Сбербанк России анонсировал внедрение биометрических технологий еще в мае 2016 года. Тогда Герман Греф объявил о постепенном отказе от пластиковых карт в пользу биометрии. Президент Сбербанка отметил, что решения на основе распознавания голоса и внешности доводят точность идентификации до 99,9%. Сбербанк России обеспечил сбор биометрических данных клиентов в 3 тысячах своих отделений. Инициатор разработки Единой биометрической системы (ЕБС) Герман Греф пытается установить тотальный контроль пока что только над миллионами клиентов Сбербанка. На очереди – все население страны. В чем заключается опасность этой инициативы?
Единая биометрическая система (ЕБС) начала работать спустя два года после заявлений госбанкира: с 1 июля 2018 года российские банки официально передают фотоизображения и голосовые профили граждан в централизованную базу. Разработку платформы удаленной биометрической идентификации вели Центробанк РФ и участники ассоциации «Финтех». Технологическую реализацию проекта взял на себя Ростелеком, в том числе и интеграцию с Единой системой идентификации и аутентификации (ЕСИА).
По утверждению разработчиков, ЕБС имеет точность распознавания 10-7, то есть на 10 млн использований возможна только одна ошибка в авторизации. С помощью лица и голоса можно распознавать даже близнецов, чего, например, не сможет сделать операционист банка. Изменение прически, отращивание бороды, ношение очков не влияют на распознавание человека системой. Тем не менее биометрические данные необходимо обновлять каждые три года.
В октябре 2018 года ЦБ РФ сделал еще один шаг к внедрению биометрии в банковском секторе, представив точки сбора по всей России. Отделения банков в 81 субъекте РФ принимают биометрические данные граждан. После их сдачи любой житель страны может пользоваться услугами банков и государственных учреждений без личного присутствия. При этом, правда, потребность населения в удаленном получении банковских услуг перед запуском системы в России никто не измерял, равно как и готовность и желание россиян сдавать свои биометрические данные.
Security Operation Center (SOC) постоянно мониторит защищенность системы. Биометрические шаблоны хранятся в обезличенной форме в защищенных хранилищах Ростелекома, отдельно от персональных данных, которые находятся в базах федеральных органов власти. Шифрование и хранение биометрических данных соответствует требованиям ФСБ и ФСТЭК.
На словах все выглядит красиво и надежно. А как на самом деле?
Хакеры не дремлют
Сейчас биометрическая информация довольно бесполезна для мошенников, но что произойдет, когда с ее использованием можно будет, например, взять кредит, получить историю болезни, переписать завещание? Уже существуют технологии, позволяющие обманывать системы распознавания лиц.
Еще в 2011 году появилось приложение, позволяющее сделать виртуальный слепок с фотографии и наложить его на видео. Четыре года спустя появилась новая технология на грани фантастики — разработчики Facebook Oculus Rift и специалисты из университета Южной Калифорнии придумали, как записать мимику человека и наделить ею персонаж в виртуальной реальности.
В августе 2018 года ЦБ представил перечень угроз конфиденциальности информации ЕБС. К потенциальным угрозам ЦБ отнес нарушения: доступности (блокирование передачи), целостности (подмена, удаление) и конфиденциальности биометрических данных клиентов.
После задержания пограничника, продавшего информацию о зарубежных визитах Петрова и Боширова, ФСБ начала работу по ужесточению доступа к подобным данным. По мнению экспертов, полностью искоренить незаконную торговлю информацией вряд ли удастся, однако эти услуги определенно подорожают.
Продажа «цифровых личностей» — давно процветающий хакерский бизнес. Люди, пострадавшие от похищения личности, сообщают, что на разрешение дела уходит от трех до пяти лет. Накануне запуска ЕБС в прошлом году Росфинмониторинг предлагал ввести уголовную ответственность за дискредитацию цифровых личностей россиян, но предложение повисло в воздухе.
Есть и чисто российская проблема. Летом 2018 года ЦБ опроверг сообщения о том, что биометрические данные россиян из ЕБС будут доступны коллекторам. Но что мешает это сделать самим банкам, тому же Сбербанку в частности?
Рождение «Большого брата»
Биометрия дает государству огромные возможности контроля над обществом, поскольку биометрические данные неотделимы от человека. Герман Греф, возможно, сам того не ведая, открыл ящик Пандоры.
К примеру, с помощью биометрии китайские власти следят за гражданами и туристами. В регионе Синьцзян, где проживают уйгуры, биометрия используется для построения полицейского режима, при котором жители лишены права свободного перемещения.
Несмотря на опровержение слухов Центробанком и борьбу с угрозами, запуск ЕБС означает появление единой и пополняемой базы биометрических данных граждан РФ. Согласно закону, который Госдума приняла в декабре 2017 года, оператор ЕБС будет предоставлять данные МВД и ФСБ в соответствии с процедурой, установленной правительством РФ. Человек, конечно, может отозвать свое согласие на использование его биометрических данных, однако даже в этом случае система сможет их обрабатывать «при наличии оснований, предусмотренных законом».
Уже есть планы привязать сбор биометрических данных к получению паспорта. Такой вариант прорабатывается с Минэкономразвития и МВД. По результатам пилота, который стартует летом, будут уточнены требования к оборудованию по снятию биоданных, подсчитано, во сколько обойдется закупка оборудования для МФЦ, МВД.
Инициатива Грефа провалилась?
Успокаивает одно — граждане России сдавать биометрические данные явно не торопятся. В августе 2018 года Центробанк сообщил, что сбор данных идёт медленнее, чем планировалось изначально. За месяц после запуска ЕБС финансовые учреждения собрали информацию всего лишь о 1200 россиянах. Судя по всему, темпы сдачи биометрии с тех пор вряд ли возросли. Построить на основании этого ничтожного количества сведений единую систему контроля точно пока не получится.
Но даже при таком малом объеме регистрируемых клиентов к качеству формируемого биометрического шаблона возникают замечания. Сотрудники стартапа VisionLabs провели анализ тестовой выборки из переданных в ЕБС фотоизображений лиц. Результаты показали, что около 30% фотоизображений не проходят проверку на качество образцов. А эти данные уже занесены в Единую биометрическую систему, и в дальнейшем будут влиять на точность идентификации.
По информации Ростелекома и Банка России, по состоянию на 31 декабря 2018 года далеко не все банки обеспечили сбор биометрических данных клиентов в 20% отделений. В частности, данные, размещенные на сайте ЦБ, свидетельствуют, что лишь четыре кредитные организации (Сбербанк, Газпромбанк, Совкомбанк и Росбанк) из топ-20 по активам выполнили требование. Остальные либо собирают биометрию в меньшем количестве отделений, либо не приступили к этому.
Что касается стоимости идентификации, то через два года запросы к ЕБС будут осуществляться на платной основе. Поэтому во многих финансовых организациях уже используют различные отечественные решения биометрической идентификации, установленные на собственных серверах.
Инициатива Германа Грефа провалилась? Не совсем. В Сбербанке подумывают сделать сбор биометрии обязательным для всех своих клиентов.
Кстати, по данным СМИ, в странах, где биометрическая идентификация изначально была добровольной (в частности, в Индии), она постепенно стала жизненно необходимой для получения государственных услуг и мер социальной поддержки, оплаты налогов, открытия счета в банке и т.д.
Инициировав сбор банками биометрических данных россиян, Герман Греф открыл ящик Пандоры