Единая биометрическая система: мифы и реальность

Как и любая новая технология, идентификация по биометрии вызывает ряд опасений. После выхода закона №479-ФЗ от 29.12.2020 о расширении сфер применения биометрии, внимание к технологии возросло. Вместе с тем увеличилось количество мифов и страхов вокруг нее. Мы, как оператор Единой биометрической системы (ЕБС), хотим развеять возможные заблуждения, касающиеся системы, и рассказать, как все обстоит на самом деле.

😱 Недавно «Ростелеком» анонсировал выход нового криптографического модуля «КриптоSDK», который позволит банкам упростить обеспечение безопасности при внедрении удаленной идентификации в бизнес-процессы. Это спровоцировало появление слухов, что ранее данные при использовании Единой биометрической системе не были защищены.

👌 Надежная защита данных на всех этапах получения услуг по биометрии была одной из ключевых задач при создании Единой биометрической системы. Изначально для того чтобы обеспечить безопасность данных граждан при получении услуг по биометрии, банки перенаправляли пользователя для идентификации в специальное защищенное мобильное приложение «Биометрия» от «Ростелекома». Приложение защищено согласно требованиям регуляторов в области информационной безопасности, использует российские средства криптографической защиты и прошло тематические исследования и специализированные проверки в аттестованной ФСБ лаборатории.

Новое решение «Ростелекома» создано для того, чтобы улучшить пользовательский опыт при получении услуг по биометрии и упростить ее внедрение в бизнес-процессы банка. При использовании «КриптоSDK» банку не нужно будет перенаправлять граждан в приложение «Биометрия», идентификация будет происходить непосредственно в приложении банка. То есть защищенность работы с биометрией была и остается на высочайшем уровне, а удобство для конечного пользователя — повышается.

😱В феврале на портале regulation.gov.ru началось общественное обсуждение проекта приказа, подготовленного Министерством цифрового развития, связи и массовых коммуникаций РФ, согласно которому «Ростелеком», оператор Единой биометрической системы, будет вести реестр организаций, подключенных к системе.

Некоторые издания посчитали, что в реестр попадут государственные и коммерческие организации, которые будут иметь доступ к биометрии граждан.

👌На самом деле, организации подключаются к Единой биометрической системе, но не получают доступ к хранящимся в ней данным. На стороне системы производится хранение, идентификация и верификация биометрических образцов, а организации, которые используют услугу удаленной идентификации, получают только результат соответствия предоставленных биометрических данных образцу, хранящемуся в Единой биометрической системе. В случае превышения порогового значения, закрепленного нормативно-правовыми актами (для удаленной идентификации при открытии счета в банке это 99,99%), организация может оказать услуги в удаленном формате.

Что касается реестра, «Ростелеком» действительно будет вести список организаций , но не получивших доступ к данным из системы, а подключенных к ней. Перечень юридических лиц, оказывающих услуги по биометрии, будет размещен в открытом доступе на сайте bio.rt.ru.

Также в марте на vc.ru вышла целая статья, «разоблачающая» различные аспекты работы с Единой биометрической системой. Благодарим коллег за то, что указали на беспокоящие граждан проблемы и «подсветили» возможные заблуждения. Ответим по пунктам на каждое из них.

😱 В разделе «Конфиденциальность приложения» указано «Нет сведений», а также, что Ростелеком не сообщил Apple об используемых им способах обработки данных.

👌 На момент последнего обновления приложения в App Store (30 октября 2020 года) заполнение данного раздела не требовалось. Указывать информацию о типах собираемых данных стало обязательным с 8 декабря 2020 года. При публикации следующего обновления такой раздел обязательно появится, а пока вы можете ознакомиться с условиями обработки персональных данных, которые хранятся в личном кабинете и используются в мобильном приложении «Биометрия» и на сайте bio.rt.ru.

😱 На сайте Единой биометрической системы отсутствует политика приватности.

