Биоэквайринг грозит превратиться в товар с лицом
Мельникова выпускающий редактор ComNews.ru
Биометрические данные половины жителей России к осени 2023 года могут оказаться в государственной единой биометрической системе (ЕБС). ЦБ РФ собирает в ЕБС данные россиян, сдавших биометрию банкам, под предлогом запуска биоэквайринга - оплаты со счета, который привязан к биометрическим данным человека. Уже очевидно, что через несколько лет ни один житель страны не останется без тотального надзора государева ока.
Банк России планирует до конца 2023 года запустить биоэквайринг. Это вид бесконтактной оплаты при помощи отпечатка пальца или сканирования лица. Центробанк обещает до 1 октября 2023 года завершить импорт коммерческих биометрических систем в Единую биометрическую систему (ЕБС). Технология будет работать на основе этой платформы, которую создали Банк России и ПАО "Ростелеком".
По планам разработчиков, биоэквайринг позволит полностью исключить мошеннические действия: заплатить за покупки картой другого человека станет невозможно, уверяют они (если, конечно, он не дал мошеннику с собой свой палец). Первый способ ограбить жертву разработчики системы уже подсказали грабителю - к моменту запуска биоэквайринга в России окажется много ветеранов недавних военных действий, среди которых будет немало людей с посттравматическим стрессовым расстройством и бывших заключенных, искупивших грехи кровью. Такие люди без зазрения совести могут отрубать пальцы прохожим для наживы. Да и без них среди множества бандитов наверняка найдутся желающие перейти на новый уровень грабежа - анатомическо-цифровой.
Хотя на первое время Центробанк обещает установить лимит на покупки, сделанные при помощи биометрии, и с чужим пальцем мошенник сможет себе позволить немногое. Но возникает вопрос - зачем нужен лимит на покупки, если технология полностью безопасна. Ответ очевиден: на случай, если все-таки - нет.
Для сбора "биоматериала" в банках будет формироваться биометрический образец клиента, который направляется в ЕБС. Фотография пользователя, как уверяют сборщики, моментально уничтожается после того, как из нее сделан вектор - набор аудио- и фотоизображений, преобразованных в цифровые шаблоны при помощи сложных алгоритмов. Таким образом, внутри самой системы хранятся только математические модели, которые также дополняются отпечатками пальцев и другими данными. "В том случае, если все рекомендации Центробанка будут выполняться неукоснительно, подмена каких-либо данных станет просто невозможна", - отметил член комитета Госдумы по информационной политике, информационным технологиям и связи Антон Немкин. Ключевое слово "если". Неукоснительное нарушение правил - бич России, и мелкий клерк может продать фотографии перед тем, как их уничтожить.
"Зачастую люди просто боятся сдавать биометрию по каким-то соображениям. В целом успех внедрения такого вида оплаты будет зависеть от снятия психологических барьеров со стороны людей и простоты подключения такого эквайринга компаниями", - заявил Максим Лагутин, основатель компании "Б-152", специализирующейся на защите персональных данных. "Россияне должны понимать, что этот процесс идет под четким контролем государства", - утверждает Антон Немкин. Но именно то, что процесс идет под контролем государства, многих и отпугивает. Вряд ли истории со штрафами за нарушение режима изоляции в пандемию (в том числе и ошибочными) и поимкой людей в аэропортах и даже у мусорных баков возле дома будут способствовать снятию психологических барьеров взаимодействия человека с государством в сфере биометрии.
Персональные данные, как показала практика, чаще всего утекают из государственных и окологосударственных структур. Особенно, когда они собираются в единую систему - такую и взломать эффективнее, чем сотню разрозненных, и приставленные к ней чиновники рады-радешеньки "за долю малую" поделиться данными из вверенной им системы с любым интересантом. Чем крупнее система и чем больше в ней хранится ценных данных, тем более она подвержена взлому - так что рано или поздно это хранилище станет лакомым куском для мошенников. И если "белые" хакеры придумали, как систему защитить, "черные" найдут способ ее взломать.
Любой взлом ЕБС, как и утечка данных из нее, будет иметь непоправимые последствия. Когда у человека крадут паспортные данные или реквизиты банковской карты, и паспорт, и карту можно заменить. В случае с компрометацией биометрических данных человек едва ли сможет обновить лицо, если только у него нет свободной круглой суммы и склонности к множественным пластическим операциям.
Для совершения любых значимых действий и госструктуры, и частные компании требуют личного присутствия гражданина, его паспорт и подпись. Однако в случае с передачей биометрических данных из банков в ЕБС это происходит по принципу "кто не спрятался, я не виноват": если человек не запретит передачу его биометрии, эти данные будут отданы с его молчаливого согласия.
Недавно Сбербанк начал уведомлять клиентов о переносе их биометрических данных в ГИС ЕБС. Сообщения приходят в виде пуш-уведомлений и SMS. С согласия клиента через месяц данные перенесутся в ГИС ЕБС "по защищенному каналу в автоматическом режиме", рассказал представитель пресс-службы Сбербанка. Если человек не одобрит передачу биометрических данных в ГИС ЕБС, их удалят из системы "Сбера".
По-хорошему, столь чувствительные данные можно передавать только с письменного согласия человека. "Сбер" с клиентами уже подписывал договоры и выставлял публичные оферты. Вероятно, SMS и пуш-уведомления опираются на эти документы, поэтому не требуют дополнительной подписи от клиента. Но немалая часть уведомительных SMS гражданам от банка о переносе биометрии может "затеряться" - по злому умыслу или потому, что короткие сообщения не относятся к видам документальной электросвязи, поэтому факт отправки SMS не гарантирует его доставку.
