Единая база биометрических данных граждан, доступ к которой планируется предоставить множеству коммерческих компаний, начнёт работать в России с 1 июля. Тем временем мировой опыт показывает, что данные биометрии крадутся киберпреступниками не менее успешно, чем любая другая персональная информация.
Накануне ПАО «Ростелеком» объявило, что 1 июля 2018 года планируется ввести в коммерческую эксплуатацию Единую биометрическую систему, предназначенную для идентификации личности граждан по фотографии и записи голоса. Предполагается, что на первом этапе данными системы будут пользоваться около 20 российских банков, среди которых Промсвязьбанк, Райффайзенбанк, ВТБ, Альфа-банк, Россельхозбанк, Почта банк, Тинькофф Банк и другие. При этом Сбербанк пока не заявил о намерении присоединиться к системе.
В состав единой биометрической системы будет входить база фотографий и записей голосов граждан, «привязанных» к другим персональным данным (имя, возраст, место регистрации, паспортные данные, другая информация), и средства биометрической индентификации, то есть аппаратура и компьютерные программы, позволяющие установить личность человека по фотографии и голосу.
Предполагается, что человек, чьи данные занесены в единую биометрическую систему, сможет без личного посещения получать различные услуги в любом из присоединившихся к системе банков, предъявив вместо своей физической личности и «бумажных» оригиналов документов своё электронное изображение и произнеся в микрофон контрольную фразу. Сделать это можно будет через специальное приложение, установленное в смартфоне. По замыслу участников проекта, инициированного Центральным банком России, с применением этой системы будет возможным, например, внести деньги на банковский счёт или снять их со счёта, получить кредит, оформить платежи и переводы и так далее. И всё это, просто показав лицо камере смартфона и сказав несколько слов в его микрофон.
Компьютерная система банка, куда обратился человек, сверит полученные биометрические показатели с информацией в единой биометрической системе, и если они совпадут с данными какого-либо гражданина, на имя этого гражданина будет выдан кредит, с его счёта деньги будут переведены на какой-то другой счёт или списаны с целью платежа. В перспективе к единой системе биометрии могут быть подключены компании и организации из сферы здравоохранения, образования, розничной и электронной торговли, органов исполнительной власти разных уровней для предоставления государственных и муниципальных услуг.
В качестве аргументов за использование такой системы называется удобство граждан: вам не придётся ходить за услугами и покупками, если однажды вы прошли процедуру фиксации биометрических данных в одной из компаний-участниц системы. Теперь все участвующие в системе банки, магазины, частные и государственные поликлиники узнают вас по голосу и в лицо и сделают то, о чём вы их просите.
Например, дадут вам кредит в размере миллиона рублей, за который вы в течение пяти лет вернёте два. Хороший вопрос при этом: вы ли будете перед камерой смартфона и вы ли будете говорить в его микрофон? Или банк получит записи изображения вашего лица и голоса? Речь идёт, конечно, о возможности хищения данных из единой биометрической базы.
Разумеется, создатели информационной платформы, являющейся основой базы данных, заявляют, что она размещена в облачной защищённой инфраструктуре «Ростелекома», к которой банки получат доступ через специальные каналы связи Системы межведомственного электронного взаимодействия (СМЭВ). Данные пользователя будут передаваться в единую биометрическую систему по каналам связи, защищённым специальными криптоалгоритмами (шифрованием). Нет оснований в этом сомневаться. Да вот только к системе будут подключены сначала десятки, а затем сотни коммерческих компаний.
Это десятки и сотни точек и локальных каналов обмена данными. И кто знает, насколько та или иная коммерческая структура сэкономит на средствах защиты. И тогда такая «экономичная» дыра может стать причиной утечки биометрической и другой персональной информации. Кроме того, вследствие большого количества подключенных компаний-участниц, в них доступ к работе с биометрическими данными граждан во всей единой системе будут иметь совокупно сначала сотни, а затем и тысячи человек. А как постоянно заявляют специалисты по информационной безопасности, халатность или злой умысел персонала является одной из основных причин утечки конфиденциальных данных.
Причём главная опасность хищения данных единой биометрической системы даже не в возможности осуществления финансового мошенничества. Гораздо опаснее, что в руки разного рода недоброжелателей могут попасть не только данные паспорта и места жительства гражданина, но и информация о его внешнем виде и голосе. Вот это потенциально опасно уже не только для кошелька, но и для жизни.
Возможность хищения биометрических данных следует просто из того, что существует их источник. И чем он крупнее, тем большее внимание злоумышленников такой источник будет привлекать. По оценке российской компании АО «Инфовотч» (InfoWatch), компрометация подобных сведений из централизованных хранилищ влечёт ещё более тяжёлые последствия, чем утечка классических персональных данных. В качестве примера приводится крупнейшая в мире по количеству граждан, чьи данные в ней зафиксированы, государственная идентификационная система AADHAAR в Индии. В ней содержатся как «обычные», так и биометрические персональные данные.
Система начала работать в 2009 году, и тогда же часть информации из неё появилась в Twitter. Следующий скандал разразился в мае 2017 года, когда были похищены данные о 130-135 миллионах человек из базы AADHAAR. Причём, по заявлению индийской некоммерческой организации Центр «Интернет и общество» (Centre for Internet and Society, CIS), данные «утекли» через интернет-порталы четырёх государственных программ финансовой поддержки развития сельских регионов страны.
Руководство индийского Агентства по уникальной идентификации (UIDAI), которое является оператором системы AADHAAR, категорически отрицало сами факты утечки до тех пор, пока в январе 2018 года журналисты одного из индийских СМИ не купили у анонимного продавца в Интернете доступ к данным базы AADHAAR. После этого база оказалась полностью скомпрометирована. При этом в UIDAI не нашли ничего лучшего, чем подать в суд на журналистов за незаконный доступ к конфиденциальной информации.
В материалах InfoWatch приводится ещё несколько примеров хищений из баз биометрических данных. Среди них кража в 2017 году информации о более чем 1,6 млн покупателей сети автоматов по продаже еды и напитков американской компании Avanti Markets. Информация содержала данные о банковских картах и биометрических данных в виде отпечатков пальцев, которые можно было применять для формирования через интерфейс автомата поручения о списании денег за товар с банковского счёта покупателя.
Давно не секрет и не новость, что для любых электронных баз данных, имеющих точки и каналы обмена информацией с внешним по отношению к ним миром, справедлив перефразированный закон Мерфи: «Всё, что можно украсть, обязательно будет украдено, а всё, что нельзя, будет украдено тоже».
Поэтому коммерциализация электронных хранилищ биометрической информации с практически неограниченным удалённым доступом потенциально угрожает самыми непредсказуемыми последствиями для любого, кто в неё попал.