Если коротко – то потому, что знаю: абсолютной, стопроцентной безопасности не существует. Ни информационной, ни радиационной, ни пожарной. Никакой. Бывает безопасность 0,99, бывает 0, 0999. Но не единица. Даже если персональные данные переданы государству, они могут быть украдены. Как показывает практика, при утечке данных государство, то есть чиновники, скажут «Ой. Как плохо получилось. Но мы сделаем все, чтобы эта ситуация не повторялась в дальнейшем».
Что такое биометрия? Закон «О персональных данных» гласит:
«Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных» (статья 11, часть 1).
Проще говоря, это изображение вашего лица, отпечатков пальцев, запись голоса, по которым вас можно однозначно идентифицировать, отличив от любого другого человека. Биометрия может (и будет) использоваться в качестве пароля для доступа к определенным данным, например, к банковскому счету, в личный кабинет госуслуг и т. д.
В чем здесь проблема? В том, как будут защищены эти данные. И кто это будет делать. Делать это будет оператор Единой биометрической системы (ЕБС). Оператором ЕБС является акционерное общество «Центр биометрических технологий» (ЦБТ), созданное в соответствии с указом Президента РФ № 693. Акционерное, Карл! Не ФСБ, не Минцифры, даже не Ростелеком. АО. Кто я для него?
Что меня беспокоит? А вот что. Если кто-то украл мой пароль для входа в банк-онлайн или данные банковской карты, то я, конечно, потеряю деньги, но после замены этих данных дальнейшая потеря денег исключается. Меняешь пароль, меняешь карту – все хорошо. А если будут похищены биометрические данные, то, извините, другого лица и голоса у меня нет. И не будет. То есть этот «биометрический пароль» будет скомпрометирован НАВСЕГДА. Вот в чем проблема.
Информация о случаях обмана (обхода) систем биометрической идентификации периодически попадает в СМИ. Это и отпечаток пальца тогда еще министра обороны ФРГ Урсулы фон дер Ляйен, изготовленный по её публичным фотографиям (оптика позволяет), и обман Face ID на iPhone X при помощи надетой на голову маски с поддельными пропорциями лица, и кража 243 тысяч долларов с помощью подделанного нейросетью голоса генерального директора. Это всё реальные случаи.
Существует странный приказ Минцифры от 5 мая 2023 года № 446 г, в котором определены актуальные угрозы информационной безопасности при обработке биометрии. В нем угрозы определены очень обобщенно, абстрактно, вот так:
«угроза нарушения целостности (подмены, удаления) биометрических персональных данных, нарушения конфиденциальности (компрометации) биометрических персональных данных, нарушения достоверности биометрических персональных данных (внесения фиктивных биометрических персональных данных), в том числе путем реализации целенаправленных действий с использованием возможностей....».
Понятно, что и конфиденциальность, и целостность, и достоверность, и другие свойства безопасности могут быть нарушены. Это знает любой специалист по ИБ. А дальше-то что?
Вообще-то актуальные угрозы следует определять по Методике ФСТЭК России от 05.02.2021 г, по этой методике таких угроз получается за сотню (всего в банке данных угроз ФСТЭК их 222: см. bdu. fstec. ru). А у Минцифры описан всего лишь общий характер угроз, без их названий и без векторов атаки. Отсюда непонятно, какие же меры защиты будут предприняты, поскольку меры выбираются исходя из актуальных угроз. Как же их будут защищать? Мы этого не знаем, нам не говорят. Нам говорят: «Не волнуйтесь, все под контролем, это не ваше дело». А чье же тогда?
Вообще-то, персональные данные в России защищают по приказам ФСБ (№378 2014 г) и ФСТЭК (№21 2013 г). В них определены меры защиты, выбираемые с учётом актуальных угроз. Но утечки происходят с завидной регулярностью.
Именно это меня и беспокоит. Время от времени в прессе появляется информация о массовых утечках данных. О взломах защищенных сайтов гос. органов. Выявлены ли причины, найдены ли виновные? Возможно. Вот только обладателям этих данных от этого не легче. Кто-то заплатит штраф государству, а перед обладателем даже не извинятся. Он никто, хотя, конечно, он может обратиться в суд и пытаться возместить нанесенный лично ему ущерб. Но не советую – замучаетесь.
А дальше – я уже написал. Поскольку стопроцентной гарантии безопасности биометрии нет (ее чисто технически не может быть), то зачем ее сдавать? Чтобы что? Украденный пароль можно изменить, украденное цифровое изображение лица – никогда. Преступник получает вечный ключ к данным потерпевшего.
Вот такой расклад.
Любителей говорить, автор не прав и что специалистам виднее – просьба не беспокоится. Если у вас есть доказательства стопроцентной безопасности данных – в студию, а просто так молоть языком не надо, я и сам так могу. У меня конкретные вопросы на которые пока никто не ответил.
..............................................................
Впрочем, это все лирика. Практика показывает, что если государство что-то решило – оно обязательно заставит нас это сделать. Когда-то и получение зарплаты на пластиковую карточку было делом сугубо добровольным. А сейчас? А сейчас вы получаете зарплату только через карту какого-нибудь АКЦИОНЕРНОГО общества. Например, Сбер. Или Альфа-банк. Колхоз дело добровольное, хе-хе. И конечно, конечно они защищают наши данные. Просто иногда звонят мошенники и знают, как меня зовут, в каком банке карта и сколько на ней денег. Казалось бы, как они это узнали?
=======================================
