В конце августа людей напугали, что если не написать отказ от передачи биометрии в Единую биометрическую систему, то с сентября данные возьмут насильно. То был миф, который легко развенчать. Но с биометрией связаны куда более стойкие заблуждения. Например, считается, что сведения из государственных баз утекают как вода и попадают к преступникам, которые, используя данные, могут украсть деньги и личность. Как на самом деле обстоят дела с безопасностью и что могут сделать мошенники, если к ним попадут биометрические данные, рассказали «Выберу.ру» специалисты.
Новейшие технологии запутают кого угодно. В итоге многие люди ещё не до конца понимают, что такое биометрические данные.
Поэтому то, что вас сфотографировали в банке, когда выдавали дебетовую карту или кредит, не значит, что вы сдали биометрические данные.
Хотя многие компании используют биометрию по отдельности: например, в банках сейчас есть оплата улыбкой, в фитнес-центрах — вход по изображению лица. Причём некоторые организации сообщили, что передадут даже неполные данные. Поэтому пока предположить, что именно попадёт в ЕБС, сложно. Да и не столь важно. Куда важнее, безопасно ли хранить изображение лица и голос в государственной базе. Насколько вероятна утечка данных?
Почти все эксперты, опрошенные «Выберу.ру», сошлись во мнении, что ЕБС более безопасна, чем базы данных коммерческих компаний, откуда то и дело утекает информация. Причин несколько.
Одна из них — централизованное хранение данных, указал основатель юридической компании «Да!Банкрот» Илья Коптяев. Централизация информации делает базу более устойчивой к внутренним утечкам (когда данные «сливает» сотрудник) и атакам хакеров.
Эксперт по информационной безопасности РосДорБанка Александр Аникиенко перечислил основные требования, которые предъявляются к базам данных — защита информации, материальное обеспечение (компьютеры, сервера) и контроль.
Если условно сравнивать государственную базу и базу, например, Сбербанка, то информация одинаково защищена, поскольку выполняются одни и те же требования. С критериями защиты данных можно ознакомиться в Постановлении Правительства РФ № 1119 от 1 ноября 2012 года и в Приказе ФСБ № 378 от 10 июля 2014 года.
Но с материальным обеспечением и контролем в государственной базе дела обстоят получше, чем в крупнейшем банке страны.
В то же время Александр Аникиенко напомнил, что вероятность утечки информации там, где работают люди, никогда не будет нулевой. Даже если используется хорошее оборудование, соблюдаются требования по защите данных и всё это жёстко контролируется.
С ним согласен юрист юридической службы «Единый центр защиты» Кирилл Резник, который тоже отметил «человеческий фактор»:
Нужно всегда помнить про человеческий фактор. Например, любое хранилище может быть слито в сеть людьми изнутри системы, если у них вдруг появится мотивация для такого поступка
Доцент департамента правового регулирования экономической деятельности Финансового университета при правительстве Оксана Васильева указала ещё на одну особенность. Данные в ЕБС зашифрованы, которые почти невозможно расшифровать.
Другими словами, даже если преступники взломают государственную базу и украдут информацию, то она будет бесполезна. Не получится использовать украденное, пока не удастся расшифровать информацию.
Оксана Васильева также напомнила, что за всё время существования из Единой биометрической системы ещё не было ни одной утечки. А как-никак прошло уже пять лет.
Единственным, кто считает, что ЕБС по безопасности ничем не отличается от базы крупного банка, стал декан факультета «Цифровая экономика и массовые коммуникации» МТУСИ Сергей Гатауллин. Он заявил «Выберу.ру»:
Когда официальные представители оператора персональных данных заявляют об именно невозможности, а не низкой вероятности, взлома или утечек, это является явной ложью. Любая система, изобретённая человеком, может быть взломана
Любую систему, будь то государственную или коммерческую, можно взломать. Даже самую защищённую. Человеческий фактор никто не отменял.
Но мнение, что из ЕБС чаще крадут данные — миф. Отчасти он связан с тем, что люди считают Сбербанк, ВТБ и некоторые другие компании государственными. Соответственно, утечки из них воспринимают как из государственной системы. Но это утечки из коммерческих компаний, даже если они принадлежат полностью или частично правительству.
Итак, с экспертами мы выяснили, что вероятность утечки информации из ЕБС ненулевая. Значит, преступники могут получить доступ к нашим лицам и голосам.
Мы знаем, что утечка персональных данных банковской карты и номера телефона грозит кражей денег. Мошенники опустошат счёт, выудив код из сообщения, или оформят онлайн-кредит по той же схеме. Что могут сделать преступники, если у них в руках биометрические данные, мы спросили у специалистов.
