– Владислав, какие технологии биометрии сейчас наиболее распространены, у каких заказчиков прежде всего? Происходит ли импортозмещение в этой области, какие зарубежные решения заменяются отечественными, насколько успешно?
– В России за последние годы активно используется биометрическая идентификация по изображению лица и голосу. В первую очередь, это связано с ростом применения бесконтактных технологий в период пандемии, а также удобством и доступностью для большинства пользователей. При этом алгоритмы распознавания по лицу и голосу имеют одни из самых высоких показателей скорости и точности идентификации личности.
Существуют технологии распознавания личности только по лицу и одновременно по лицу и голосу. Только по лицу можно пройти в офис, купить кофе в автомате или билет на проезд в общественном транспорте, подтвердить действие в банкомате. Услуга, оказываемая с применением двух параметров – по лицу и голосу, считается юридически значимой (*согласно закону 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»). Это может быть оформление кредита или вклада в банке, подписание договора связи и получение eSIM, оформление квалифицированной электронной подписи.
Что касается импортозамещения, российский рынок биометрических технологий не испытывает дефицита решений. Качественные биометрические решения российских разработчиков универсальны и подходят на большинство программно-аппаратных комплексов. Многие российские вендоры занимают лидирующие строчки по итогам независимых испытаний на мировом рынке. В работе с системой используется отечественное программное обеспечение, сертифицированное ФСБ России. Сами данные также хранятся только на территории Российской Федерации и защищены отечественной криптографией.
– Если говорить о безопасности, какие средства защиты данных биометрии используются? Какими способами интегратор может снизить риски?
– Единая биометрическая система, которая по закону хранит данные граждан, соответствует всем требованиям информационной безопасности системы федерального уровня.
Законодательство постоянно прорабатывается в данном направлении. В ближайшее время будут приняты не менее пяти нормативно-правовых актов от Минцифры РФ и Центробанка, определяющих перечень возможных угроз безопасности, актуальных при работе с данными и векторами в Единой биометрической системе и в коммерческих биометрических системах. Это необходимо, поскольку с 1 июня 2023 года коммерческие системы не смогут работать с биометрией, а будут использовать только обезличенные шаблоны - векторы. Для процесса обработки векторов описаны угрозы безопасности и способы защиты. С учетом этих требований будут прописаны новые правила аккредитации организаций, планирующих оказывать услуги и сервисы для граждан по биометрии.
Кроме того, Единая биометрическая система использует специализированные механизмы защиты. Например, liveness detection («обнаружение витальности») отвечает за распознавание атак на систему и поиск потенциальных мошенников. Сама работа системы подлежит круглосуточному мониторингу. Также на регулярной основе проводятся мероприятия по анализу защищенности инфраструктуры, все новые релизы приложений проверяются на наличие уязвимостей. Все решения по информационной безопасности согласованы с ФСБ России и имеют соответствующие заключения.
При этом биометрические данные хранятся отдельно от персональных данных (биометрия – в Единой биометрической системе, персональные данные – в ЕСИА). Таким образом минимизируются риски целенаправленной кражи. В период распространения соцсетей, когда миллионы фотографий и записей находятся в общем доступе, кража биометрических данных теряет смысл, ведь воспользоваться ими в системе не получится. Несколько уровней защиты и раздельное хранение делают взлом системы слишком трудоемким, дорогостоящим и бессмысленным.
В качестве дополнительной защиты, согласно закону (*от 29 декабря 2022 г. № 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации») при оказании услуг по биометрии должна быть осуществлена дополнительная аутентификация физического лица способами, установленными законодательством (например, смс, одноразовый пароль и другие).
В случае взлома системы узнать, кому принадлежит голос или лицо, невозможно. Ведь информация хранится не в виде фотографии или аудиозаписи, а в формате математической модели - вектора.
– Какие еще законодательные акты необходимо учитывать интеграторам в работе с биометрией?
– Основной закон, регулирующий работу с биометрией и Единой биометрической системой, был принят 29 декабря 2022 года - это федеральный закон № 572-ФЗ. Он распространяется на все государственные и коммерческие биометрические системы. Законом, в частности, с 1 июня 2023 года устанавливается запрет на обработку, включая сбор и хранение, биометрических данных в информационных системах организаций за исключением хранения «вторичных» или фронтальных данных для рассмотрения обращений граждан сроком не более чем на 10 дней. Организации обязаны до 30 сентября 2023 года передать имеющиеся у них биометрию в Единую биометрическую систему, а затем удалить их из своих систем. На этот момент интеграторам стоит обратить особое внимание.
Также сейчас идет проработка ряда подзаконных актов, которыми будут в том числе устанавливаться требования и порядок взаимодействия с Единой биометрической системой и обработки персональных данных в рамках векторной модели. Также будут прописаны правила аккредитации организаций, планирующих оказывать услуги и сервисы для граждан по биометрии. В частности, повышаются требования в части финансового обеспечения и информационной безопасности. Вместе с тем, если организации не хотят аккредитовывать свою систему, они могут подключиться к Единой биометрической системе напрямую. После этого проходить аккредитацию не потребуется. Требования положений этих документов также необходимо будет учитывать при построении процессов.
– В каких случаях применение технологий биометрии в проводимых интеграторами проектах особенно важно?