👌 Условия обработки персональных данных были опубликованы с момента создания сайта Единой биометрической системы. Однако, действительно, при поиске этой информации у пользователей могли возникнуть сложности. Поэтому мы добавили соответствующий вопрос в FAQ, также пользователи как и раньше могут ознакомиться с условиями в этом документе.

😱 Идентификатор ведь и сам по себе позволяет определить субъекта данных, без наличия его ФИО или СНИЛСа. Так что на обезличивание это мало похоже, а выглядит, скорее, как введение пользователей в заблуждение

👌 В соответствии с федеральным законом № 152-ФЗ обезличивание персональных данных — это «действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных».

Принадлежность биометрических данных конкретному человеку невозможно установить без дополнительной информации, содержащейся в базе портала госуслуг. Так что с обезличиванием всё в порядке, никакого введения в заблуждение.

😱 При первом запуске приложение «Биометрия» предлагает пользователю пройти игру, в ходе которой формируется ключ шифрования. Этот ключ формируется с помощью датчика случайных чисел и обеспечивает безопасность работы приложения с биометрическими данными. Трансформирует ли этот ключ ваши биометрические данные или он только защищает от несанкционированного доступа к ним – выяснить не удалось.

👌 Ключ необходим для шифрования канала связи между смартфоном и Единой биометрической системой, данные по нему передаются в зашифрованном виде. По требованиям российских регуляторов канал связи между смартфоном и Единой биометрической системой должен быть зашифрован по классу защиты КС1, и создаваемый ключ соответствует данным требованиям. Кроме того, приложение «Биометрия» прошло тематические исследования на соответствие требованиям информационной безопасности ФСБ России.

😱 В Приказе Минкомсвязи России, который регулирует порядок обработки параметров биометрических персональных данных, приведены следующие правила хранения изображений и записей голоса субъектов:

1. Изображение лица должно быть сохранено в формате. jpeg или. png; код сжатия: JPEG (0 x 00), PNG (0 x 03).

2. Запись голоса должна быть сохранена в формате RIFF (WAV).

Эх, а мы-то надеялись на хэширование и уничтожение оригиналов…

👌 В приказе Минцифры России определены требования по сбору данных в банке или другой уполномоченной организации. Фото и запись голоса, которую делает операционист должны соответствовать указанным в приказе требованиям. Эти данные передаются в Единую биометрическую систему и уже там превращаются в математическую модель (или, как ее еще называют, «биометрический контрольный шаблон» или «биометрический слепок»). Итого: для идентификации граждан и дальнейшего оказания услуг действительно используется математическая модель.

😱 В демоверсии приложения «Биометрия» можно сдать свою биометрию лица и голоса для тестирования функционала. Основанием обработки биометрических данных должно быть письменное согласие по утвержденной форме, однако в приложении не берется письменное согласие на сбор биометрических данных.

👌 В демоверсии приложения не происходит сбор и передача биометрических данных, поэтому согласие на их обработку и не запрашивается. Деморежим существует для того, чтобы пользователи могли посмотреть, как выглядит процесс идентификации по биометрии. По факту ваш смартфон просто включает фронтальную камеру, и вы можете полюбоваться собой на экране. При этом запись видео и передача данных не осуществляется.

Кстати, мы предупреждаем об этом при входе в деморежим:

Согласие на обработку биометрических данных пользователь дает при регистрации в Единой биометрической системе в банке. Он подписывает его от руки — согласно законодательству.

😱 Согласно Условиям, Ростелеком обрабатывает только фамилию, имя, отчество, номер мобильного телефона и адрес электронной почты. Однако, как следует из формы письменного согласия на обработку биометрических персональных данных, Ростелеком также обрабатывает изображение лица и голос (биометрические персональные данные).

