Биометрия в России: правовое регулирование и практика применения

Биометрия в России: правовое регулирование и практика применения

Биометрия в России: правовое регулирование и практика применения

Биометрию можно назвать самым многообещающим способом идентификации и аутентификации: удобство пользования сочетается в ней с надежностью, а считыватели уже достаточно просты, чтобы встраиваться в мобильные телефоны. Следует мировому тренду и Россия: наполняется федеральная Единая биометрическая система, банки готовятся узнавать клиентов по лицу. В связи с этим интересно взглянуть на отечественную специфику: историю, законодательную базу и практику применения биометрии в Российской Федерации.

 

 

  1. Введение
  2. Что такое биометрия
  3. Нормативно-правовая база
  4. Практика применения биометрии в России
  5. «Зачем тебе это?...»
  6. Выводы

 

Введение

В последние пару лет в России тема биометрической идентификации граждан находится в фокусе общественного и политического внимания. Это связано главным образом с развитием Единой биометрической системы, для нормативно-правового обеспечения которой был принят Федеральный закон от 31 декабря 2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». В частности, Центробанк уже довольно давно прилагает усилия к тому, чтобы стимулировать банки к применению таких систем удостоверения личности. Банки стараются: например, Сбербанк разворачивал в Москве пилотную зону с банкоматами, способными опознавать клиента по лицу. Выгоды кажутся очевидными: скажем, для открытия вклада не нужно беспокоиться о наличии паспорта, достаточно прийти в отделение и предъявить самого себя, а при общении с банкоматом не понадобится и пластиковая карта.

Однако совсем недавно мы видели, как ФСБ предъявила банкам требования к защите биометрических данных, которые выглядят непосильными. Контрразведка обоснованно считает, что подобные материалы должны охраняться максимально надежно, и хочет увидеть меры, аналогичные обеспечению безопасности сведений, составляющих государственную тайну. Пожалуй, всякий, кто знакомился с Законом РФ от 21.07.1993 №5485-1 «О государственной тайне», имеет представление, сколь сложна защита такой информации. По-видимому, финансовый сектор этого не ожидал, рассчитывая обойтись более привычными мерами.

В связи с этим логично задаться вопросами о том, как регулируется применение биометрии в России, что необходимо знать пользователю и предприятию, в каких областях сейчас актуальна биометрическая аутентификация и т. д. Мы решили составить обзор, охватывающий основные отправные точки для знакомства с особенностями национальной биометрии.

 

Что такое биометрия

Когда-то давно преподаватель объяснял нам разницу между биометрией и биометрикой, подчеркивая, что это — принципиально разные вещи и потому нуждаются в правильном употреблении. (Впоследствии, правда, оказалось, что он перепутал термины, но доверчивые студенты еще долго говорили «биометрика», имея в виду биометрию.) Если биометрика — это измерение любых параметров тела, то биометрия охватывает только те из них, которые уникальны и могут использоваться для идентификации и аутентификации.

Общеизвестные примеры биометрических данных — это характерные рисунки радужной оболочки глаза или папиллярных линий на подушечках пальцев. Впрочем, стоит отметить, что к биометрии относят не только физические, но и поведенческие показатели, наподобие походки или индивидуальных особенностей набора текстов на клавиатуре. Однако к какому бы типу ни относились эти данные, они в любом случае неотъемлемы от человека и поэтому могут гарантировать очень высокую надежность удостоверения личности — при условии, что считыватели трудно обмануть. В целом биометрическая аппаратура развивается сейчас именно в этом направлении, повышая устойчивость к фотографиям лиц и напечатанным на 3D-принтерах пальцам.

Главные требования к биометрическим характеристикам можно назвать «тремя У»: универсальность, уникальность, устойчивость. Иначе говоря, для того, чтобы стать критерием распознавания личности, параметр должен иметься у каждого человека, отличаться в каждом конкретном случае и оставаться относительно неизменным со временем. Есть и несколько сопутствующих требований: например, характеристика должна быть удобна для измерения, включая общественную приемлемость этой процедуры.

Биометрия как метод идентификации и аутентификации имеет ряд заметных достоинств. Телесные или поведенческие параметры невозможно забыть дома или потерять, как токен или смарт-карту, поэтому для конечного пользователя этот вариант гораздо удобнее: подтверждение личности не требует ничего, кроме физического присутствия работника или клиента. Кроме того, если считыватели достаточно совершенны, то злоумышленник не сможет выдать себя за другого человека — в то время как другие средства удостоверения личности можно похитить или скопировать. Как мы говорили в нашем обзоре средств аутентификации, биометрия — это фактически единственный способ надежно удостовериться, что человек является тем, за кого себя выдает, потому что при этом используются неотделимые от личности характеристики.