Кроме того, если не отправить половину SMS - можно поделить с оператором деньги за такие сообщения. В Центре биометрических технологий подсчитали, что из 75 млн накопленных коммерческими системами биометрических данных (изображения лица) приблизительно 30 млн хранятся в Сбербанке. Если не отправить сообщения 15 млн их владельцев (а SMS при массовой рассылке стоит около двух рублей), то "прибыль" заинтересованных сторон составит 30 млн рублей.
Численность населения России на 1 января 2022 года составила 145,478 млн человек. Это следует из предварительной оценки численности постоянного населения, опубликованной Росстатом 28 января 2022 года. Получается, что 50% жителей РФ уже сдали биометрию. Интересно, сколько процентов из них готовы отдать данные в ЕБС и сколько реально "отдадут" (даже не узнав об этом), а сколько процентов россиян в следующем году по факту совершат покупки, используя биоэквайринг.
Когда банки предлагали сдать биометрию клиентам - добровольцев было мало. В июне 2019 года в СМИ появилась информация, что два российских банка стали требовать от клиентов обязательного предоставления биометрических данных. Иначе клиент получал ограниченный набор услуг или банк вовсе отказывал ему в обслуживании. Кредитные организации объясняли действия требованиями законодательства по противодействию отмыванию денег.
В Роскомнадзоре тогда пояснили: есть две ситуации, при которых банки собирают биометрические данные граждан. В первом случае они нужны, чтобы идентифицировать клиента при оказании банковских услуг с использованием ЕБС. Во втором случае речь идет об услугах, которые прописываются в публичной оферте. Клиент должен согласиться с условиями их оказания, в том числе в части предоставления биометрии. Как отметили в ведомстве, это не противоречит закону о персональных данных и не нарушает права граждан. "Если гражданин полагает, что условия предоставления банковской услуги, предусматривающей процедуру подачи биометрии, нарушают его права как стороны договора, то он вправе обратиться в суд для рассмотрения данного вопроса с точки зрения гражданского законодательства", - посоветовал Роскомнадзор. С 2021 года Центробанк России усилил давление на банки, настаивая на более активном сборе биометрических данных граждан. Банки, чтобы выполнить требования регулятора, стали предлагать клиентам сдать биометрию под любым предлогом. Эти слаженные действия ЦБ и банков объясняют, почему биометрию сдала уже половина россиян.
Первой попыткой биоэквайринга в России в 2016 году стала разработка "Азбуки Вкуса" и "Сбера". В 2019 году проект был перезапущен, а потом приостановлен. Опыт работы с технологией "оплаты лицом" есть у "Магнита" - эта торговая сеть запускала подобную систему в тестовом виде в нескольких магазинах Казани и Краснодара. Тем не менее новой способ не был масштабирован в других городах и не пользовался большим спросом у покупателей.
Осенью 2022 года в силу вступили поправки в законодательство о персональных данных. В них биометрии уделяется особое внимание - например, главным правовым основанием для обработки биометрических персональных данных остается письменное согласие человека. Их предоставление не может быть обязательным, в том случае, если это не предусмотрено законом, а оператор не имеет права отказать человеку в обслуживании, если тот не согласился предоставить такие данные.
Возможно, государство, чтобы принудить оставшуюся непокорную половину россиян сдать биометрию, изменит нормативно-правовую базу. В новой серии законодательных актов, возможно, даже пропишут сдачу биометрии как обязательство каждого россиянина.
Кроме того, отпечатки пальцев можно взять из системы сбора биометрии для загранпаспортов. По данным ВЦИОМ, загранпаспорт есть у 29% россиян. Не у всех он биометрический, но судя по разным данным, таких паспортов должно быть больше половины.
Несомненно, биоэквайринг удобен, особенно в свете санкций и невозможности оплачивать покупки с телефона удобными способами типа Apple Pay (хотя альтернативы уже есть). Однако технологии во всем мире движутся к контролю за человеком. В России, например, во время пандемии распространились системы контроля за удаленной работой человека, подсчитывающие, сколько он проводит времени за монитором. Сотрудникам, правда, достаточно было регулярно шевелить мышкой. Но на прошлой неделе Sitronics Group выпустила сообщение, что работает над развитием платформы видеоаналитики с использованием различных методов компьютерного зрения, в том числе алгоритмов построения скелетной модели. Технология компьютерного зрения позволяет осуществлять в режиме реального времени мониторинг персонала, контролировать отсутствие на рабочем месте и прочее.
Вероятно, еще с 2018 года Центробанк, потребовав от банков собирать биометрию граждан, уже готовился через пару лет аккумулировать изображения россиян в единой системе. Как ЦБ и другие регуляторы планируют использовать и куда передавать эти данные дальше - вопрос, на который может быть много ответов.
Упорство государства в попытке отнять у людей биометрические данные и рассказать, как это безопасно, вызывают как минимум удивление. Регуляторы настаивают на удобстве таких систем оплаты для граждан и тем самым подталкивают сдавать биометрию. Это, действительно, может сработать (судя по статистике), и через несколько лет мы будем наблюдать сканеры лица повсеместно (как ранее - фонтанчики с водой) - в банках, магазинах, метро, на улицах. Но как бы удобство не перешло в глобальное обязательство и тотальный контроль за личностью уже через несколько лет.