профилем. То есть работаем дальше до очередного У — увода средств. А это не то же самое, что попасться с переклеенной фотографией или отклеившимися бровями в отделении банка. Складываются условия для комфортного, высокотехнологического, «чистого» — без личного участия — мошенничества.
А вот еще сюрприз
По сути, «удаленка» бросает вызов хакерам по всему миру: взломай меня, если сможешь. Это напоминает классический хакатон. Только на кону стоит не надежность системы, а средства каждого гражданина (в качестве призового фонда). И куда гражданину обращаться, если его биопрофиль будет скопирован и применен?
Что же вам делать
Если вы все-таки решитесь стать альфа-тестером для системы, то следует внимательно отнестись к новой реальности. Если к системе будет добавлен пароль к ЕСИА, вам следует изменить его на максимально защищенный. Очень часто люди, сообщающие номер мобильного телефона банку для получения СМС с балансом, не понимают, что им подключают еще и мобильный банк с доступом из него ко всем счетам. Или простенький пароль к «штрафам ГИБДД». А последствия одни и те же — потеря всех денег на всех счетах (а не только карточных).
Спецслужбам пригодится
Повторю вслед за представителем коммерческого банка, выступавшим на съезде АРБ в апреле этого года: «Сначала сделайте хотя бы нормально работающую проверку действительности паспорта и лишь затем увлекайтесь IT-проектами, требующими значительных затрат и не очевидно необходимыми». Да, может, вас это удивит, но технология не востребована финансовыми институтами, она «спущена сверху». Впрочем, биоидентификация может пригодиться коллекторам, чтобы опознавать своих должников, когда они прикидываются посторонними. Еще накопленная база биопрофилей пригодится спецслужбам. Пусть это и утешает любителей новых технологий.
Вам надо по-другому работать с наличкой. Кого прижмут налоговики и банки? Забирайте запись, пожалуй, лучшего вебинара «Клерка»: «Как будут контролировать наличку по 115-ФЗ».
Только сегодня можно забрать запись со скидкой 60%. Программу вебинара смотрите здесь
7 мифов о биометрии: разбираем с экспертом
Об эксперте: Евгений Золотарев — директор компании-интегратора систем безопасности «Делетрон».
Миф 1. Биометрия позволяет следить за каждым
Распознавание лиц (Face ID, биометрия) — это результат работы видеоаналитики, которая определяет соответствие лица в кадре имеющемуся изображению в базе данных. Вопреки распространенному мнению, биометрия не может идентифицировать людей, которые не являются их целью.
«Поясню на примере системы «Безопасный город» в Москве. Камеры видеонаблюдения, которые установлены в общественных местах и на улице, не могут следить за всеми и каждым человеком в отдельности. Это и не нужно. Она лишь «перебирает» лица в кадре и сверяется с базой данных. Например, это могут быть базы правоохранительных органов».
Иными словами, Face ID используется только для распознавания «интересующих» ее лиц. Остальные данные для системы излишни.
Миф 2. Биометрия распознает лица не на 100%
Сегодня точность распознавания лиц из базы данных — выше 99%.
«Согласно тестам Национального института стандартов и технологий министерства торговли США (NIST), проведенным в ноябре 2018 года, всего 0,2% поисков в базе данных из 26,6 млн фотографий не соответствовали правильному изображению, по сравнению с 4% в 2014 году. А в тестах 2020 года лучший алгоритм идентификации лица имеет коэффициент ошибок 0,08%, что меньше одной ошибки на 1000 изображений. Это 50-кратное улучшение за шесть лет. И система продолжает совершенствоваться. Повысить точность распознавания позволяют алгоритмы нейронной сети».
И если раньше на результат могли повлиять угол зрения, погодные условия, то сейчас система распознает человека из базы даже при наличии головного убора или очков. Такая технология уже используется в офисах компаний и торговых сетях России.