Диапазон таких характеристик, кстати, довольно разнообразен. Имеются ГОСТы по следующим методам:

  • изображение отпечатка пальца,
  • изображение лица,
  • изображение радужной оболочки глаза,
  • изображение сосудистого русла,
  • геометрия контура кисти руки,
  • динамика подписи,
  • данные ДНК.

Помимо этих способов известен или обсуждается ряд других, в том числе довольно экзотичных:

  • звучание голоса,
  • изображение сетчатки глаза,
  • тепловая карта лица,
  • индивидуальный характер набора текста на клавиатуре.

В то же время способ имеет свои изъяны. Так, заметной теоретической проблемой является требование уникальности, которое, согласно некоторым измерениям, не может быть полностью выполнено. В связи с этим вводят два понятия: частота ложного одобрения (false acceptance rate, FAR) и частота ложного отказа (false rejection rate, FRR). Первый параметр отражает вероятность того, что по данным пользователя А будет идентифицирован / аутентифицирован пользователь В — например, в результате совпадения их показателей. Второй параметр — это, наоборот, вероятность того, что система не узнает пользователя, посчитав его посторонним лицом. По некоторым данным, если для отпечатков пальцев средний FAR составляет 0,01%, то для лица и голоса (тех самых параметров, которые будут использовать отечественные банки) он может достигать 1-2%. Именно поэтому существует мнение, что биометрия не подходит для массового внедрения: если одна попытка аутентификации из ста будет заканчиваться несанкционированным доступом, то в масштабах страны это даст миллионы инцидентов.

Довольно характерным примером может послужить недавняя история, в которой американские правозащитники тестировали систему распознавания лиц от Amazon на конгрессменах. В итоге почти три десятка политиков были идентифицированы как преступники. Конечно, эта конкретная проблема связана с трудностями опознавания чернокожих людей, которых в России относительно немного, но надежность идентификации по лицу все равно сравнительно невысока.

Кроме того, остра проблема компрометации биометрических данных: если пароль из взломанной базы данных можно просто сменить, то параметры тела отредактировать невозможно. Впрочем, этот вопрос частично касается и легитимных сценариев: каждый пользователь передает оператору сведения, от которых не может избавиться и которые весьма надежно удостоверяют его личность. Сейчас, «засветив» персональные данные какой-нибудь не очень порядочной организации, можно в крайнем случае взять другой номер телефона, подать заявление о замене паспорта и т. п. С отпечатками пальцев этого сделать не удастся.

Проблемы уникальности можно частично компенсировать за счет сочетания двух разных биометрических показателей: тогда их FAR / FRR скомбинируются, и соответствующие вероятности резко упадут. Что делать с компрометацией и «правом на забвение», пока не ясно.

 

Нормативно-правовая база

По-видимому, исторически первое законодательное упоминание о биометрии содержалось в Федеральном законе от 15 августа 1996 г. № 114-ФЗ «О порядке выезда из Российской Федерации и въезда в Российскую Федерацию», где говорилось, что паспорта граждан «могут содержать электронные носители информации с записанными на них персональными данными владельца паспорта, включая биометрические персональные данные». Стоит, впрочем, заметить, что выдача заграничных паспортов с такими носителями фактически началась лишь через 10 лет после появления этого закона.    

Затем последовал Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». В нем имелась статья 11 «Биометрические персональные данные», которая существует по сей день с некоторыми дополнениями. Изначально законодатели определили предмет статьи как «сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность». В актуальной на данный момент редакции (от 31.12.2017) сведения уже не только физиологические, но и биологические; кроме того, указано, что они не только позволяют установить личность, но и используются для этого. В общем случае обработка биометрических ПД разрешается лишь с письменного разрешения субъекта, хотя есть ряд исключений — в основном связанных с охраной порядка, противостоянием терроризму и оборонными задачами. Также авторы закона упомянули о биометрических данных в статье 19 «Меры по обеспечению безопасности персональных данных при их обработке». Статья с тех пор была значительно расширена (с 4 пунктов до 11), но положения, связанные с биометрией, остались прежними: требования к хранению биометрических ПД устанавливаются Правительством РФ (см. далее), а сами данные должны защищаться от «неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения».

