| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
К сфере обработки биометрических данных (а это, в первую очередь применение технологий распознавания по лицу и голосу) в последние несколько лет значительно повысился интерес со стороны государства. Это внимание обусловлено как возможностями, предоставляемыми данными технологиями, так и новыми (порожденными) угрозами.
Если же говорить про новые возможности, то это упрощение процесса и повышение точности аутентификации человека, что удобно пользователям и выгодно бизнесу. При этом данные технологии позволяют в полной мере реализовать удаленную аутентификацию. Применительно к кредитно-финансовой сфере это вылилось в выделение данного направления в приоритетные на уровне Центрального банка и инициирование (совместно с Минсвязи) создания Единой биометрической системы (ЕБС). Разработчик и оператор ЕБС – Ростелеком.
Данная система по задумке должна была оказать положительный эффект на кредитно-финансовую сферу в плане упрощения конкуренции между организациями - поставщиками финансовых услуг и как следствие снижения для населения стоимости оказываемых услуг и возможность небольшим организациям проще привлекать клиентов. При этом появлялись и новые угрозы, связанные с перехватом, внесением изменений в процесс аутентификации и даже с подделкой биометрии (грим, технология deep fake и т.д.).
В целях минимизации рисков информационной безопасности ЕБС создана с применением комплекса технических, организационных и технологических мер. А для банков (бизнес-пользователей) мегарегулятор отдельно выпустил Указание Банка России от 9 июля 2018 г. № 4859-У с перечнем актуальных угроз и Методические рекомендации Банка России от 14 февраля 2019 г. № 4-МР по нейтрализации банками угроз безопасности, актуальных при обработке, включая сбор и хранение, биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным гражданина Российской Федерации. Для мотивации применения ЕБС была проработана тарифная политика с элементами «кэшбека», когда за использование биометрии взимается плата с организации и 50% от неё передается в организацию, собравшую и предоставившую в ЕБС образцы биометрических персональных данных. Также через требования обеспечено принудительное оборудование отделений банков местами сдачи биометрии – в Федеральном законе от 7 августа 2001 г. N 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма» установлена обязательная возможность использования ЕБС для удаленной идентификации. На текущий момент решение, судя по статистике, не особо выгодно банкам – оно в самом простом варианте обходится в сумму от 1 миллиона рублей, а количество биометрических экземпляров равно приблизительно 200 тысячам и растет медленными темпами. Судя по заявлениям властей, на первый план выходит обеспечение безопасности биометрических данных, и все мероприятия будут сводиться к централизации обработки биометрии и защиты её в одном месте, что в целом вызывает понимание – с точки зрения обеспечения конфиденциальности преимущества хранения и проверки биометрии в единой системе налицо. Создание единой государственной системы на базе Единой биометрической системы (ЕГБС) и работа только с ней сильно меняет текущий «ландшафт» технологий, применяющих биометрические персональные данные – все коммерческие системы будут должны обеспечить интеграцию с ЕГБС и работать не с самой биометрией, а с векторами.
На текущий момент в целях реализации этой политики внесены изменения (часть требований вступает в силу с 01.09.2022) в 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и о защите информации», а также опубликованы постановления Правительства (№1815 от 23.10.2021, №1799 от 20.10.2021) и приказ Минцифры РФ (№930 от 10.09.2021), в соответствии с которым определен ряд требований и особенностей функционирования. Рассмотрим ключевые.
На что хотелось бы обратить внимание в 149-ФЗ:
-
Работа ЕБС, по сути, определяется Правительством Российской Федерации по согласованию с ФСБ, Роскомнадзором и Банком России.
-
Физические лица могут сами размещать свои биометрические данные с применением ЕСИА и загранпаспорта с чипом.
-
На текущий момент в ЕБС хранит информацию о лице и голосе, но он будет расширен. Состав биометрии определяет Правительство РФ.
-
Обработка биометрии (и работа с ЕБС) должна осуществляться в соответствии с требованиями к защите биометрических персональных данных.
-
Проверить организации могут ФСБ, ФСТЭК, Роскомнадзор, Банк России в рамках своих компетенций.
-
Минцифры России определяет
-
требования к работе с ЕБС (сбор биометрии, хранение и т.д.)