«В целях безопасности «Северсталь» внедрила Face ID в здании своего представительства в Москве. Система сверяет данные магнитного пропуска и показания биометрии. Если обнаружит несоответствие с внесенными в базу сведениями и изображениями, то немедленно подаст сигнал службе охраны. К тому же, она сообщит о несанкционированном доступе лиц, внесенных в «черный список».
Добиться 100% точности тоже можно, но для этого придется задать алгоритму более высокий уровень соответствия. При этом ужесточатся требования и по входной информации, то есть эталону в базе данных и качеству изображения видеоданных. А значит, при малейших несовпадениях с эталоном алгоритм будет отказывать в обслуживании. Такие меры обоснованы в банковских системах. Там внедрение строгого алгоритма оправдано рисками, которые могут понести пользователи при попадании данных в руки мошенников. Но на практике все же нужно соблюдать баланс.
Миф 3. Биометрия — дорогое удовольствие
Здесь важно понимать, как и в случаях с другими технологиями, что стоимость решения зависит от сложности применения и архитектуры системы, от скорости работы и степени надежности (качества «железа»), от возможности масштабирования и даже от цены владения лицензией. Все эти моменты нужно соотнести с теми задачами, которые ставятся перед Face ID.
Например, стоимость терминала для распознавания лиц и комплексной системы распознавания лиц для крупного объекта со всеми необходимыми системами интеграции будут отличаться. Простой терминал может стоить от ₽17 тыс., а комплекс программного обеспечения по распознаванию лиц для сети ресторанов быстрого питания — около ₽180 млн и охватывать полторы тысячи объектов. Здесь речь идет уже о полноценной разработке ПО под конкретные задачи бизнеса, включая интеграцию Face ID с системой учета рабочего времени, фиксацию температуры тела, ограничение на проход уже уволенных или нежелательных к посещению сотрудников из «черного списка». Также можно интегрировать систему контроля нахождения сотрудников на смене, фиксацию обеденного перерыва и даже выбор блюд на обед для дальнейшего списания его себестоимости с сотрудника.
И не стоит забывать, что сейчас большинство поставщиков стараются максимально эффективно интегрировать Face ID в свои системы, например, в привычные всем смартфоны.
Миф 4. Все системы распознавания одинаковы
Схемы работы Face ID могут сильно отличаться друг от друга. Для примера обратимся снова к сравнению простого терминала распознавания и сложной системы для крупного предприятия. Различия в схеме их работы будут не столько в алгоритмах (теоретически они могут быть одинаковыми), сколько в их устройстве, в «железе».
Терминал — автономное устройство. В него, как правило, встроен дополнительный считыватель карт, управление входом/выходом, сама система распознавания. База образов также хранится непосредственно на нем. Решение о допуске или запрете на проход терминал принимает самостоятельно. Настройка может производиться на самом устройстве. Также возможна схема, при которой несколько терминалов объединены в единую систему с общей базой лиц. В таком случае решение принимает софт.
Распознавание лиц средствами системы видеонаблюдения всегда связано с сервером. Отсюда и дороговизна таких систем. Камера выступает просто инструментом получения исходной информации (снимка лица) для дальнейшей обработки на сервере.
При этом нельзя сказать что система на терминалах «неполноценная». Она имеет место быть и на крупных объектах. Все зависит от конкретной задачи и функций системы распознавания лиц.
Миф 5. Технология не справляется с большими объемами информации
Биометрические системы проходят обучение и тестирование на огромных массивах данных, используя несколько идентификационных параметров. И если в процессе работы система получает данные высокого качества, она успешно справится и с большим объемом данных.