Далее в нормотворческий процесс включилась стандартизация: в 2007 году были введены в действие ГОСТ Р ИСО/МЭК 19795-1–2007 «Автоматическая идентификация. Идентификация биометрическая. Эксплуатационные испытания и протоколы испытаний в биометрии. Часть 1. Принципы и структура» и ГОСТ Р ИСО/МЭК 19784-1–2007 «Автоматическая идентификация. Идентификация биометрическая. Биометрический программный интерфейс. Часть 1. Спецификация». С тех пор постепенно переводились и утверждались разные части международных стандартов, имеющих отношение к сбору биометрических данных, их использованию и обработке. Одним из ключевых документов здесь можно назвать стандарт ГОСТ Р ИСО/МЭК 19794, который определяет требования ко всем основным биометрическим параметрам и к их измерению. Так, например, части 2-4 и 8 касаются отпечатков пальцев, часть 5 — изображения лица, а часть 14 — данных ДНК. Кстати, эта последняя часть относится к наиболее свежим — она утверждена в 2017 году. По названиям стандартов можно видеть, что все они идентичны международным.

Далее появилось Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных». Именно этот документ подразумевался статьей 19 Федерального закона № 152-ФЗ, о которой говорилось выше. Постановление сохраняет силу и с тех пор почти не изменилось: редакция от 27.12.2012 добавила к нему лишь несколько слов. Под материальным носителем здесь понимаются исключительно машиночитаемые устройства хранения данных (т. е. бумажные документы к этой категории не относятся). К самому носителю предъявлено 4 требования: обеспечивать уполномоченным лицам доступ к данным, определять информационную систему персональных данных и ее оператора, а также предотвращать перезапись данных вне информационной системы и несанкционированный доступ к ним. К технологиям хранения данных, в свою очередь, прописано три требования, первое из которых нам уже знакомо (доступ для уполномоченных лиц), а два других — это возможность использования цифровой подписи либо других способов обеспечить целостность и неизменность данных, а также проверка на предмет того, есть ли письменное согласие субъекта на обработку его биометрических ПД.

Глобальная рамка информационного законодательства — Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — изначально указаний на биометрию не содержал. 31 декабря 2017 года он пополнился статьей 14.1 «Применение информационных технологий в целях идентификации граждан Российской Федерации», которая составляет фундамент для единой биометрической системы (ЕБС) и ее применения, а также увязывает ее с единой системой идентификации и аутентификации (ЕСИА), знакомой любому пользователю ресурсов электронного правительства. Установлено, что организации разного рода (например, банки) идентифицируют пользователя в его присутствии и с его согласия, а затем передают его биометрические ПД в ЕБС. Порядок этого процесса и состав сведений определяются Правительством РФ; оно же назначает государственный орган, ответственный за регулирование этой сферы и за разработку конкретных регламентов – обработки данных, их размещения, требований к техническим средствам и т. п. В этой же статье вводится понятие оператора ЕБС, функции которого возлагаются на крупного оператора связи (т.е. такого, который «занимает существенное положение» в 2/3 регионов страны). Закон требует применять криптографическую защиту информации при передаче биометрических ПД через интернет; если физическое лицо отказывается пользоваться такой защитой, то идентификацию без шифрования можно будет провести только с персонального компьютера и после уведомления о рисках. С мобильного устройства, в том числе планшетного компьютера, удаленная биометрическая идентификация без криптозащиты будет невозможна. Нарушение требований статьи 14.1 влечет гражданскую, административную или уголовную ответственность.

Отметим, к слову, что требования ФСБ к банкам, с которых мы начали, связаны именно с криптозащитой — т. е. надежность шифрования должна соответствовать той, которая применяется при обеспечении безопасности гостайны. Ведомство вправе этого требовать, поскольку согласно этому же закону оно вместе со ФСТЭК исполняет контрольно-надзорные функции.