Если с точки зрения безопасности эксперты были единогласны, то мнения относительно того, как можно использовать чужие биометрические данные, разделились. Часть специалистов перечислила, что могут сделать преступники, используя лицо и голос. Другие аналитики заявили о невозможности мошенничества с биометрией на сегодняшний день.
Итак, представим, что несмотря на всю защиту, хакерам удалось взломать ЕБС или обозлённый сотрудник продал информацию. Чем подобное грозит людям, чьи данные попали не в те руки?
Основатель юридической компании «Да!Банкрот» Илья Коптяев перечислил опасности. Данные можно использовать, чтобы получить;
Такого же мнения придерживается директор департамента безопасности МФК «Лайм-Займ» Дмитрий Бойко.
Декан факультета «Цифровая экономика и массовые коммуникации» МТУСИ Сергей Гатауллин уточнил, что, получив биометрические данные человека, мошенники генерируют фейковую личность. С её помощью можно подтверждать банковские и другие операции:
Утечка биометрии даст возможность киберпреступникам сгенерировать фейковые персональные данные, которые, в зависимости от продвинутости используемой технологии, могут быть использованы для подтверждения разного уровня банковских и иных операций
Все остальные специалисты, опрошенные «Выберу.ру», утверждают, что технологий создания фейковых личностей, с помощью которых можно подтверждать операции, пока нет. Тому есть несколько причин.
Доцент департамента правового регулирования экономической деятельности Финансового университета при правительстве РФ Оксана Васильева напомнила, что искусственный интеллект способен отличить «живого» человека. В частности, голос — от записи, а видеоизображение — от серии фотографий.
Юрист юридической службы «Единый центр защиты» Кирилл Резник объяснил, как работает схема отличия «живого» человека от цифровой копии:
Например, системы, обрабатывающие черты лица человека, снабжены специальными алгоритмами, проверяющими «живость» изображения. То есть, подсунуть им фотографию лица для доступа, например, к банковскому счёту не получится
Если же допустить, что искусственный интеллект можно обмануть, то создание фейка обойдётся сильно дороже возможной наживы. По словам начальника Управления поддержки корпоративной сети РосДорБанка Андрея Суетина, биометрические данные не состоят из фотографии и голоса, как думают многие. Это видеопоток, который крайне сложно воссоздать.
Доцент департамента правового регулирования экономической деятельности юридического факультета Финансового университета при правительстве Ярослава Ключникова тоже считает создание фейков дорогим удовольствием:
Реальная угроза утечки биометрии состоит в возможности её использования для создания дипфейков, разрабатываемых с помощью искусственного интеллекта на основе методики синтеза изображения или голоса, при которой подменяется лицо, мимика, жесты и голос в видео или аудиофайле. Но эту угрозу нельзя назвать значительной из-за высокой стоимости создания дипфеков, под такой вид мошенничества могут попасть клиенты банков только с серьезными денежными средствами на счетах
Как подчеркнул эксперт по информационной безопасности РосДорБанка Александр Аникиенко, недорогих технологий пока нет.
Но если технологии всё же придумают, то наступит апокалипсис. Ведь преступникам больше не понадобятся пароли, явки, «пины» и «пуши». Эксперт надеется, что до такого сценария дело не дойдёт.
Специалисты уверены, что сейчас нельзя воспользоваться украденной биометрией. Но это не означает, что кража биометрических данных лишена смысла.
Биометрические данные, в отличие от банковских карт, паролей, пин-кодов, невозможно изменить, подчеркнул Илья Коптяев. Значит, мошенники могут украсть биометрию сейчас, а воспользоваться через два года. Ведь человек, чьи данные попали к злоумышленникам, не сможет их поменить.
Итак, большинство специалистов, связанных с безопасностью, уверены, что пока нет доступных технологий использования украденных биометрических данных. Да, преступники могут создавать фейки на основе биометрии. Но вот применять на практике псевдоличности практически невозможно.
В то же время «умельцев» на Руси немало. Поэтому можно быть уверенными, что мошенники обязательно что-нибудь придумают. Однако из-за того, что этот способ какое-то время будет слишком дорогим, обкрадывать всех подряд не будут. Только самых состоятельных.
Если мнение большинства экспертов не убедили вас, что сейчас бояться особо нечего, вы можете отозвать данные из ЕБС и любой другой компании, в которой сдавали биометрию. Причём лучше подождать, когда информация соберётся в госсистеме. Тогда одним заявлением можно сразу убить всех зайцев. В ином случае придётся обращаться в каждую организацию.