Правительство задумалось о вводе стандартов сбора слепков лиц и голосов россиян в коммерческих биометрических системах. Пока требования выполняют только те, кто заносит сведения в единую биометрическую систему. Коммерческий сектор обяжут обеспечить тот же уровень безопасности и формат данных. 

Минцифры подготовило проект постановления, который устанавливает требования при сборе данных в ЕБС и распространяет их на «иные информационные системы, обеспечивающие идентификацию с использованием биометрических персональных данных».

Компаниям-сборщикам данных придется согласовывать с министерством софт, модель и тип оборудования для сбора и хранения данных. Оно должно быть сертифицировано ФСТЭК, а профильный сотрудник обязан подтверждать свои полномочия усиленной квалифицированной электронной подписью.

Власти решили регламентировать и сам процесс сбора данных, начиная от формата и заканчивая постановкой кадра: «Изображение должно содержать полное изображение головы человека в анфас, включая левое и правое ухо (при их наличии), <…> выражение лица должно быть нейтральным». При записи голоса «эмоционально-психологическое состояние субъекта должно быть нормальным, не возбужденным». Такие данные можно использовать не более пяти лет.

Подобные биометрические системы, что помимо кредитных организаций, внедряют, например, в фитнесе и телекоме.

Исполнительный директор Ассоциации больших данных Алексей Нейман считает, что «малому и среднему такое регулирование принесет дополнительные расходы».

Президент Национального фитнес-сообщества Елена Силина отмечает, что развитие сегмента биометрии сдерживает высокая стоимость оборудования. «Фитнес-отрасль до сих пор не восстановилась после пандемийных ограничений: в июле продажи клубных карт были на 16,7 % ниже показателя за аналогичный период 2019 года, а выручка от дополнительных услуг — на 14,5 %», — говорит Силина. По ее мнению, новые требования негативно скажутся на экономике клубов.

По мнению экспертов, в случае принятия постановления бизнес может просто отказаться от использования биометрии, что скажется на доступности прогрессивных разработок, основанных на биометрической идентификации. 

Некоторые эксперты допускают, что таким образом Минцифры хочет стимулировать коммерческие организации подключаться к ЕБС.

Ранее СМИ сообщили, что «Сбер» может выйти из состава участников совместного предприятия с «Ростелекомом» по развитию ЕБС. Компания отказалась подписать предварительную документацию по СП.

В августе Минцифры опубликовало законопроект, в котором предлагаются варианты осуществления сбора и обработки биометрических данных, в том числе для идентификации и аутентификации водителей такси и пользователей каршеринга. Это требование не будет обязательным и затронет только физические лица, выразившие согласие на сбор биометрии.

С 1 июня в России вступил в силу закон, который разрешает сотовым операторам заключать договор об оказании услуг связи удаленно с помощью ЕБС.

Комментарии (6)


  1. Xambey
    18.08.2021 10:53
    +2

    Ух, как же это будет удобно...мошенникам. Один раз купил всю базу биометрии Россиян, и уже можно пытаться получать доступы по всем банкам и гос. сервисам., слитую биометрию же не изменишь
    Ох, заживем!


    1. ZhilkinSerg
      18.08.2021 12:41

      А как мошенники это технически реализуют? Вот слили они базу биометрии, знают какие-то хеши для гражданина. Им же будет нужно, условно, сфотографировать что-то, чтобы получить нужный хеш?


      1. tmin10
        18.08.2021 12:52

        Майнинг биометрических хешей?) Интересно, насколько это реально.


      1. freeExec
        22.08.2021 15:02

        Если еще знать алгоритм, то можно дома сидеть подбирать как нанести боевую раскраску на лицо, что вектор этого лица был близок к нужному.


  1. KivApple
    18.08.2021 14:11

    Не понимаю, почему все так носятся с биометрией "ололо, это удобно и прогрессивно! вы будете не представлять как жили без этого!"

    • Системы сравнения лица и голоса не дают 100% точность. Да, точность может быть высокой, но технически ложные срабатывания всё равно возможны. Потому что само сравнение биометрии есть "аналоговая", а не цифровая операция (в отличии от сравнения id какой-нибудь карточки, где строго либо "да", либо "нет").

    • Для действительно важных операций (типа оплаты) всё равно хочется иметь какой-то физический жест активирующий операцию, чтобы не было как в смешном видео, где покупатель в момент оплаты наклоняется забрать товар, а система сканирует лицо следующего в очереди.

    • Биометрия исключает возможность делегирования. Условный вариант отправить надёжного друга снять деньги в банкомате (дав свою карту) или забрать что-то дома (дав свои ключи), потому что самому некогда/плохо себя чувствуешь/устал/etc (да, некоторые кейсы нарушают всякие "условия использования", но на практике санкций не наступает, а значит варианты вполне валидные). И такие кейсы случаются чаще, чем успешные атаки мошенников.

    • Технические меры не решают административные проблемы. В РФ на каждом шагу по бумагам всё секурно - ЭЦП, для бумажных документов обязательны оригиналы строго по форме и т. д. В Европе документы пересылаются по обычной электронной почте, почти всегда принимаются копии и распечатки (а однажды мне предложили распечатать результат Google Translate русского документа и приняли это - но это уже редкость и экстрим, а документ был не особо критичный), а "электронная подпись" зачастую "накалякайте закорючку на сайте мышкой". Но... Это не мешает появляться в РФ историям вида "увели квартиру с помощью ЭЦП выпущенной недобросовестным сотрудником удостоверяюшего центра". Только добавляется дополнительная плата за всякие лицензии КриптоПРО и "носители ЭЦП". А ещё доказать в суде фальшивость ЭЦП гораздо сложнее, чем обычной подписи, потому что "нет оснований недоверять удостоверяющему центру".

    • Вера в непогрешимость технологий приводит к тому, что скорее всего редкий кейс "изменилась биометрия" (например, в результате травмы) будет вызывать очень много боли, потому что все будут очень удивляться, что система перестала работать и считать, что проблема с вашей стороны.


  1. yurybykov
    22.08.2021 13:49

    На многих сайтах пароли предлагают менять каждые полгода, где-то чаще, где-то реже. Но делается это специально для защиты от слива баз и передачи пароля самим пользователем и прочим причинам. Биометрию же не поменять, она одна раз и навсегда, если она утечет, то использовать её более нигде не получится. А с учетом того, что даже самые-самые базы периодически утекают это всего лишь вопрос времени. ИТ-технологии должны дополнять, но! не заменять существующие важные системы. Бумажные документы не переделать, они такие какие выпущены, базы меняются без особых проблем, любой администратор это подтвердит. Если проще говорить, то ИТ должен ускорить READ-доступ к документам, но WRITE-доступ должен быть в бумажном виде всегда (паспорт, свидетельство, договор, доверенность). Возможно, в будущем, для некритичной части следует подумать открыть и WRITE, но делать очень-очень аккуратно и анализировать обратную связь
    .