-
определяет формы подтверждения соответствия технических средств требованиям
-
определяет методики проверки качества биометрических данных
-
определяет перечень угроз безопасности актуальных при обработке биометрических персональных данных
-
распространяет на безвозмездной основе для физических и юридических лиц программное средство криптографической защиты информации (СКЗИ, сертифицированное ФСБ), необходимое для работы с ЕБС
-
обеспечивает работу с биометрией в МФЦ
-
осуществляет аккредитацию организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц
-
Оператор ЕБС (Ростелеком)
-
обеспечивает взаимодействие с внешними пользователями ЕБС
-
предоставляет по запросу в МВД, ФСБ сведения из ЕБС
-
по требованию физического лица (или государственных специальных служб) удаляет биометрию из ЕБС
-
ведет реестр пользователей (государственных органов, органов местного самоуправления, организаций финансового рынка, иных организаций, индивидуальных предпринимателей, нотариусов) ЕБС
-
Разделены организации, которые проводят по биометрии идентификацию и (или) аутентификацию и те, которые проводят только аутентификацию (т.е. пользователь предварительно идентифицируется иными способами).
-
Запрещены сбор и обработка биометрии в иных системах, но допускаются в установленных Правительством Российской Федерации по согласованию с Центральным банком Российской Федерации случаях (похоже, для крупных операторов биометрических данных, например, таких как Сбербанк) при условии:
-
выполнения требования по обеспечению безопасности
-
выполнения требований закона от 26 июля 2017 года N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» и подключения к ГосСОПКА
-
прохождения аккредитации в Минцифры России
-
Все системы с биометрией должны либо подключиться к ЕБС, сдав туда ранее собранную биометрию, либо добиться исключения (по решению Правительства), либо прекратить работу с биометрией.
-
Организации и их руководство не входят в перечни причастности к экстремистской деятельности, терроризму или распространению оружия массового уничтожения.
-
У руководства организации отсутствует неснятая или непогашенная судимость.
-
В отношении организации в едином государственном реестре юридических лиц отсутствует запись о недостоверности сведений о юридическом лице.
-
Должна быть обеспечена защита каналов передачи данных с применением СКЗИ.
-
Тарифы (в том числе обязательный «кэшбек» для поставщиков биометрии) устанавливает Ростелеком, но в соответствии с методикой расчета взимания платы, утвержденной Минцифры России по согласованию с Банком России.
-
Организации могут пользоваться информационными системами аккредитованных на работу с биометрией организаций, при условии выполнения ими основных требований (по сути, всё кроме аккредитации Минцифры России).
-
Аккредитация осуществляется при выполнении организацией следующих условий:
-
доля иностранного участия менее 49% (если это не особый случай, определяемый Правительством
-
минимальный размер капитала не менее 50 млн рублей
-
наличия страховки от неправильной аутентификации в размере не менее 50 млн рублей
-
наличие лицензии ФСБ на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств
-
наличие права собственности на аппаратные СКЗИ
-
наличие в штате не менее двух работников, имеющих высшее образование в области информационных технологий или информационной безопасности
-
соответствие требованиям к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа, установленным Минцифры России
-
соответствие дополнительным требованиям единоличного исполнительного органа, таким как наличие гражданства РФ, отсутствие неснятой или непогашенной судимости, не привлечение в течение пяти лет, предшествующих дню подачи заявления об аккредитации, к уголовной ответственности в соответствии со статьями 183 и 283 УК РФ за незаконные получение и разглашение сведений, составляющих государственную, коммерческую, налоговую или банковскую тайну, отсутствие в перечнях сведений о причастности к терроризму и т.д.
-
в отношении организации, претендующей на получение аккредитации, не была досрочно прекращена ее аккредитация в течение трех лет, предшествующих дню подачи нового заявления
-
лицо, имеющее право действовать без доверенности от имени организации, претендующей на получение аккредитации, не являлось лицом, имевшим право действовать без доверенности от имени иной организации, осуществляющей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, аккредитация которой досрочно прекращена в течение трех лет, предшествующих дню подачи заявления.
-
Предъявляются дополнительные повышенные требования к организациям, осуществляющим идентификацию либо идентификацию и аутентификацию:
-
минимальный размер капитала не менее 500 млн рублей
-
наличия страховки от неправильной проверки биометрии в размере не менее 100 млн рублей
-
подключение к ГосСОПКА
-
-
Плановые проверки Минцифры России в отношении аккредитованных организаций должны проводиться не реже чем один раз в три года.
Следующий документ - постановление Правительства №1799 от 20.10.2021 определяет правила аккредитации организаций, работающих с биометрическими персональными данными. Данные правила определяют требования к форме заявки на аккредитацию и сопутствующие документы, подтверждающие выполнение требований к организациям, а также регламентируют сроки рассмотрения заявки и фиксацию аккредитации в специализированном перечне аккредитованных организаций. Отдельно хотелось бы обратить внимание на требования к иностранным организациям – от них требуют размещения технических средств на территории РФ и не являться представителями иностранного государства, включенного в перечень иностранных государств, совершающих недружественные действия в отношении РФ, её граждан и юридических лиц.
