Удобство или риск? Рассказываем, как собираются и где хранятся ваши биометрические данные
Банки предлагают получать услуги удалённо, не предъявляя паспорт. Магазины и рестораны — платить взглядом. Но для этого надо сдать биометрические данные. Насколько это безопасно? Как сделать так, чтобы информация не попала в руки мошенников? Давайте разберёмся.
Биометрические данные — уникальные признаки человека. Одни даются ему от рождения и не меняются на протяжении всей жизни — это так называемые физиологические данные: ДНК, отпечатки пальцев, радужная оболочка глаза, рисунок вен ладони. Другие приобретаются постепенно и со временем могут меняться — например, лицо, голос, походка, почерк.
Уникальность биометрических данных делает их достаточно надёжным средством идентификации человека. Чтобы точно определить конкретную личность, нужны сразу два параметра, например, изображение лица и голос.
Для сбора биометрических данных используются специальные устройства — сканеры, сенсоры, считыватели. К примеру, сканер отпечатка пальца преобразует его в цифровой код и отправляет в специальное защищённое хранилище. Когда вы в следующий раз приложите палец к сканеру, он опять оцифрует отпечаток, сравнит его с имеющимся в хранилище кодом и сообщит, совпадают они или нет.
Биометрическая аутентификация уже применяется в смартфонах, компьютерах, автомобилях, системах контроля доступа — так их научили распознавать хозяина. Сдавать отпечатки пальцев требуется при получении загранпаспорта или визы. Рестораны и магазины узнают посетителей по изображению лица и предлагают любимые ими блюда и товары. Банки рекомендуют клиентам использовать биометрические данные для удалённого получения услуг. В московском метро можно оплатить проезд, посмотрев в камеру. Со временем с помощью биометрии будет доступно всё большее количество услуг, в том числе и государственных.
Чтобы воспользоваться этими возможностями, надо предоставить свои биометрические данные соответствующей организации — банку, ресторану, магазину. Однако делать это следует очень осторожно — ведь если в руки мошенников попадут ваши биометрические данные, их, в отличие от паспорта или номера телефона, заменить не удастся.
Важно помнить, что:
- Биометрия относится к персональным данным. А значит, их сбором и обработкой могут заниматься только специальные операторы — они внесены в реестр Роскомнадзора.
- Операторы могут собирать и обрабатывать биометрические данные только с письменного согласия владельца и с заранее определённой целью.
- Операторы не имеют права передавать биометрические данные третьим лицам.
- Обеспечить безопасное хранение биометрических данных могут только операторы — они используют специальные алгоритмы шифрования, хранения и разграничения доступа.
- Никто не может заставить гражданина сдать биометрические данные — согласно законодательству, это не обязанность, а право человека.
В 2018 г. в России появилась Единая биометрическая система (ЕБС) — государственная платформа, которая вместе с логином и паролем от Госуслуг позволяет идентифицировать личность при предоставлении государственных и коммерческих услуг. В ЕБС хранятся изображение лица человека и запись его голоса. До конца 2023 г. все организации, которые уже собрали биометрические данные, должны передать их в ЕБС, предварительно известив об этом владельцев и рассказав им, как при необходимости отозвать из этой системы свои данные или уничтожить их. Данные в ЕБС можно сдать и самостоятельно: онлайн через мобильное приложение «Госуслуги Биометрия», через мобильное приложение банка или лично в отделении.
После появления возможности совершать финансовые операции и получать госуслуги при помощи биометрии данной технологией заинтересовались и мошенники. Они пытаются раздобыть фотографии и записи голоса человека. Еще в 2021 г. появились публикации о подозрительных звонках, когда человека просили громко и чётко произнести фразы «я согласен», «я подтверждаю», «да», «нет».
Как кибермошенники могут использовать эти данные? Практически никак. Одной фотографии биометрической системе недостаточно. При распознавании биометрии система получает видеозапись, на которой пользователь смотрит в камеру и произносит случайный набор чисел, а система смотрит за мимикой и другими параметрами, помогающими выявить подделку. Например, встроенный искусственный интеллект легко распознает лицо в гриме, и ЕБС поймёт, что это не вы.
Мошенники могут применять компьютерную анимацию с использованием синтеза речи и изображения лица. Однако в этом случае одно лицо накладывается на другое, смещается набор опорных точек. И искусственный интеллект это обнаружит.
Ещё один вопрос, который волнует тех, кто задумывается о сдаче биометрии, — что будет, если кибермошенники проникнут в ЕБС или другое хранилище биометрических данных. Но надо понимать, что взломать такие решения практически невозможно: при защите подобных систем используются самые серьёзные стандарты безопасности. Кроме того, биометрические данные хранятся в зашифрованном виде, и технической возможности расшифровать их и идентифицировать по ним конкретного человека у злоумышленников нет. До настоящего времени было только одно сообщение в средствах массовой информации о возможной утечке — речь шла о данных, используемых в биометрических паспортах. Но впоследствии эти факты не подтвердились.
При этом важно понимать, что технологии постоянно совершенствуются, и нельзя недооценивать важность соблюдения мер безопасности:
- Если вы решили сдать биометрию онлайн, не используйте для этого публичные Wi-Fi сети.
- Всегда будьте осторожны при общении с неизвестными лицами по телефону. Особенно насторожитесь, если собеседник просит вас произнести определённые фразы или слова. Лучше всего сразу прекратить подобный разговор.
- Биометрия не должна быть вашим единственным способом идентификации. Для подтверждения финансовых операций (и не только) используйте дополнительные виды защиты например, двухфакторную аутентификацию.
Читайте другие полезные материалы в библиотеке знаний по кибербезопасности «Кибрарий».
Листая дальше, вы перейдёте на www.sberbank.ru