Сейчас у банкоматов можно увидеть приободряющую надпись, что скоро аппараты с деньгами станут узнавать нас по лицу. Недавно писали об этом здесь.
Здорово, придётся меньше стоять в очереди.
Айфон опять же отличился камерой для снятия биометрических данных.
Едина Биометрическая Система (ЕБС) послужит фундаментом для воплощения этих вех будущего в реальность.
Центробанк выкатил перечень угроз, от которых операторы, работающие с биометрическими персональными данными, должны быть готовы защищать клиентов, а в феврале представил методические рекомендации по устранению опасностей.
Очередной свод правил должен минимизировать следующие риски:
- Риски, которые возникают при сборе биометрических данных.
- Риски, которые возникают при обработке запросов людей и работе с их персональными данными.
- Риски, возникающие при удалённом установлении личности.
Для этого предлагают:
- Регистрировать каждый чих операторов.
- Использовать только сертифицированные средства.
- Выдавать ключи электронной подписи операторам.
- Информировать Центральный Банк о всех инцидентах.
Вернёмся немного к истории вопроса. Cпустя 10 лет после первых законодательных движений в этой сфере в России стали выдавать паспорта, которые законно могли бы содержать электронные носители информации.
Со временем 152-й федеральный закон только дополнялся. В 11-й статье закона прописали, что биометрия — это сведения, которые характеризуют физические (затем добавили, что и биологические) особенности человека, на основе которых можно установить его личность. Потом добавили, что данные биометрии операторы используют для идентификации человека, а обработка этих данных возможна только с письменного согласия клиента.
Исключение будет только если обнаружат, что клиент — террорист.
Решили, что такие данные следует защищать:
- От неправомерного или случайного доступа к ним.
- От уничтожения или изменения.
- От блокировки.
- От копирования.
- От предоставления к ним доступа.
- От распространения.
Следующим шагом стала стандартизация под мировой уровень. Она затронула отпечатки пальцев, изображения лиц, данные ДНК. В 2008-м запилили требования к материальным носителям и технологиям хранения вне информационной системы персональных данных.
Под носителями понимают только устройства, которые может читать робот без сканирования. Бумажные материалы не в счёт.
Требования следующие:
- Обеспечение доступа только уполномоченным лицам.
- Способность определять систему и её оператора.
- Предотвращать перезапись вне информационной системы и несанкционированный доступ.
Должно будет обеспечиваться:
- Использование цифровой подписи или другого способа сохранить целостность и неизменность данных.
- Проверка, есть ли письменное согласие субъекта персональных данных.
Единая Биометрическая Система базируется на федеральном законе 149. Он связывает её с Единой Системой Идентификации и Аутентификации. Операторы идентифицируют человека с его согласия и в его присутствии. А затем засылают данные в ЕБС.
Правительство определяет, как собирать, передавать, обрабатывать данные и назначает надзирателя за всем этим. Сейчас ответственным за разработку регламентов стал Ростелеком.
Кроме того, контролирует и надзирает ФСБ и ФСТЭК.
ФСБ требует с банков в первую очередь криптозащиту. К тому же банк, который страхует вклады, имеет право вносить Биометрические Данные в ЕБС и удалённо идентифицировать для оказания базовых услуг, если только это не террорист или около того.
Как всегда, жизнь вносит свои коррективы во всё, что зарегулировало государство. В частности, во время контрольной закупки ЦБ выявил недочёты как в самой системе, так и при удалённой идентификации при оказании услуг.
Многие банки дак вообще традиционно отчитались формально, а на деле даже не отрабатывали взаимодействие с клиентами.
Время движется вперёд, подготавливая законодательную почву для того, чтобы киборги могли нас узнавать. А мы готовы предоставить облачную инфраструктуру, отвечающую всем подобным законам.
Комментарии (24)
MedicusAmicus
26.02.2019 23:31[paranoid mode on]
Помнится, в одной из статей про системы оптического распознавания в автомобильных "автопилотах" упоминались способы искажения визуальных данных.
Кажется, пора разрабатывать латексные лицевые маски с подобным jammer-ом.
Если существуют защитные чехлы для бесконтактных карт, то уж собственную физиономию точно стоит обезопасить.
Банки, почта, госуслуги — все тянутся к биометрии. В обстановке, когда практически любая база данных — не более чем товар. Вопрос стоимости.
[paranoid mode off]Cloud4Y Автор
27.02.2019 11:15А смысл?
MedicusAmicus
27.02.2019 12:52Смысл простой.
Существуют не очень добросовестные нотариусы (к примеру), которые в наше время по ксероксу паспорта подтверждают незаконные сделки.
А вопрос, когда наши биометрические данные станут достаточным основанием для авторизации — только в сроках.
Вот так приезжает человек на дачу, и выясняет, что он ее продал благополучно полгода назад, и сделка его биометрией заверена. И докажи теперь, что ты не лось.oracle_and_delphi
27.02.2019 13:03Ещё хуже — если на операционном столе окажется, что он уже пожертвовал свои сердце, печень и почки, и это тоже заверено биометрией.
MedicusAmicus
27.02.2019 13:05+1Вот как хирург вам говорю — чисто технически нереально.
oracle_and_delphi
27.02.2019 13:10В чём техническая сложность, при наличии заверенного биометрией согласия?
MedicusAmicus
27.02.2019 13:58В том, что подбор органов для трансплантации — дело очень сложное, и заготовить, "что попало" впрок — нынешняя медицина не умеет. Исключение — препараты крови, и то — далеко не все.
oracle_and_delphi
27.02.2019 14:13Из ваших слов следует, что органы тех кто случайно помер в автокатастрофе — тоже «не годятся». Как же их тогда используют?