В постановлении Правительства №1815 от 23.10.2021, в свою очередь, определен перечень случаев осуществления сбора и обработки, используемых для идентификации либо идентификации и аутентификации биометрических персональных данных в информационных системах организаций – некий белый список применения информационных систем, использующих биометрию, в частности для идентификации (аутентификации):
-
водителей легкового такси
-
водителей каршеринга (для аренды до 24 часов)
-
при проходе на территорию организаций посредством СКУД на территории данных организаций, кроме организаций оборонно-промышленного, атомного энергопромышленного, ядерного оружейного, химического, топливно-энергетического комплексов, организаций, относящихся к объектам транспортной инфраструктуры, субъектам критической информационной инфраструктуры, объектов, совершение террористического акта на территории которых может привести к возникновению чрезвычайных ситуаций с опасными социально-экономическими последствиями, режимных объектов, дошкольных образовательных организаций и общеобразовательных организаций
-
при участии в собрании участников гражданско-правового сообщества
Также приказом Минцифры РФ №930 от 10.09.2021 определен порядок обработки биометрии, где стоит обратить внимание на следующие особенности:
-
указано требование (для неподнадзорных Банку России) по информированию Минцифры России о выявленных инцидентах ИБ, не позднее 1 рабочего дня
-
требование по ежегодной оценке соответствия требованиям по защите информации внешней организацией с лицензией и информирование о результатах Минцифры России
-
определены технические требования к биометрии (изображениям и голосу), такие как разрешение, глубина цвета, углы поворота головы, освещенность, форматы данных, уровень сигнал-шум для голоса, качество и т.д.
-
проверка качества осуществляется с помощью ПО, предоставленного Ростелекомом. Некачественная биометрия не должна собираться.
-
не допускается хранение биометрии (в целях идентификации/аутентификации) кроме как в ЕБС
-
использование должны быть только биометрии не старше 5 лет
-
определены максимальные (допустимые) вероятности ложного совпадения для разных случаев анализа биометрии
-
требование по использованию не менее 5 разных алгоритмов обнаружения атаки на биометрическое предъявление
При анализе этого набора требований также возникает вопрос функционального характера – а как быть автономным системам распознавания, например, лиц (например, такая возможность сейчас есть в умных домофонах)? Такие технологии, по сути, теперь запрещены.
Как мы видим, на текущий момент обеспечено жесткое регулирование и ограничение биометрических технологий, что повышает безопасность. Однако, такое ограничение может вызвать отставание РФ в этих технологиях – будут значительно осложнены развитие новых направлений, апробация и, самое главное, космически повышен порог входа на данный рынок.
Что такое биометрические персональные данные?
Биометрические персональные данные представляют собой уникальные физиологические и биологические характеристики человека, которые могут быть использованы для его идентификации. Эти характеристики включают в себя отпечатки пальцев, сканирование лица, радужку глаза, голосовые анализы, геометрию руки и другие биометрические параметры.
Главная особенность биометрических данных заключается в их уникальности. Ни у каких двух людей не существует абсолютно одинаковых биометрических характеристик, что делает их идеальным инструментом для аутентификации и идентификации. Когда биометрические персональные данные используются для доступа к системам или данных, это повышает уровень безопасности и устраняет проблему с утерей или кражей паролей.
Применение биометрических персональных данных
1. Аутентификация: Одним из наиболее распространенных способов использования биометрических персональных данных является аутентификация пользователя. С помощью сканирования отпечатков пальцев или распознавания лица, устройства могут убедиться в том, что доступ предоставляется только уполномоченному лицу.
2. Безопасность мобильных устройств: Многие современные смартфоны и планшеты оборудованы сенсорами для сканирования отпечатков пальцев или распознавания лица. Это делает устройства более защищенными и предотвращает несанкционированный доступ.
3. Защита данных: Биометрические персональные данные также могут использоваться для защиты конфиденциальных данных. Например, биометрический сканер может быть интегрирован в систему доступа к серверам с важной корпоративной информацией.
4. Замена паролей: Биометрические данные предоставляют возможность забыть о сложных паролях и PIN-кодах. Вместо этого, вы можете использовать свои уникальные биометрические характеристики для доступа к вашим устройствам и данным.
5. Медицинская безопасность: В медицинских учреждениях биометрические персональные данные могут использоваться для обеспечения безопасности доступа к медицинским записям и личным данным пациентов.
Особенности биометрических данных
Однако, несмотря на все преимущества, связанные с использованием биометрических персональных данных, существуют и определенные риски. Например, биометрические данные могут быть скомпрометированы в случае утечки, и их нельзя сменить, как пароль или PIN-код. Поэтому защита и шифрование биометрических данных становятся критически важными задачами.