Журнал "Системы Безопасности" № 5‘2023

П режде чем дать оценку сегодняшнего состояния биометрической отрасли, я решил поинтересоваться: а что за рубежом могут сказать о ЕБС и развитии биометрии в России? Как обычно, ничего положительного. Даже про масштабные проекты типа ЕБС и био- метрии в московском метро информации почти нет, кроме того, что система распознавания лиц позволяет отслеживать диссидентов [1]. Реализация ЕБС позволила (или позволит в будущем) решить задачу централизации хране- ния биометрических данных граждан с целью их безопасности. Возникают сомнения: а зачем изображение моего лица, которое можно скры- то сфотографировать, надежно прятать? Та же ситуация и с голосом: получить его образец, позвонив мне по телефону, достаточно просто. Влияние на биометрическую отрасль закона 572-ФЗ Законы надо исполнять, несмотря на то, что не всегда понятно как. Больше всего на ситуацию в сфере биометрии в России может повлиять ст. 15 572-ФЗ [2], [3]. В ней напрямую запреща- ется обработка, включая сбор и хранение, био- метрических персональных данных, используе- мых в целях идентификации (распознания/опо- знания), за исключением их обработки для раз- мещения в ЕБС. Запрещена и обработка, включая сбор, биомет- рических персональных данных, используемых для аутентификации (проверки подлинности), опять-таки за исключением их обработки для подтверждения соответствия векторам ЕБС и размещения в самой ЕБС. Проблемы биометрических разработок Хранить биометрические персональные дан- ные, используемые для аутентификации, можно только 10 суток. Возникает вопрос: а что теперь делать разработчикам биометрических технологий, если они хотят в инициативном порядке разработать новую систему распозна- вания, надо ли обращаться в ЕБС (или ЦБТ) с просьбой о разрешении начать такие работы? Российские фирмы всегда занимали ведущее положение в мире по разработке биометриче- ских технологий, поэтому проблема злободнев- ная. Проблемы пользователей биометрических систем Следующим проблемным пунктом [4] может являться ст. 13 того же закона: "Идентификация и (или) аутентификация с использованием био- метрических персональных данных физических лиц при проходе на территории организаций… осуществляются с использованием единой био- метрической системы". То есть все биометриче- ские СКУД необходимо переделывать под взаи- модействие с ЕБС и в дальнейшем оплачивать это взаимодействие. Можно, конечно, пройти аккредитацию в Мин- цифре и обрабатывать биометрические персо- нальные данные самостоятельно, но при этом организации должны выполнить целый ряд условий (для компаний, проводящих аутенти- фикацию): l минимальный размер собственных средств (капитала) составляет не менее чем 500 млн руб.; l финансовое обеспечение ответственности за убытки, причиненные третьим лицам вслед- ствие их доверия к результату аутентифика- ции на основе биометрических персональных данных, осуществленной организацией, в сумме не менее чем 100 млн руб.; l наличие лицензии ФСБ на криптографию; l наличие прав собственности на сертифициро- ванные СКЗИ; l не менее двух сотрудников с высшим образо- ванием в области ИТ или ИБ. Для компаний, проводящих аутентификацию и идентификацию, требования еще жестче. Мнений представителей компаний, использую- щих биометрические СКУД, по этому вопросу я в Сети не нашел. Отказ граждан от сдачи биометрии Следующим знаковым событием стал массовый отказ граждан от сдачи биометрии, которое произошло на фоне фейка о необходимости отказаться от сдачи к 1 сентября 2023 г. Центры госуслуг [5] оказались не готовы к неожиданному наплыву сотен посетителей. Люди (в основном это были пенсионеры) при- ходили еще до открытия МФЦ. Паника охвати- ла многие регионы. В МФЦ Башкортостана заявляли, что число посетителей в августе выросло в три раза. В МФЦ Дагестана в конце августа было подано 11 тыс. заявлений. При этом за все предшествующие месяцы 2023 г. МФЦ этого региона получили всего 4 тыс. заявлений. Попытки Минцифры оправдаться за этот провал выглядят крайне неубедительно. Минцифры подсчитало количество отказавшихся и объяви- ло, что их менее 1%. Правда, проценты непо- нятно от чего. Причем отказываются в основ- ном пенсионеры [6]. Нужна защита от подделок! Cоциальные аспекты внедрения биометриче- ских технологий становятся более заметными. При этом внятного обоснования надежности работы биометрической системы пока не видно. Проблемы же биометрических систем в части защиты от подделок пока что актуальны. 72-летняя москвичка [7] обратилась в полицию, когда с ее счета внезапно пропали все деньги. При этом в банке объяснили, что деньги жен- щина сняла сама. По записям с камер стало ясно, что ее 49-летняя дочь взяла паспорт мате- ри, сделала грим и оделась в ее одежду и, сняв деньги, отправилась в ЦУМ за новым айфоном и по салонам красоты. При этом необходимо отметить, что биометри- ческое распознавание всегда дает статистиче- скую ошибку и не является абсолютно надеж- ным способом определения личности. Этими реалиями, видимо, было определено недавнее сообщение первого зампреда Цент- рального банка Российской Федерации (Банка России) Ольги Скоробогатовой [8], что Банк России планирует разделить на несколько групп биометрические образцы, которые банки пере- дают в единую биометрическую систему. В зависимости от степени их соответствия тре- бованиям будет определен круг разрешенных операций – по аналогии с Госуслугами. "Слепки (правильный термин – биометрические образцы. – Прим. автора), которые могут пере- давать банки, они не все соответствуют требо- ваниям по слепкам, с которыми можно делать все виды операций. Но у нас будет несколько уровней биометрических данных, в зависимо- сти от того, насколько они соответствуют или не соответствуют требованиям", – сказала Скоро- богатова. Правда, эти группы пока находятся в стадии разработки. То есть ЕБС внедрили и теперь начали задумываться, как ее применять. Зарубежный опыт в части защиты биометрических данных У наших бывших партнеров [9] уже давно дей- ствует GDPR (General Data Protection Regulation, общий регламент о защите данных) – закон, принятый Европейским союзом с целью урегу- лирования и обеспечения прозрачности про- цесса обработки персональных данных. GDPR предусматривает, что пользователи впра- ве получать полную информацию о содержании данных и условиях обработки. Закон подробно раскрывает многие стороны процесса защиты и обработки персональных октябрь – ноябрь 2023 www.secuteck.ru БИОМЕТРИЧЕСКИЕ СИСТЕМЫ  С И С Т Е М Ы К О Н Т Р О Л Я И У П Р А В Л Е Н И Я Д О С Т У П О М 88 Василий Мамаев Редактор рубрики "Биометрические системы", заместитель директора Некоммерческого партнерства "Русское биометрическое общество" Есть ли "жизнь" после ЕБС? Единая биометрическая система (ЕБС) существует как государственная с 30 декабря 2021 г. Попробуем разобраться, как изменилась за это время биометрическая отрасль в России