СМИ сообщают об очередях в МФЦ из-за наплыва желающих отказаться от хранения данных в Единой биометрической системе. Есть ли тут риски?
Тревоги россиян о сборе каких-то непонятных биометрических данных обострились перед 1 сентября. К этому сроку банки и другие организации, хранящие биометрические данные граждан, должны были передать их в ГИС ЕБС, Единую биометрическую систему. Целый ряд изданий сообщили об очередях в МФЦ во многих регионах.
Как рассказала одна из собеседниц Business FM, в центре у московского метро «Аэропорт» очередь за отказом от биометрии исчислялась десятками человек, и люди «приходили и приходили». По данным газеты «Коммерсантъ», за август в четырехмиллионном Башкортостане заявления подали 14 тысяч человек, сопоставимые цифры и в других регионах.
СМИ связывают ажиотаж с распространением в соцсетях сообщений о том, что подать заявление можно было только до 1 сентября, что не соответствует действительности, сроки не устанавливаются. Не исключено, что большие эмоции вызвали даже не фейки в анонимных каналах, а уведомления в банковских приложениях. По закону банки должны были уведомить клиентов о передаче данных в ЕБС, так что о сроках узнали даже те, кто следит за информационной гигиеной. Так что есть ли чего бояться, если собранная в одном месте всероссийская биометрия куда-то утечет? Комментирует руководитель аналитического центра Zecurion Владимир Ульянов:
Владимир Ульянов руководитель аналитического центра Zecurion «В принципе, на текущий момент эти данные, если попадают в руки злоумышленников, то практически нет таких кейсов, таких векторов угроз, которые можно было бы реализовать и нанести какой-то прямой ущерб человеку. Но биометрические данные отличаются от других данных, которые могут утекать. К примеру, если были скомпрометированы пластиковые карты, можно карточку заблокировать, перевыпустить. То же самое касается любых других документов, которые можно аннулировать. Но биометрические данные мы не можем поменять. Это те признаки, которыми мы обладаем в силу своего появления и существования. Поэтому, если биометрические данные утекают, фактически все, мы ими уже никак не управляем. Мы не можем их отозвать. Поэтому, несмотря на то, что прямо сейчас таких векторов угроз, наверное, нет, то в перспективе они могут появиться. И наверное, риски, сомнения людей связаны прежде всего с тем, что невозможно биометрические данные аннулировать, поменять, перевыпустить — в отличие от других документов».
Чтобы оценить потенциальные риски, сперва нужно разобраться в терминах. Биометрическими данными можно назвать любые параметры, используемые для идентификации личности. В принципе, пограничник в аэропорту тоже как бы считывает биометрию, глядя на фото в паспорте путешественника. В ГИС ЕБС будут храниться два конкретных типа данных — биометрическое фото и аудиозапись голоса. Данные окажутся в системе в двух случаях — если гражданин ранее проходил процедуру сдачи биометрии в банке или если он сам зарегистрирует свои данные через «Госуслуги», сделав определенного типа фотоснимок и произнеся последовательность цифр под запись. Без этого системе неоткуда будет взять данные, а гипотетическим злоумышленникам — их оттуда украсть. Продолжает эксперт по информационной безопасности, гендиректор Phishman Алексей Горелкин:
Алексей Горелкин эксперт по информационной безопасности, гендиректор Phishman «Какая может быть опасность в биометрии? Если данные попадут в руки злоумышленника, то он в теории может что-то сделать с этими данными. Поэтому был выпущен федеральный закон по единому органу хранения биометрических данных, и поэтому к вашей биометрии никто доступа напрямую иметь не будет, а может только, условно, запросить слепок вашей биометрии, чтобы провести какую-то актуализацию. То есть биометрия — это та же самая подпись, только уже в более цифровом виде, и не требующая от вас дополнительных каких-то действий, то есть это просто уникальный слепок вашего лица. Главная штука в том, что люди не знают, они просто не разобрались, не читали ФЗ, не хотят. Я еще раз напомню, что по федеральному закону — и это очень хорошо — точка хранения биометрии единая. И поэтому вы всегда можете узнать, кто к ней обращается. И вы можете контролировать, кто имеет туда доступ, и так же можете отозвать свои биометрические данные в любой момент времени. Если вы никогда биометрию не сдавали, то это заявление просто ни на чем не работает. То есть еще раз: пока вы свою биометрию не сдали, у вас ее и нет. Сдать биометрию нельзя, просто проходя мимо: как налетел легкий ветерок — и меня унесло в море. Ну это не так работает. То есть если вы не сдавали биометрию намеренно, то вы ее не сдавали никогда».
По большому счету степень риска от потенциальной кражи персональных данных человек определяет сам. Любое согласие на предоставление биометрического доступа — будь то вход в телефон по отпечатку или авторизация в банке через камеру и голос — создает некую уязвимость. С одной стороны, это может быть гораздо удобнее, чем набивать пароль или ездить в отделение. С другой, фото и запись могут украсть или подделать, а палец к экрану приложить насильно. Если же человек опасается, что Единая биометрическая система без спроса соберет его данные по открытым источникам — из соцсетей или с камер уличного наблюдения, — то, во-первых, то же может сделать мошенник, а, во-вторых, тайную слежку вряд ли остановит заявление из МФЦ.