«Например, крупнейшая в мире система биометрической идентификации действует в Индии. В ней содержатся сведения о 1,3 млрд жителях страны. Это отпечатки пальцев, радужные оболочки глаз, фотографии, а также персональные данные. Такая система позволила присвоить каждому гражданину уникальный ID. Чтобы получить любые услуги, требующие подтверждения личности, житель должен ввести номер ID-карты и пройти биометрическую проверку. Недавно власти страны сообщили о модернизации системы. К слову, алгоритмы этой разработанной системы получили наивысшие результаты по итогам независимых оценок технологий, включая NIST MINEX, PFT, FRVT, IREX и FVC-onGoing».
Подтверждение эффективности алгоритмов Face ID проводится на конкурсе алгоритмов распознавания лиц Face Recognition Vendor Test (FRVT). Среди победителей конкурса есть и отечественные алгоритмы интеллектуальной видеоаналитики. К примеру, российский FindFace по итогам тестирования в 2021 году показал лучший результат за все время проведения FRVT.
Миф 6. Биометрическую базу могут взломать хакеры и использовать данные в своих целях
Мы констатируем повышенный риск для любых информационных систем со стороны хакерских атак. Это факт сегодняшнего дня. Биометрические данные, причисленные к персональным, всегда требуют повышенного внимания со стороны информационной безопасности.
Для защиты таких данных сейчас используется распределенное хранение. Зашифрованный биометрический шаблон хранится на защищенных серверах в обезличенной форме отдельно от персональных данных. Выглядит он как некая математическая модель биометрических данных (лицо, отпечаток пальца, голос и так далее). Для обычного человека это представляет собой условно набор цифр. Восстановить из таких шаблонов образец голоса, изображение, отпечаток пальца без системы нельзя. А обезличенные сведения, даже с точки зрения внесенных в базу фотографий, не особенно интересны хакерам, поскольку для совершения каких-то мошеннических действий одного лишь изображения будет недостаточно.
«Для противодействия атакам биометрического спруфинга сегодня в банках используются такие механизмы подтверждения личности как liveness detection (дословно «проверка живости»). Это способность системы определять, является ли отпечаток пальца, лицо или другие биометрические данные реальным или поддельным. В качестве такой активной проверки биометрических данных, в частности, видеоизображения, человека могут попросить улыбнуться или повернуть голову. Система следит за естественностью движений пользователя, их соответствием полученному заданию и непрерывностью действий. При этом алгоритмы контролируют статику и динамику, что позволяет обнаружить взлом с использованием маски».
Как показывает практика, в большинстве случаев злоумышленники выбирают другие способы. Алгоритмы аутентификации пользователя мошенники стараются обходить с помощью социальной инженерии или уязвимостей в платежных приложениях.
Но нельзя исключать интерес злоумышленников к таким базам в части вывода системы из строя, что может стать элементом шантажа или вымогательства. Для защиты систем разработчики используют трансформацию биометрических параметров и криптографию. То есть в системе хранится только часть информации — защищенный эскиз.
«К примеру, при защите Единой биометрической системы в России, используется не один, а множество алгоритмов. Взлом даже одного займет у хакера много времени, сил и средств. А таких там десятки. К тому же они постоянно совершенствуются».
Миф 7. Биометрия, распознавая лица, нарушает закон о персональных данных
Обработка данных для систем распознавания не всегда попадает под действие законодательства. Это зависит от множества факторов, например, кем и для чего используется система, где она применена и так далее. Например, распознавание лиц в магазине под действие закона не подпадает, так как торговая точка считается общественным местом, съемка там не запрещена, а данные не персонализированы.
Надо разделять данные, используемые системой распознавания, в соответствии с требованиями Федерального закона N 152-ФЗ «О персональных данных». Но даже в судебной практике встречаются совершенно противоположные подходы относительно того, какие сведения относятся к биометрическим персональным данным (далее — БПД), а какие — нет. Например, фотографии на пропуске они оценивают как БПД.
Законодательство требует наличия согласия носителя БПД в письменной форме. Если у человека не было возможности дать отказ от передачи его персональных данных третьим лицам, это считается нарушением законодательства.
Без согласия идентификация может быть использована лишь:
