Привет.
Вокруг биометрии существует множество легенд и выдумок, которые воспитывают в людях страхи. Самая страшная легенда о том, что мошенники могут взять в банке кредит от вашего имени, для этого им достаточно записать ваш голос и то, как вы говорите “да”. Мой знакомый взахлеб рассказывал, как он научился обходить ловушки мошенников, что пытаются записать его голос. На мой вопрос о том, а где существует банк, который выдает деньги по голосу, он затруднился ответить и просто развел руками. Сегодняшние биометрические системы являются дополнительными в большинстве критических систем, в том же банке вам потребуется паспорт или пароль, просто распознав ваше лицо или отпечаток пальца, вам не выдадут средства или не оформят что-то значительное. В простых системах повседневного спроса двухфакторная авторизация не требуется, например, так работает распознавание лиц на турникетах в метро. Даже потенциальный сбой не сможет нанести значимый ущерб, при этом система имеет минимальный уровень ошибок, на практике сбоев пока еще не было.
Биометрия долгое время являлась серой зоной, государство не регулировало сбор и использование таких данных. Многие люди в силу разных причин нагнетали истерию в обществе, рассказывали о том, что потеря биометрии — это навсегда и после этого жизнь окончена. Потеряли один раз данные, и отныне проблем будет воз и маленькая тележка.
Меня эти рассуждения всегда ставили в тупик в практической плоскости. Кто-то украл фотографию вашего лица, да просто загрузил из социальной сети или сделал снимок, когда вы выходите из подъезда. Зная алгоритм того же Face Pay, сделал цифровой отпечаток, и что дальше? Как этот человек пройдет через турникет? Взломает турникет, подключится по кабелю и зальет данные вашего лица? И все будут спокойно на это смотреть, никто из работников метрополитена не предпримет попыток узнать, что происходит. Фантастическая ситуация. Впрочем, как и вариант, что будет изготовлена биополимерная маска, как в голливудских боевиках, и кто-то начнет щеголять с вашим лицом. Этот страх не нов, помните фильмы про Фантомаса, что появились более полувека назад? Там тоже крали чужие лица. Но практического применения в реальном мире для такой информации нет.
Биометрия — это дополнительный и очень удобный способ авторизации, когда в дополнение к паспорту и паролю вы можете использовать еще и то, что для вас остается неизменным, — ваше лицо или голос. За скобками оставлю ситуации, когда эти данные меняются — операции на связках, пластические операции, они нам в контексте использования биометрии не очень интересны. Проблем с изменением данных нет, равно как и с добавлением новых.
Уверен, что большинство людей, боящихся кражи биометрии, прекрасно используют ее на своих смартфонах, добавляют отпечатки пальцев, распознают свои лица. Вопрос того, что они отдают свои данные неизвестно кому, как правило, не встает. Более того, единицы читают лицензионные соглашения, в которых прописывается использование таких данных и почти никогда не указывается, где и как они хранятся, что компания может с ними делать. Но в понимании людей это другое. Самое забавное тут то, что никто вам не дает понятного и прозрачного способа отозвать эти данные, уничтожить их в коллекции тех же Apple, Google или Microsoft. Так как компании стараются запутать следы, они не дают никакого реального способа это сделать, более того, зачастую они делают вид, что не имеют доступа к этим данным, что является ложью.
Россия — одна из первых стран, в которых широко используется биометрия в повседневных сервисах, мы ориентируемся на то, что распознавание лиц или голоса станет удобным для повседневного использования. В первую очередь это всевозможные государственные услуги, например, МФЦ или «Госуслуги». С подачи депутата Антона Горелкина был принят закон о государственной информационной системе, работающей с персональными биометрическими данными. В Госдуме он принят в трех чтениях, нет сомнений, что дальше его одобрит Совет Федерации и подпишет президент. Давайте рассмотрим основные положения, которые дадут нам понимание, с чем мы можем столкнуться на практике.
В законе четко прописывается два типа биометрии — изображение лица и образец голоса, сбор другой информации в рамках системы не предусмотрен. Принудительно заставить человека сдавать биометрию нельзя, предоставление услуг без биометрических данных не просто возможно, а обязательно. Так что никакой принудиловки быть не может, вы сами вправе выбирать, что именно вам интересно. В этом аспекте хорошим примером является Москва, где биометрические данные давно и успешно собирают в столичных сервисах, использование такого типа авторизации позволяет ускорить обслуживание человека. Завлекают именно удобством, а не чем-то иным. Биометрия — дело добровольное во всех смыслах.
ГИС, собирающий биометрию, един для всей страны, но в системе могут быть региональные сегменты. Сделано это из-за того, что сегодня в России есть отдельные регионы, где биометрия широко используется, и отказываться от сервисов здесь и сейчас нецелесообразно, дается переходный период до 1 января 2027 года, до этого срока региональные сегменты могут хранить всю биометрию (включая исходные фотографии и записи голоса). Но с 2027 года региональные сегменты могут использовать только векторы — математические модели биометрических данных, а вот сами исходные файлы будут только в общей системе. Это еще один дополнительный уровень защиты, вектор — это некий алгоритм, который впоследствии может меняться.