👌 Чтобы зарегистрироваться в Единой биометрической системе, пользователь в письменном виде дает согласие на обработку биометрических персональных данных. Это согласие пользователь дает «Ростелекому», Минцифре России и банку. А при входе в мобильное приложение гражданин дает другое согласие — на обработку персональных данных (ФИО, номера мобильного телефона и адреса электронной почты). Это согласие подписывается простой электронной подписью и дается только «Ростелекому». Указанные данные хранятся не в Единой биометрической системе, а в личном кабинете пользователя. Согласие на обработку персональных данных мы запрашиваем для того, чтобы зарегистрировать для вас личный кабинет и отправлять уведомления об операциях с биометрией. А согласие на обработку биометрических данных — чтобы граждане могли получать услуги по биометрии.

😱 Срок действия письменного согласия был установлен в прежней редакции формы согласия — 50 лет. В нынешней редакции срок изменен — до отзыва согласия. А в Условиях срок обработки данных установлен до достижения цели обработки и в течение 3 лет после достижения цели, если иное не установлено законодательством РФ.

👌 Как и в предыдущем пункте, речь здесь идет не об одном согласии, а о двух разных, каждое из которых имеет свой срок действия.

Согласие на обработку биометрических данных действует до его отзыва, а на обработку персональных данных ‒ в течение трех лет. Это два разных документа, которые регламентируют работу с данными для различных целей.

😱 В тексте формы согласия указано, что субъект проинформирован о возможности отзыва согласия, а также отзыва согласия у каждого из операторов. Но, к сожалению, Условия информируют о возможности отзыва согласия только у Ростелекома. <...> Хотелось бы иметь настолько же оперативный и достоверный способ отзыва, как и сбор самих биометрических данных.

👌 Согласие на обработку биометрических данных дается трем операторам: Минцифре России, «Ростелекому» и банку, в котором вы сдавали биометрию. Чтобы отозвать согласие на обработку биометрических данных у всех участников, согласно закону, можно лично обратиться в указанные организации, направив по почте письменное или электронное заявление, подписанное простой или квалифицированной электронной подписью каждому из операторов.

К счастью, чтобы деактивировать биометрию, проходить такой сложный путь не обязательно. Достаточно просто зайти на портал Госуслуг и нажать соответствующую кнопку в личном кабинете. После этого ваши данные в Единой биометрической системе будут деактивированы, и биометрию невозможно будет использовать. В случае, если вы снова захотите получать услуги по биометрии, вам придется сходить в банк и заново сдать данные.

😱 Пользователь обязуется возместить Ростелекому убытки, причиненные в случае нарушения положений п. 4 Условий, в котором сказано, что персональные данные обрабатываются в целях предоставления соответствующих сервисов. Это очень странно. Видимо хотели сослаться на п.3 Условий о достоверности предоставляемых данных.

👌 Да, действительно, ссылка должна была стоять на п. 3, спасибо, что заметили — мы всё исправили!

Что касается самого вопроса: пользователь действительно несет ответственность перед «Ростелекомом», если в случае внесения им недостоверных персональных данных компания понесет убытки. Это стандартная юридическая практика. Однако не стоит забывать, что с согласия пользователя мы получаем персональные данные из базы портала Госуслуг, где они проверяются государственными учреждениям. Так что ситуация, в которой гражданин сделает опечатку и из-за этого будет вынужден платить штраф, невозможна.

😱 ЕБС собирает из системы Госуслуги ваши ФИО, список ваших организаций, ваши адреса и контакты.

👌 «Ростелеком» действительно получает данные из базы Госуслуг, но и только с согласия пользователя! Эти сведения нужны только для того, чтобы создать личный кабинет в приложении «Биометрия» – они хранятся именно в нем. Эти данные используются для обеспечения безопасности пользователя: каждый раз после использования биометрии по указанным контактам приходит оповещение о проведенной операции. Так пользователь может быть уверен, что никто не воспользуется биометрией без его ведома.

Отметим также, что список организаций, с которыми связана учетная запись пользователя на Госуслугах, не является персональными данными. Эта информация нужна только для представителей компаний, которые работают с Единой биометрической системой через личный кабинет организации, чтобы подписывать оферты от лица компании. У большинства граждан такой связки нет.