И чем орган помершего во время операции критически отличается от органа помершего в автокатастрофе?MedicusAmicus
27.02.2019 15:03А у нас используют органы умерших от дтп?
Или декларируют возможность?
В идеальных условиях, человек, изъявивший желание после смерти "пойти на запчасти" (в некоторых странах за это бонусы неплохие), должен быть обследован чуть более, чем полностью, и вести опредеденный образ жизни, сохраняющий его органы пригодными доя трансплантации. Никто же не захочет иметь легкие курильщика с 20-летним стажем, или печень наркозависимого или алкоголика.
Далее. После остановки кровообращения остается совсем мало времени, в течение которого надо все успеть. Соответственно, реципиент уже должен лежать на соседнем столе, в идеале. А это означает еще более предварительное обследование на иммунологическую совместимость, что намного сложнее типирования групп крови (по АВ0) и резус-фактора.
Если кратко — потенциальный донор уже кому-то определенному "предназначен".oracle_and_delphi
27.02.2019 15:22А чьи органы используют в России?
реципиент уже должен лежать на соседнем столе, в идеале
Это почка проданная донором.
А если сердце или печень, тогда как?
потенциальный донор уже кому-то определенному «предназначен»
И как это «предназначение» при живом пациенте происходит?
И как он исполняет своё «предназначение»?
Особенно, если у него «предназначен» непарный орган вроде сердца.MedicusAmicus
27.02.2019 15:51Печень, кстати, можно кусочком (долей) продать. Не смертельно для донора.
А вот жизненно важные неделимые органы — очень сложно.
Я не трансплантолог, «я так вижу», могу и ошибаться.
Примерно так:
«Я, Имярек И.И. в случае своей внезапной смерти даю согласие на {разобрать мое тело на органы} »
Это согласие регистрируется в базе данных потенциальных доноров. Такого человека обследуют на пригодность к донорству, берут необходимые анализы, в том числе — на гисто-совместимость (условный показатель того, что трансплантат приживется). Далее донор живет себе, бережет теперь уже не совсем свое тельце.
Пациент, нуждающийся в трансплантации, сдает анализы на гисто-совместимость. При совпадении «лотерейных билетов» в базе отметка: Если (донор) внезапно ударится об столб, а (реципиент) еще живой — берем нужный орган и на стол. В случае подозрения на то, что появится донорский орган реципиент вызывается срочно в клинику и ждет. Так, одному реципиенту, теоретически, могут подойти несколько доноров, в порядке слепой случайности (или злого умысла).
А так что «О, у него сердце вроде здоровое, давай кому-нибудь попробуем втулить» — не пройдет.
Есть возможность, когда жертва ДТП (к примеру) находится достаточно долго в стационаре, чтобы быть обследованным на предмет донорства. Но. Кроме крупнейших центров трансплантологии, не могу представить, кто этим будет заниматься.
Обычной районной-городской-областной больнице этот геморрой не нужен.
ledocool
27.02.2019 08:37Сейчас у банкоматов можно увидеть приободряющую надпись, что скоро аппараты с деньгами станут узнавать нас по лицу.
Теперь пацаны за гаражами будут просить поделиться финансами фразой «сыш ща так атделаем — банкамат да канца жизни не узнает!»Cloud4Y Автор
27.02.2019 11:16Может быть введут ограничение на сумму снятия по такому способу идентификации.
Agne
27.02.2019 11:08Несмотря на то, что биометрия это пока добровольное дело, возникает такой вопрос, может кто из юристов поможет ответить.
Можно ли заранее, например, для сбербанка, в письменном виде составить банковское поручение, о запрете получения любых банковских услуг с использованием биометрии в отношении себя.Cloud4Y Автор
27.02.2019 11:16Лучше всего могут проконсультировать непосредственно колл-центры самих банков.
Agne
27.02.2019 15:25Колл-центры самих банков не смогут помочь по крайней мере сбербанк.
Интересно ради эксперимента, попробовать обратиться к независимому юристу, что бы он составил, юридически точное, поручение шаблон. Дальше зарегистрировать его в сбербанке.
MedicusAmicus
27.02.2019 12:59Как-то вспомнилось заявление относительно прав на интеллектуальную собственность, размещенную на "стене" в синей соцсети.
Думаю, составить-то можно и несложно, но…
Попробуйте в больнице отказать в обработке персональных данных. Технически, это не влияет на ваше право получить мед.помощь, а вот что получится на практике?
Банки куда проще откажут в обслуживании, сославшись на 100500 рекомендаций по ИБ и иных важных документов.
"Дополнительные 5см паяльника в вашей… — исключительно для вашей безопасности"
Agne
27.02.2019 15:33Есть разные ПД, например банку для обслуживания счета необязательно знать есть ли в собственности квартира, машина и тд., если конечно не берется кредит под залог данной собственности. Или например медицинские данные когда, чем болел и тд.
Хотя и тут сбербанк пытается, в один из сервисов телемедицины можно зайти, используя аккаунт онлайнсбербанка
Neuromantix
А в законах есть указание об ответственности за нарушения и за компрометацию? Или как обычно — штраф 100р?
Goron_Dekar
А также 200к за разглашение факта компрометации, да.
Mur81
Даже если ответственность есть. Многих ли привлекут?
Cloud4Y Автор
А кого привлекут — не смогут ли откупиться? :)