Например, в ГИС добавят новые параметры для распознавания лиц, будут рассчитывать их по иной формуле. Для этого нужно будет обработать снимки, которые есть в базе, и получить на их основе те самые векторы. Чтобы не допустить утечки, региональные сегменты не будут получать алгоритм расчета векторов, а будут пользоваться только готовыми слепками. И этот подход показывает, что биометрия может усложняться с течением времени, она не остается единой и неизменной. Наличия фотографии недостаточно для того, чтобы рассчитать вектор, нужно знать как сам алгоритм, так и его изменение. То, что данные будут защищаться на уровне одной большой системы, несомненный плюс. Напомню, что никаких массовых утечек данных из систем федерального уровня в России еще не случалось.
Отдельно в законе указывается, что запрещен сбор информации о геноме человека, для несовершеннолетних требуется разрешение родителей, передавать эти данные за рубеж нельзя.
Важно! В любой момент гражданин России может отозвать разрешение на использование своих биометрических данных и также запросить их уничтожение в единой системе. Предполагается, что каждый из нас сможет посмотреть на свои данные в разделе на «Госуслугах».
Сдать данные можно будет в МФЦ — ровно такие же будки, как при сдаче биометрии на заграничный паспорт. Плюс такая возможность остается в банках, которые первыми начали активно собирать подобную информацию у своих пользователей.
До момента принятия закона в России биометрические данные мог собирать кто угодно, формально никаких ограничений не было. Теперь государство наделяет такой возможностью сегменты единой биометрической системы, также это могут быть те же банки, но с оговоркой — хранить сырую информацию они не смогут. Более того, банки будут вынуждены пользоваться единой системой для авторизации своих клиентов. То есть фактически проверка человека будет идти на основании данных из единой системы, а не собственных наработок. Каждое обращение к системе будет стоить для банка каких-то денег, вопрос в сумме — думаю, что логично сделать его на уровне стоимости одного SMS-сообщения, затраты сравнимы.
Безусловно, отсутствие конкуренции поставит развитие биометрии в коммерческих организациях под вопрос, пожалуй, это основное нарекание в адрес закона. С другой стороны, биометрия развивается с 2017 года в российских банках, и нигде она не вышла на значимый уровень, без участия государства и единой системы говорить о больших успехах в этой области не приходится. Поэтому стенания на тему того, что биометрию так убивают, не выдерживают критики — если были бы сильные игроки, такой закон учитывал бы их положение на рынке, но их сегодня де-факто нет.
Для контроля над использованием ЕБС будет создан Координационный совет по развитию цифровых технологий идентификации и аутентификации на основе биометрии. В него пригласят независимых людей — экспертов, представителей общественности и так далее. Звучит неплохо, так как дает некий внешний контроль и столь необходимую прозрачность в использовании такой системы.
Закон четко регламентирует наполнение ЕБС. Сдав биометрию, пользователь автоматически попадет в общую базу, государство сможет использовать данные человека для его идентификации. Потенциально мы сможем получить очень защищенные системы, в которых использование биометрии позволит избежать мошенничеств, уберет эту проблему с повестки. Например, операторские системы антифрода смогут анализировать голоса звонящих, определять тех, кого другие пользователи отметили как мошенников, а заодно автоматически блокировать роботов (синтезированный голос) плюс тех, кто меняет свой голос в софте. Могут появиться системы, которые проводят дополнительную проверку человека, сверяют его с паспортом и дают однозначный ответ, кто перед вами — владелец паспорта или кто-то притворяющийся им. Прозрачность рынка станет заметной, а проблем поубавится.
Пока все возражения против единой системы биометрических данных лежат в плоскости того, что это непривычно и потенциально опасно. Чем опасно, говорящие предпочитают не уточнять, упирая на то, что у вас украдут цифровую личность и это навсегда. К счастью, это бесполезные данные сами по себе, а украсть ваше изображение не составит труда, оно уже есть у сотен людей, даже если вы не выкладываете свои фотографии в социальных сетях. Одним словом, опасения есть, но объяснить их природу почти никто не может. Страшно, и все тут.
В автократиях такие данные могут служить для тотальной слежки за населением, но там сбор биометрии носит обязательный, принудительный характер, чего нет в России. Так что и это возражение рассыпается как карточный домик. Главное тут то, что биометрия удобна и в России она будет использоваться очень широко за счет государства, именно государство берет на себя роль локомотива, который развивает это направление. И то, что вместо десятков местечковых систем у нас будет единая система, неплохо. Государство обеспечит ее защиту и безопасность, одинаковые правила игры для всех коммерческих структур. И это большой задел на будущее, который я оцениваю положительно, инициатива нужная и своевременная.
😤