Центр комплексной защиты информации

Осень выдалась богатой на новости и события, связанные с биометрией, поэтому решили проанализировать вопрос, стоит ли использовать сервисы с биометрией? И стоит ли ее сдавать в ЕБС (единую биометрическую систему)?

Данная публикация не претендует на всестороннее и, следовательно, объемное раскрытие темы. Тем более, планируем к ней возвращаться еще не раз. Сейчас лишь некоторые тезисы по вопросу:

1. Приход биометрии необратим, достаточно стремителен, хотя и латентен для большинства граждан. Уж больно это удобный и точный инструмент для прицельного наблюдения за поведением людей. Многие претендуют на его использование. Начал как всегда бизнес, но государство быстро включилось.
2. Быстрое развитие разнообразной инфраструктуры создает все условия для неявного (скрытного) сбора образцов биометрии. Для сбора изображений лиц - различные видеосистемы, включая городские системы видеонаблюдении, видеокамеры в телефонах и ноутбуках, и конечно, социальные сети. Для образцов голоса - голосовые помощники, «умные» колонки, голосовые чат-боты, голосовые сообщения в мессенджерах. Для явной фиксации биометрических данных создается специализированная инфраструктура – программно-аппаратные комплексы, включая криптобиокабины, в МФЦ, паспортных службах, банках, кредитных и других организациях.
3. Государство оценило преимущества биометрических сервисов, но вместе риски бесконтрольного распространения биометрических данных граждан, поэтому активно устанавливает свои правила игры на этом поле. В подтверждение этому – подборка постановлений Правительства РФ и приказов Министерства цифрового развития, связи и массовых коммуникаций РФ (Минцифры), вышедших только за последние пару месяцев (см. в конце поста). Мы внимательно почитаем эти документы, но о них следующих постах.
4. Около государственные и частные игроки тоже не сидят сложа руки. Один из примеров: Сбербанк в 2017 году купил 25% акций и включил в свою экосистему компанию VisionLabs – разработчика решений в области распознавания лиц и объектов https://www.sberbank.com/ru/eco/visionlabs.  В 2019 году приобрел 51% акций и включил в свою экосистему группу компаний ЦРТ, разработчика интеллектуальных решений  по голосовой биометрии и распознавания лиц https://www.sberbank.com/ru/eco/crt.  Также Сбербанк активно развивает биометрический сервис «Оплата одним взглядом». Примеры можно продолжать – Ростелеком, ВТБ, X5 Retail Group и другие.
5.  И последнее в этом посте, публичные уверения, что в биометрических сервисах будут использоваться лишь коды, полученные из биометрических данных, по которым восстановить лицо или голос невозможно, не вполне достоверны. В частности, биометрические образцы, включая изображения лиц и записи голоса, будут храниться в местах сбора и передаваться по каналам электронного взаимодействия в ЕБС (стр.9 п.14 Приказа Минцифры № 930 от 10.09.2021, ссылка ниже). А пункт 16 на стр.9 того же приказа гласит, что в ЕБС, биометрические персональные данные будут храниться не менее 50 лет с момента размещения.

Что ж, на вопрос стоит ли использовать сервисы с биометрией, пока никто не ответил.

В следующих постах постараемся подробнее осветить, какие риски стоит учитавать в использовании биометрии.

Бегите себя, соблюдайте правила цифровой гигиены!

Приложение:

• 13 октября опубликовано  Постановление Правительства РФ от 11.10.2021 № 1729 «Об утверждении Положения о федеральном государственном контроле (надзоре) в сфере идентификации и (или) аутентификации». Приложение к Положению содержит критерии отнесения объектов федерального государственного контроля (надзора) в сфере идентификации и (или) аутентификации к категориям риска причинения вреда (ущерба) охраняемым законом ценностям. Положение вступает в силу с 1 января 2022 г. http://publication.pravo.gov.ru/Document/View/0001202110130008

• 18 октября опубликовано Постановление Правительства Российской Федерации от 15.10.2021 № 1753 "Об утверждении требований к организационным и техническим условиям осуществления многофункциональными центрами предоставления государственных и муниципальных услуг размещения или обновления в единой системе идентификации и аутентификации сведений, необходимых для регистрации физических лиц в данной системе, размещения биометрических персональных данных в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, с использованием программно-технических комплексов". Вступило в силу со дня его официального опубликования. http://ips.pravo.gov.ru:8080/default.aspx?pn=0001202110180003

• 21 октября было опубликовано Постановление Правительства Российской Федерации от 20.10.2021 № 1799 "Об аккредитации организаций, владеющих информационными системами, обеспечивающими идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающих услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц" .Постановление вступает в силу с 1 января 2022 г. и действует до 1 января 2028 г. http://publication.pravo.gov.ru/Document/View/0001202110210028

• 16 сентября опубликован Приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 25.05.2021 № 494 "Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанной системой, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных". http://publication.pravo.gov.ru/Document/View/0001202109160019?index=0&rangeSize=1

• 17 сентября опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 27.08.2021 № 896 "Об утверждении требований к деловой репутации единоличного исполнительного органа или членов коллегиального исполнительного органа организации, владеющей информационной системой, обеспечивающей идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, и (или) оказывающей услуги по идентификации и (или) аутентификации с использованием биометрических персональных данных физических лиц". Приказ вступает в силу с 1 марта 2022 года и действует до 1 марта 2028 года. http://publication.pravo.gov.ru/Document/View/0001202109170030?index=3&rangeSize=1

• 28 октября опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 10.09.2021 № 930 "Об утверждении порядка обработки, включая сбор и хранение, параметров биометрических персональных данных, порядка размещения и обновления биометрических персональных данных в единой биометрической системе и в иных информационных системах, обеспечивающих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, а также требований к информационным технологиям и техническим средствам, предназначенным для обработки биометрических персональных данных в целях проведения идентификации". Приказ вступает в силу с 1 марта 2022 года и действует до 1 марта 2028 года. Действующий в настоящее время приказ Минкомсвязи от 25.06.2018 № 321 с 1 марта 2022 года будет признан утратившим силу. http://publication.pravo.gov.ru/Document/View/0001202110280037?index=2&rangeSize=1

• 03 ноября опубликован приказ Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 01.09.2021 № 902 "Об утверждении перечня угроз безопасности, актуальных при обработке биометрических персональных данных, их проверке и передаче информации о степени их соответствия предоставленным биометрическим персональным данным физического лица в информационных системах организаций, осуществляющих идентификацию и (или) аутентификацию с использованием биометрических персональных данных физических лиц, за исключением единой информационной системы персональных данных, обеспечивающей обработку, включая сбор и хранение биометрических персональных данных, их проверку и передачу информации о степени их соответствия предоставленным биометрическим персональным данным физического лица, а также актуальных при взаимодействии государственных органов, органов местного самоуправления, индивидуальных предпринимателей, нотариусов и организаций, за исключением организаций финансового рынка, с указанными информационными системами, с учетом оценки возможного вреда, проведенной в соответствии с законодательством Российской Федерации о персональных данных, и учетом вида аккредитации организации из числа организаций, указанных в частях 18.28 и 18.31 статьи 14.1 Федерального закона от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации". http://publication.pravo.gov.ru/Document/View/0001202111030007