30 декабря 2021 года Министерство цифрового развития, связи и массовых коммуникаций РФ заключило контракт с корпорацией «Ростелекомом» на интеграцию единой системы идентификации и аутентификации (ЕСИА) «Госуслуг» с ГИС «Единая биометрическая система» (ЕБС).
Судя по техническому заданию, министерство хочет обеспечить пользователей «Госуслуг» возможностью регистрироваться или входить на портал с помощью биометрии. К тому же в тендере упомянуты планы по сбору биометрии через мобильное приложение. Биометрические слепки лица и голоса российских граждан планируется собирать с помощью смартфонов и планшетов.
Президент группы компаний InfoWatch, председатель правления АРПП «Отечественный софт» Наталья Касперская, ответила на вопросы журналистов «Коммерсанта» о том, какие риски есть при использовании мобильного приложения для сдачи биометрических образцов и при входе на портал «Госуслуг» с помощью биометрии.
Приводим полный текст ее комментария:
«Во-первых, все приложения, устанавливаемые пользователями на смартфон, так или иначе контролируются как производителями телефона, так и платформой, с которой скачивается это приложение. Значит, им могут быть доступны те данные, которыми оперирует приложение, в т.ч. биометрические.
Во-вторых, теоретически и злоумышленники могут получить доступ к этим данным в приложении, например, путем установки зловредного ПО на смартфон или благодаря использованию методов социальной инженерии (когда пользователи сами соглашаются с установкой вредоносного ПО на смартфон. Такие случаи всё учащаются). Ситуация усугубляется тем, что процент людей, серьезно думающих о защите своих устройств, традиционно невысок, а с быстрым развитием цифровизации, число неопытных пользователей только растёт.
Еще одна категория рисков обусловлена тем, что нет никакой гарантии того, что биометрическая информация, переданная со смартфона при помощи приложения «Ростелекома» в ЕБС, принадлежит именно данному человеку, а не какому-либо другому. Это может быть друг-шутник, злоумышленник или вообще стороннее лицо, использовавшее технологии Deep Fake («глубокой подделки»).
Эти риски могут реализоваться в то, что один человек сможет воспользоваться, например, средствами на счёте в банке другого человека.
Ещё один вопрос, который меня лично волнует – каков механизм отзыва биометрической информации из ЕБС, из Face Pay Московского метрополитена и т.д.? У гражданина в нашей стране должна быть свобода воли, и закон о защите персональных данных (ФЗ-152) дает гражданину право отозвать свое решение о предоставлении данных в любой момент. Однако на практике почему-то именно с биометрическими системами такие возможности ограничены.
На мой взгляд, процедура отзыва своей биометрии – вопрос, который должен быть решён до её массового внедрения», - считает Наталья Касперская.
Источник публикации по теме: https://www.kommersant.ru/doc/5171552