Появление статьи 14.1 Федерального закона №149-ФЗ, о которой говорилось выше, — это результат «пакетного» изменения в нескольких законодательных актах. Многие из них касаются только финансовой сферы, однако стоит обратить внимание, например, на поправки к Федеральному закону от 7 августа 2001 года № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма». К статье 7 «Права и обязанности организаций, осуществляющих операции с денежными средствами или иным имуществом» добавилось несколько пунктов. В частности, установлено, что банк имеет право вносить биометрические ПД клиентов в ЕБС и удаленно идентифицировать пользователей с помощью биометрии в том случае, если он участвует в системе страхования вкладов, не нарушает законодательство и не подвергается мерам по предупреждению банкротства. Физическому лицу, прошедшему удаленную идентификацию с помощью биометрии, можно оказывать базовые банковские услуги (операции со вкладами, выдачу кредитов, перевод денег) в том случае, если клиент не фигурирует в списке причастных к экстремистской деятельности, если его средства или имущество не арестованы по подозрению в финансировании терроризма и если у банка нет подозрений, что пользователь отмывает доходы либо опять же финансирует терроризм.

Эти и другие упоминавшиеся выше изменения в законодательстве, датированные последним днем 2017 года, составляют Федеральный закон от 31 декабря 2017 г. № 482-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». Он призван образовать фундамент для Единой биометрической системы, регламентировать связанные с ней процедуры (такие, например, как сбор биометрических данных) и области ее применения — пока что главным образом в финансовых сферах наподобие банковской деятельности.

Представленный обзор, несомненно, не является исчерпывающим, однако он охватывает основные документы, в которых говорится не только о биометрических данных как таковых, но и об обеспечении их безопасности (что интересует нас в первую очередь). Нужно также заметить, что многие изменения, касающиеся биометрии, появились в законодательстве недавно, поэтому ряд подзаконных актов, которые должны их конкретизировать, находятся сейчас на стадии разработки и проектирования.

 

Практика применения биометрии в России

Исторически первой формой работы с биометрическими данными можно смело назвать сбор сведений о правонарушителях в рамках работы силовых ведомств. Отпечатки пальцев, например, — классическое доказательство при расследовании преступлений. Работая с подозреваемыми и осужденными, правоохранительные органы фиксируют рост человека, характерные приметы его внешности. При этом, если в обычных биометрических системах данные обезличиваются, то здесь, напротив, устанавливается точная связь измеренных параметров с конкретным человеком. В предыдущем разделе, рассматривая законодательство о персональных данных, мы отметили, что в связи с осуществлением правосудия или оперативно-розыскными мероприятиями согласие субъекта на сбор биометрических ПД не требуется; эти положения подчеркивают особый характер таких сведений.

Упоминания о биометрии в нашем обзоре законодательства начались с заграничных паспортов. Действительно, основной документ гражданина России за рубежом по сей день остается одной из главных областей применения биометрических технологий. Микросхема в подобном изделии бывает способна хранить не только общие сведения о владельце (например, имя, фотографию и т. п.), но и рисунок радужной оболочки глаза или отпечаток пальца. Строго говоря, паспорт с биометрией не обязателен, но людей стараются стимулировать к получению именно такого документа — в частности, увеличением вдвое срока его действия. Иногда высказываются опасения относительно надежности биометрических паспортов и их устойчивости к подделке, а также в связи с возможностью считывать данные удаленно; однако в целом можно сказать, что удостоверение личности с помощью биометрии вызывает большее доверие — вплоть до того, что некоторые страны готовы разрешать въезд только по этому типу документов.

Отечественный биометрический паспорт содержит данные об отпечатках указательных пальцев обеих рук. Пальцы могут быть и другими, но обязательно соответствующими друг другу (например, два средних). Отпечатки снимаются с помощью электронного сканера и удаляются после изготовления паспорта. В Министерство внутренних дел они, таким образом, не попадают, но туда поступает общая информация о выданных паспортах. Кстати, начало выдачи биометрических загранпаспортов нового поколения в России соответствует времени принятия Федерального закона № 152-ФЗ «О персональных данных» (2006 год) — так что появление статьи 11 о биометрических ПД в нем не случайно.

Удостоверение личности пользователя с помощью биометрии можно встретить и в корпоративной среде. Внутри организации проблемы FAR / FRR не столь существенны (поскольку сотрудников сравнительно немного), а выгоды вполне ощутимы: такая модель идентификации и аутентификации снимает ряд традиционных рисков, о чем говорилось в первом разделе статьи. Особых правил в этом случае не существует, т. е. обработка биометрических ПД осуществляется на общих основаниях, прописанных в федеральном законодательстве. Можно заметить по этому поводу, что существуют судебные решения, которые предписывают организациям получать согласие на обработку биометрических персональных данных не только от сотрудников, но и от посетителей — если им выдается пропуск с фотографией. Действительно, в этих условиях фото- или видеоизображение человека характеризуют его физиологические и биологические особенности, могут использоваться для установления его личности и применяются именно для этого — т. е. соответствуют критериям биометрических ПД.