😱 МВД и ФСБ на основании мотивированного запроса в течение дня могут получить контакты оператора из ЕБС, и в этом ответе ваш биометрический шаблон объединят с идентификатором ЕСИА.

👌 Согласно законодательству РФ, абсолютно все организации обязаны предоставлять МВД и ФСБ данные, необходимые для оперативно-розыскной деятельности. Это касается не только Единой биометрической системы. Хотим еще раз подчеркнуть, мотивированный запрос на получение данных используется только в случае оперативно-розыскной деятельности. Просто так ваши данные никто не передает.

😱 Согласно форме согласия на обработку биометрических персональных данных, операторов — трое, и объем обрабатываемых ими в разных системах данных отличается <...> Хотелось бы в таком случае увидеть единую политику ЕБС, составленную на всех со-операторов.

👌 Согласие, которое вы подписываете при сдаче биометрических данных в Единую биометрическую системы — и есть единая политика. С ней вы можете ознакомиться в документе.

Мы знаем, что биометрия — это едва ли не самый чувствительный тип данных, ведь украденный пароль можно изменить, а лицо и голос с нами навсегда. Поэтому одной из ключевых задач при создании Единой биометрической системы было обеспечение безопасности данных пользователей.

Расскажем подробнее о том, как в Единой биометрической системе защищаются данные пользователей.

Единая биометрическая система обрабатывает два типа биометрии: голос и лицо, причем не по отдельности, а вместе. По этим модальностям в совокупности можно точно и безопасно идентифицировать человека. Мы выбрали именно эти модальности, потому что для идентификации по ним не требуется специальное оборудование — достаточно камеры и микрофона, которыми оснащены большинство ноутбуков и смартфонов.

Система распознает человека с вероятностью выше 99,99%, такая точность определена приказом Минцифры России от 21 июня 2018 г. №307.

«Ростелеком» — лидер в сфере кибербезопасности РФ, наши специалисты обеспечивают защиту наиболее чувствительных инфраструктурных объектов в стране. И, конечно, лучшие технологии организации защиты применены в отношении Единой биометрической системы. Специалисты нашего SOC (Security Operation Center) контролируют защищенность системы в круглосуточном режиме и моментально реагируют на любые попытки злоумышленников вмешаться в ее работу.

После того, как вы сдаете биометрию в банке, фотография и запись голоса отправляются в Единую биометрическую систему и превращаются в математическую модель. Она хранится в обезличенной форме отдельно от персональных данных. В то время как ваши ФИО, СНИЛС, паспортные и другие данные хранятся в базе портала Госуслуг — Единой системе идентификации и аутентификации. Так что если условный злоумышленник сфотографирует вас на улице и тайком запишет ваш голос, доступ к персональным данным он получить не сможет.

В Единой биометрической системе используется система Liveness detection — технология, которая отличает человека от его имитации в цифровом канале. Система может отличить живого человека от его фотографии , записанного видео или других способов имитации. Таким образом, даже если кто-то запишет человека на видео и попробует взять кредит на его имя по биометрии, это не сработает.

Мы используем не один, а несколько типов Liveness detection — как пассивный (по одному изображению лица), так и активный мультимодальный (по действиям пользователя в динамике), чтобы обеспечить безопасность при работе с биометрией.

Мы знаем, что любые, даже самые продвинутые биометрические алгоритмы на основе нейросетей, имеют свои недостатки. Именно поэтому Единая биометрическая система работает не с каким-то одним алгоритмом, а с множеством, реализуя мультивендорный подход. Взлом даже одного алгоритма — сложный и дорогостоящий процесс, преступнику придется изучить десятки алгоритмов, которые постоянно меняются. А это задача не из простых. Злоумышленнику намного проще и дешевле подделать паспорт и прийти с ним в отделение банка, чем взламывать сложные алгоритмы.

Решения, которые используются в Единой биометрической системе прошли проверку в аттестованных ФСБ лабораториях и получили сертификаты ФСТЭК. Единая биометрическая система соответствует всем требованиям информационной безопасности системы федерального уровня.