Власти должны обеспечить безопасность персональных данных при работе банковских клиентов через удаленные каналы связи. Об этом на конференции РБК и рейтингового агентства НКР заявил замминистра финансов Алексей Моисеев, комментируя внедрение онлайн-технологий на финансовом рынке.
«Компрометация биометрических данных — это самое страшное, что может произойти. Если человек доверил экосистеме — неважно, частной или государственной — свои биометрические данные, и эта система не оправдала его доверия, то у человека в цифровом будущем сломана жизнь. Можно поменять пин-код на карточке, можно поменять паспорт, все что угодно, можно поменять фамилию и так далее. Но поменять биометрические данные... наверное, можно, но большинство людей, наверное, посчитает слишком большой издержкой изменить лицо или еще что-то», — отметил Моисеев.
Он указал, что относится к «консверваторам, если не ретроградам» в этом вопросе. Желание банков сделать систему проще и дешевле понятно, но нужно думать о безопасности, подчеркнул он.
«Я скорее нахожусь на стороне тех людей, в первую очередь правоохраны, которые предупреждают о серьезных рисках, связанных с тем, что если мы немножко не доинвестируем (да, это может быть дорого и кому-то недоступно, инвестировать в защиту персональных биометрических данных), то последствия могут быть катастрофическими. Мы знаем примеры целого ряда государств — не хочется никого называть, но вы сами знаете — многонаселенных государств, которые к юго-востоку от нас расположены, где были утечки десятков миллионов данных. И все, и непонятно, что делать. Вот это допустить ни в коем случае нельзя», — добавил Моисеев. Риски компрометации данных важнее, чем внедрение более удобных сервисов, подчеркнул он.
«Важно понимать, что биометрический образец лица — это не фотография, а цифровой набор зашифрованных символов. На сегодняшний день не существует даже теоретической возможности, чтобы из биометрических данных можно было восстановить фотографию, голос или отпечаток пальца», — объясняет зампред правления Почта Банка Святослав Емельянов. Это «делает практически бессмысленным воровство или подделку этих данных», так как мошенники не смогут ими воспользоваться, подчеркивает он.
Но ненулевая вероятность утечки существовала и будет существовать всегда, и от нее не застрахованы ни частные, ни государственные системы хранения биометрии, рассуждает ведущий эксперт направления «информационная безопасность» ИТ-компании КРОК Александр Черныхов. «Поэтому в дополнение к средствам защиты данных необходимо интегрировать механизмы защиты в сам процесс идентификации, сделав биометрию бесполезной без ее настоящего носителя», — говорит он. Для этого можно использовать технологии «отменяемой биометрии», когда на этапе обработки данных с помощью специального алгоритма вносятся преднамеренные искажения в биометрические данные, которые мошенники не смогут устранить. Еще один способ — «мультиспектральный анализ, который позволяет определить, живой ли человек использует, например, образец лица», добавляет Черныхов.
Клиенту, который столкнулся с утечкой своих биометрических данных, в первую очередь нужно убедиться, что это не единственный способ входа в тот или иной сервис, отмечает руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков: «Например, у банков обычно еще используется кодовое слово, которое знает только клиент».
Замена биометрических данных «не представляется возможной», добавляет эксперт. «Обычно для смягчения последствий возможных утечек в системах хранятся «отпечатки» биометрических данных, которые не содержат оригинальной информации, то есть из них нельзя извлечь изображение отпечатка пальца или образец голоса. Возможное использование данных мошенниками зависит от конкретной системы. Если удалось получить именно оригинальные данные, то спектр возможных последствий будет весьма велик, если человек повсеместно использовал эти данные в системах, где они являются единственным фактором аутентификации владельца», — предупреждает он.
В «проработке» сейчас находится вопрос об ужесточении ответственности за неправомерное использование биометрии, заявил депутат Александр Хинштейн на выездном заседании рабочей группы Госдумы по предложениям для борьбы с преступлениями в области технологий. «Сегодня биометрические данные — это, по сути, документ, удостоверяющий личность», — отметил он.
Евгения Чернышова