Довольно давно можно встретить на рынке мобильные устройства (смартфоны, ноутбуки, планшетные ПК), которые способны использовать биометрию для разблокировки. Обычно в них встроены сканер отпечатков пальцев или программное обеспечение для распознавания лиц через фронтальную камеру. Насколько нам известно, эти процедуры не подпадают под действие Федерального закона № 152-ФЗ «О персональных данных», поскольку информация не используется для установления личности пользователя: она просто подтверждает, что устройством пользуется одно и то же лицо, не соотнося биометрические показатели с именем человека и другими его «официальными» атрибутами. Впрочем, в последнее время существует тенденция толковать понятие «персональные данные» расширительно, поэтому возможны варианты. В принципе зарубежным производителям техники не запрещено работать с ПД российских граждан, но они должны размещать такую информацию на территории РФ, получать согласие субъекта и т. д. — опять же в соответствии с общими требованиями законодательства.

Наконец, самый объемный и актуальный на данный момент вопрос о применении биометрии — это развертывание Единой биометрической системы, равно как и все, что с ним связано.

 Как мы отметили выше, законодательное обеспечение системы было создано в конце 2017 года, а ее пилотную версию разрабатывало ПАО «Ростелеком» (под которое, собственно, и писалось положение об операторе ЕБС из новой редакции Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации» — вряд ли оператором связи, занимающим существенное положение в 2/3 регионов РФ, можно назвать кого-то еще). В феврале 2018 года появилась первая рабочая версия системы, а официальный запуск состоялся 2 июля 2018 года. В октябре оператор представил мобильное приложение «Ключ Ростелеком», которое позволяет клиентам банков проходить удаленную биометрическую идентификацию с помощью смартфона.

На данный момент система предназначена именно для банковского обслуживания, хотя рассматриваются перспективы ее применения в других областях. Согласно Постановлению Правительства РФ от 30.06.2018 № 772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных...», в ЕБС используется сочетание двух параметров: «данные изображения лица человека, полученные с помощью фото- и видеоустройств; данные голоса человека, полученные с помощью звукозаписывающих устройств». Заметим попутно, что параметры, очевидно, выбраны не по причине их надежности (и тот, и другой имеют наименее благоприятные показатели FAR / FRR), а по простоте и доступности — с прицелом на то, чтобы для прохождения идентификации было достаточно веб-камеры, которая есть в любом современном мобильном устройстве.

Порядок работы с ЕБС прописан в законах, которые мы рассматривали выше: клиент посещает банк, предъявляет паспорт, дает согласие на обработку биометрических ПД и сдает биометрические данные, после чего сотрудник организации увязывает полученный образец с учетной записью клиента в Единой системе идентификации и аутентификации (ЕСИА) и отправляет сведения в ЕБС. Тогда у пользователя появляется возможность проходить удаленную идентификацию через интернет, которая состоит из двух этапов: вход в ЕСИА и собственно биометрическое опознавание. На второй стадии клиент должен предъявить лицо с помощью камеры и проговорить в микрофон контрольную фразу.

 

«Зачем тебе это?...»

Эксперты, с которыми мы обсуждали наш обзор практики применения биометрии в России, выражали беспокойство или опасения по поводу ЕБС и активности вокруг нее. Главный вопрос, возникающий в связи с актуальными событиями и тенденциями в этой области, сводится к тому, с какой стати ЦБ вдруг взялся всеми мыслимыми способами заставлять банки пользоваться биометрической идентификацией. Если немного упростить суть таких сомнений, то получится следующее: величина усилий не соответствует потенциальной выгоде. На первый взгляд не просматриваются никакие явно положительные сценарии, благодаря которым банковский сектор крупно выиграл бы от введения клиентской биометрии, в то время как негативные последствия (риски компрометации данных, рост нагрузки на финансовые организации, которые будут вынуждены обеспечивать этой информации крайне высокий уровень защиты и т. п.) видны невооруженным глазом. Прозвучал, например, логичный аргумент, что будь биометрическая идентификация выгодной, банки сами бы «выстроились в очередь» за внедрением — однако никто, включая граждан, не показывает большого желания этим заниматься.

Мы уже упоминали выше, что создание базы биометрических данных в федеральном масштабе может привести к весьма нежелательным осложнениям.