– В настоящее время основными способами аутентификации являются технологии, основанные на вводе логина/пароля или использования смарт-карт. Главным недостатком этих методов является низкий уровень безопасности: утеря или кража пароля, использование слишком простых или повторяющихся паролей для разных сервисов увеличивают риски мошеннических действий. Для уменьшения угроз используется второй фактор аутентификации. Помимо стандартных смс и Push-сообщений, которые также подвержены угрозам клонирования сим-карт, кражи и утери устройств, удобнее и безопаснее использовать вход по биометрии. Применение биометрии в качестве второго фактора нивелирует вышеуказанные риски.
Также в качестве примера можно отметить системы контроля и управления доступом. Использование биометрии позволяет защитить от случаев передачи пропусков неуполномоченным лицам, что особенно важно на объектах критической инфраструктуры - промышленных, оборонных, атомных, ядерных и других предприятий. Например, на объектах госкорпорации «Ростех» и в Центре управления полетами «Роскосмоса» для прохода сотрудников используется пластиковая карта с чипом, в который «вшита» фотография, защищенная криптографией, а вторым фактором является биометрическая идентификация по лицу. Также успешно реализован проект по внедрению Единой биометрической системы для прохода сотрудников в здание правительственного комплекса «Башни министерств» в Москве. Сотрудник подходит к турникету, где установлен биометрический терминал, смотрит в камеру, в это время биометрическая система идентифицирует человека по лицу и передает сигнал в СКУД, которая разрешает проход. Вся процедура занимает несколько секунд.
Финансовый рынок использует биометрию для удаленного и безопасного оказания услуг. Например, Россельхозбанк предлагает на своей платформе с помощью биометрии стать клиентом, не выходя из дома. В ПСБ с помощью мобильного телефона можно по биометрии открыть счет или вклад, оформить потребительский кредит или ипотеку. А СКБ-банк предлагает клиентам открыть счет из любой точки страны. Услуги с идентификацией личности клиента с помощью Единой биометрической системы оказывают все ключевые банки РФ.
– Расскажите о наиболее интересных и показательных проектах с биометрией на сегодня.
– Работа идет в различных направлениях, со всеми ключевыми коммерческими биометрическими системами. Сейчас с помощью Единой биометрической системы граждане могут получать удаленно финансовые услуги даже в тех банках, где они не являются клиентами (такие услуги сегодня предоставляют более 50 банков). Также в режиме онлайн можно заключить договор связи и за несколько минут получить eSIM. Системы доступа, интегрированные с Единой биометрической системой, позволяют бесконтактно пройти в государственные и коммерческие учреждения. Запущены сервисы для удаленного оформления квалифицированной электронной подписи, имеющей юридическую значимость. Система успешно прошла испытание при проведении аттестации в российских вузах и будет применяться в будущем. С 1 февраля запустили вход в личный кабинет на Госуслугах по биометрии и сейчас тестируем применение биометрии в качестве второго фактора аутентификации.
– По вашему мнению, как пойдет распространение биометрических технологий в ближайшем будущем?
– В ближайшем будущем широкое распространение получит векторная модель взаимодействия организаций и Единой биометрической системы, над которой мы сейчас работаем. На сегодняшний день это одна из самых безопасных моделей работы с данными. Организации могут неоднократно использовать вектор без дополнительного обращения в Единую биометрическую систему.
Также в ближайших планах - усиление образовательной работы с населением для борьбы со страхами и заблуждениями относительно бытового использования биометрии. Нам важно донести до каждого, что Единая биометрическая система — это надежный и безопасный способ хранения данных и получения услуг, она не подключена к камерам наблюдения, не выполняет функции поиска для правоохранительных органов и миграционных служб, в ней хранятся не персональные, а только обезличенные данные человека.
Также планируем развивать способы сбора и возможные сценарии использования биометрии. В настоящее время идет активная работа над внедрением самостоятельной регистрации биометрии с помощью мобильного приложения, также будет доступна регистрация биометрии в МФЦ. С 1 сентября 2024 года будут регулироваться все виды биометрических модальностей. Это позволит предоставлять по биометрии услуги, например, по отпечатку пальца или рисунку вен. Также сервисы станут доступнее для людей с ограниченными возможностями здоровья, которые не могут записать голос или получили серьезную травму лица.
Планируется реализовать проекты по биоэквайрингу (оплата по лицу в магазинах, кафе, транспорте), проходу на предприятия, спортивные объекты, в гостиницы и отели по СКУД. Будем помогать внедрять на предприятиях программы учета рабочего времени сотрудников.
Также в ближайшем будущем можно будет по биометрии получать нотариальные услуги, оформить паспорт болельщика. Планируем полный переход на дистанционное банковское обслуживание, транспортный и образовательный проекты, расширение линейки государственных услуг, внедрение биометрии в процессы аутентификации на цифровых платформах.
Одним из основных преимуществ использования биометрии является легкость получения услуг – можно не предъявлять документы при очном визите или осуществлять юридически значимые действия дистанционно. Биометрические технологии должны стать привычным и простым механизмом для повышения качества жизни граждан. Сегодня сдать данные в Единую биометрическую систему можно в любом из более чем 13 тыс. отделений 179 банков, расположенных в большинстве городов России. Отдельно отмечу, что государственная Единая биометрическая система предполагает исключительно добровольную регистрацию со стороны каждого россиянина.
– Большое спасибо за беседу!