Во-первых, на любую ценную информацию есть покупатель, а следовательно, и продавец. В отечественных реалиях это иногда приобретает особо печальные формы, когда свежую выписку из Роспаспорта на любого гражданина можно (по некоторым данным) приобрести у анонимных продавцов в интернете за сумму, не превышающую тысячи рублей. Однако если паспорт при желании можно легко заменить, то от собственного лица избавиться гораздо труднее. Многие люди помнят, что информация, которую ты передал кому-то, всегда может быть передана кому-то еще, и не торопятся попадать в ЕБС.

Во-вторых, соотношение FAR/FRR для лица и голоса при достаточно большом количестве субъектов может приводить к ложной идентификации. Клиенты банков, вероятнее всего, не учитывают эту угрозу, однако ее стоит иметь в виду. Об инцидентах, насколько нам известно, пока не сообщалось, но нельзя исключать, что однажды гражданин А получит доступ к счетам гражданина Б (и не устоит перед искушением взять небольшой кредит).

В-третьих, государство может получить возможность отслеживать всех и каждого благодаря неотъемлемым биометрическим идентификаторам. Этот вариант безобиден, пока используется по назначению, однако если внутренняя политика изменится, то станут возможны разнообразные злоупотребления.

Возвращаясь к вопросу о том, зачем все это понадобилось Центробанку, мы вряд ли сильно ошибемся, если скажем, что он действует по просьбе российских властей, которые таким образом тестируют возможности применения биометрии в государственном масштабе. Банковский сектор, соответственно, выступает в роли испытательного полигона для пилотного проекта по охвату граждан биометрической идентификацией. В том случае, если все пройдет успешно, по итогам тестирования будут приниматься новые решения — например, условное слияние ЕСИА с ЕБС и разные прочие входы на «Госуслуги» по голосу и лицу. В свою очередь, если вдруг возникнут проблемы или сбои, то никто особо не пострадает: в конце концов, к чужим мошенническим кредитам россияне уже привыкли.

По-видимому, эта инициатива является продолжением борьбы с терроризмом, в рамках которой мобильные операторы обязаны хранить записи разговоров, «Роскомнадзор» ведет противостояние с «Телеграмом», а поставщики услуг интернета, по неофициальным сведениям, договариваются с крупными сервисами о подмене сертификатов, используемых для сеансов HTTPS, чтобы расшифровывать пользовательский трафик по принципу man-in-the-middle. В этом свете массовый сбор биометрических данных, позволяющий надежно идентифицировать людей, кажется вполне логичным.

 

Выводы

Таким образом, на данный момент в отечественной практике есть место как испытанным технологиям, так и новым инициативам. Внедрение Единой биометрической системы — масштабный и амбициозный эксперимент, в котором банки выступают в роли первопроходцев. Если удаленная идентификация по лицу и голосу продемонстрирует хорошие результаты и не вызовет масштабных проблем, то можно ожидать ее распространения и на другие задачи — в первую очередь на ресурсы «электронного правительства».

Если же озабоченность экспертов по безопасности найдет подтверждения (т. е., например, в масштабах страны точность идентификации окажется недостаточной), то, вероятно, использование биометрии в России вернется на привычный путь: паспорта, мобильные устройства и контрольно-пропускные режимы предприятий. Впрочем, не приходится сомневаться в том, что даже при неблагоприятном исходе эксперимента интерес государства к биометрической идентификации сохранится и будет возобновлен при очередном технологическом сдвиге — например, упрощении и удешевлении сканеров отпечатков пальцев.

Можно сказать, что главной проблемой в отношении повсеместного распространения биометрии является вопрос безопасности баз данных. Пароли, к примеру, компрометируются регулярно, и нет никаких причин считать, что биометрические БД будут качественно отличаться в плане неуязвимости. Впрочем, если ФСБ настоит на своем и сведения такого рода будут охраняться столь же тщательно, как государственная тайна, то мы сможем надеяться на низкий риск их раскрытия неуполномоченным лицам.

В то же время нельзя забывать и об опасениях другого рода: всеобщий сбор биометрических ПД может послужить столь же всеобщему контролю над людьми. Есть вероятность реализации негативных сценариев, где силовые структуры владеют обширными базами идентификаторов, которые граждане не могут изменить или перестать использовать, и применяют их по своему усмотрению. Баланс между стремлением государства знать все обо всех и личными свободами граждан еще не раз будет предметом обсуждения.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru